REGOLAMENT (UE) 2022/2554 - APPLIKABBLI MIS-17 TA' JANNAR 2025

Il-konformità DORA tiegħek,
iddokumentata u difendibbli

Ir-regolament Ewropew dwar ir-reżiljenza operattiva diġitali tas-settur finanzjarju (DORA) jimponi fuq l-entitajiet finanzjarji - u b'riperkussjoni fuq il-fornituri TIC tagħhom - reġistru eżawrjenti tal-kuntratti, klawżoli kuntrattwali preċiżi u provi ta' verifika bid-data. SYAGA DORA-Express jgħinek twieġeb dawn ir-rekwiżiti mingħajr improvizzazzjoni, sew jekk int entità finanzjarja jew fornitur.

17/01
Applikabbli mill-2025
21
Kategoriji ta' entitajiet immirati (art. 2)
4h
Perjodu ta' notifika ta' inċident maġġuri
19
Fornituri TIC kritiċi diġà nnominati

Il-kuntest regolatorju

DORA huwa regolament, mhux direttiva: japplika direttament fl-Istati Membri kollha, mingħajr liġi ta' traspożizzjoni nazzjonali x'tistenna.

DORA japplika direttament mis-17 ta' Jannar 2025

Regolament (UE) 2022/2554 tal-14 ta' Diċembru 2022, ippubblikat fil-JOUE fis-27 ta' Diċembru 2022, daħal fis-seħħ fis-16 ta' Jannar 2023 u applikabbli mis-17 ta' Jannar 2025. Ebda traspożizzjoni nazzjonali meħtieġa: huwa direttament opponibbli.

📋

Reġistru TIC eżawrjenti huwa meħtieġ (art. 28 §3)

Kull entità finanzjarja trid iżżomm aġġornat u tibgħat annwalment lill-awtoritajiet reġistru komplut tal-kuntratti TIC tagħha: fornitur, natura tas-servizz, kritiċità tal- funzjoni, pajjiż ta' hosting tad-data.

📄

Il-kuntratti tiegħek iridu jkun fihom klawżoli preċiżi (art. 30)

Drittijiet ta' verifika u ta' spezzjoni, garanziji ta' disponibbiltà u ta' integrità tad-data, pjanijiet ta' ħruġ ittestjati, notifika ta' inċident mingħajr dewmien. Dawn il-klawżoli jitilgħu mill- klijent finanzjarju tiegħek lejk jekk int il-fornitur TIC tiegħu.

📧

Il-kwestjonarju due diligence diġà jinsab fil-mailbox tiegħek

Qabel ma tiffirma jew iġġedded kuntratt, bank, assiguratur jew investitur jibgħat kwestjonarju ċibernetiku (governanza, MFA, EDR, kriptazzjoni, sensibilizzazzjoni). Li twieġeb mingħajr prova ddokumentata tfisser titlef il-kuntratt.

Id-deċiżjoni tat-18 ta' Novembru 2025

Il-fornituri cloud tiegħek għadhom kif ġew innominati uffiċjalment "kritiċi"

Fit-18-19 ta' Novembru 2025, l-awtoritajiet Ewropej ta' superviżjoni (EBA, ESMA, EIOPA) ippubblikaw l-ewwel lista uffiċjali tal-fornituri TIC kritiċi skont l-artiklu 32 ta' DORA. Fost l-ismijiet ikkonfermati mill-komunikati uffiċjali: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (u 14-il fornitur ieħor mhux ikkonfermati b'isem fis-sorsi tagħna).

Konsegwenza konkreta: jekk is-servizzi kritiċi tiegħek jiddependu fuq wieħed minn dawn il-fornituri, l-entità finanzjarja klijent tiegħek trid issa tiddokumentah fir-reġistru TIC tagħha - u tista' tistaqsik dwar il-katina tiegħek stess ta' sottokuntrattar.

Sors: komunikati uffiċjali EIOPA u ESMA tat-18-19 ta' Novembru 2025 (eiopa.europa.eu, esma.europa.eu).

Ir-rispons tagħna: DORA-Express

Akkumpanjament strutturat f'5 stadji biex tiddokumenta l-konformità tiegħek - mingħajr ma nwiegħdu dak li la għodda, u lanqas kumpanija, jistgħu jiċċertifikaw minflokok.

1
Stadju 1 - Kwalifikazzjoni

Nidentifikaw l-espożizzjoni reali tiegħek

Int entità finanzjarja suġġetta direttament (waħda mill-21 kategorija ta' l-artiklu 2), jew fornitur TIC immirat indirettament permezz tal-klawżoli kuntrattwali tal-klijenti finanzjarji tiegħek (artiklu 30)? Il-perimetru eżatt jikkondizzjona l-bqija kollu.

2
Stadju 2 - Due diligence

Tweġiba għall-kwestjonarju ċibernetiku tiegħek

Aħna nwieġbu l-kwestjonarju due diligence tal-bank, investitur jew assiguratur tiegħek (governanza, MFA, EDR, kriptazzjoni, sensibilizzazzjoni...) billi nużaw verifika teknika tat-tenant Microsoft 365 tiegħek bħala prova bid-data u verifikabbli.

3
Stadju 3 - Reġistru u kuntratti

Reġistru TIC u klawżoli artiklu 30

Ngħinuk tistruttura r-reġistru tal-kuntratti TIC tiegħek (art. 28 §3) u tivverifika jew tintegra l-klawżoli kuntrattwali minimi u msaħħa tal-artiklu 30 fil-kuntratti tal-fornituri tiegħek.

4
Stadju 4 - Kontinwità u reżiljenza

PRA/PCA profil settorjali Finanzi

Is-Suite PRA/PCA tagħna toffri profil settorjali Finanzi (DORA, PSD2, ACPR) li jkopri r-rekwiżiti ta' testijiet ta' reżiljenza operattiva tal-kapitlu IV ta' DORA, allinjat mal- ISO 22301.

5
Stadju 5 - Preżentazzjoni

Fajl ta' konformità ddokumentat

Konsenja lid-diriġenza, ir-RSSI jew id-DAF tiegħek ta' fajl ikkonsolidat, bil- punti preċiżi x'jiġu deċiżi mill-konsulent legali tiegħek qabel kwalunkwe komunikazzjoni lill-awtoritajiet.

Dak li tirċievi

Konsenji konkreti, ssorsjati, mingħajr wegħda ta' ċertifikazzjoni li ħadd ma jista' jiggarantixxi

📝

Tweġibiet due diligence ċibernetiku

10 mistoqsijiet tip due diligence bank / M&A, iddokumentati u ssorsjati (ILPA DDQ, CSA CAIQ, kwestjonarji ta' assiguraturi ċibernetiċi).

  • Politika ta' sigurtà / referenzjal rikonoxxut
  • MFA, l-inqas privileġġ, kontijiet privileġġati
  • Liċenzja M365, EDR / threat hunting
  • Protokolli antiki, kriptazzjoni tad-diski
  • Programm ta' sensibilizzazzjoni
📄

Karta ta' referenza DORA

Sommarju ssorsjat tar-regolament (UE) 2022/2554.

  • Perimetru: 21 kategorija ta' entitajiet (art. 2)
  • 5 oqsma ta' obbligi
  • Perjodi ta' notifika (4h / 72h / xahar)
  • Konnessjoni ma' NIS2 (lex specialis)
📋

Reġistru TIC (mudell art. 28 §3)

Struttura tar-reġistru eżawrjenti meħtieġ mill-awtoritajiet.

  • Fornitur u natura tas-servizz
  • Kritiċità tal-funzjoni appoġġjata
  • Pajjiż ta' hosting tad-data
  • Format lest għat-trasmissjoni annwali
🔐

Klawżoli kuntrattwali (mudell art. 30)

X'jiġu integrati jew vverifikati fil-kuntratti tal-fornituri TIC tiegħek.

  • Klawżoli minimi (il-kuntratti kollha)
  • Klawżoli msaħħa (funzjonijiet kritiċi)
  • Drittijiet ta' verifika u ta' spezzjoni
  • Pjanijiet ta' ħruġ u estraibbiltà tad-data
🏗

PRA/PCA profil Finanzi

Pjan ta' kontinwità u tkomplija tal-attività, profil settorjali dedikat.

  • Kopertura kapitlu IV DORA (testijiet ta' reżiljenza)
  • Allinjat ISO 22301
  • Profil settorjali DORA / PSD2 / ACPR
  • Mis-Suite PRA/PCA eżistenti tagħna
💾

Fajl ta' konformità ddokumentat

Formati PDF u DOCX, li jikkonsolidaw il-konsenji kollha.

  • Lest għad-diriġenza / RSSI / DAF tiegħek
  • Punti x'jiġu vvalidati mill-avukat tiegħek indikati
  • Bażi għall-iskambji tiegħek mal-ACPR / AMF
  • Editabbli għal aġġornament annwali

Eżempju: il-kwestjonarju due diligence bank

Estratt mill-10 mistoqsijiet li niddokumentaw għalik, bis-sors ta' kull mistoqsija

Tema Mistoqsija Sors
Governanza Il-politika ta' sigurtà tiegħek hija bbażata fuq referenzjal rikonoxxut (NIST, ISO 27001)? ILPA DDQ 2.0
Verifika ta' terzi Twettaq verifika annwali indipendenti u testijiet ta' penetrazzjoni? CSA CAIQ v4
Pjan ta' inċident Jeżisti pjan formali ta' rispons għall-inċidenti, iddokumentat u miżmum? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Għal liema servizzi timponi l-awtentikazzjoni b'ħafna fatturi? Travelers - MFA Supplement
Kontijiet privileġġati L-aċċessi jsegwu l-prinċipju tal-inqas privileġġ, riveduti perjodikament? CSA CAIQ v4 IAM
Posta elettronika Liema liċenzja M365 tuża? Defender / threat hunting avvanzat attiv? vCSO.ai Cyber DD Checklist
Kriptazzjoni Id-diski tat-terminals huma kompletament kriptati? Google VSAQ
Taħriġ Programm ta' sensibilizzazzjoni tas-sigurtà huwa stabbilit għall-kollaboraturi kollha? CSA CAIQ v4 HRS

Testi u referenzjali koperti

Kull konsenja tindika b'mod espliċitu dak li tkopri - u dak li ma tkoprix

DO

DORA (Regolament UE 2022/2554)

Reġistru TIC (art. 28), klawżoli kuntrattwali (art. 30), perjodi ta' notifika (art. 19), referenza għall-fornituri TIC kritiċi nnominati (art. 32).

N2

NIS2 - konnessjoni ma' DORA

DORA huwa lex specialis fir-rigward ta' NIS2 għas-settur finanzjarju: l-entitajiet ikkonċernati japplikaw DORA minflok il-miżuri ekwivalenti ta' NIS2.

ISO

ISO 22301 - kontinwità tan-negozju

Il-profil PRA/PCA Finanzi huwa allinjat mal-ISO 22301, referenzjal ta' ġestjoni tal- kontinwità tan-negozju użat b'kumplement ma' DORA.

RG

RGPD - notifika distinta

In-notifika ta' inċident DORA (ACPR/AMF) hija distinta min-notifika RGPD (CNIL, l-awtorità Franċiża) f'każ ta' ksur ta' data personali: it-tnejn jistgħu jkunu meħtieġa simultanjament.

Akkumpanjament adattat għas-sitwazzjoni tiegħek

Kull fajl DORA huwa differenti skont l-istatus tiegħek - offerta personalizzata f'kull każ

Fornitur TIC

Tipprovdi servizzi lil entità finanzjarja waħda jew aktar

Offerta
skont il-perimetru
  • Tweġiba due diligence ċibernetiku
  • Reġistru TIC min-naħa tal-fornitur
  • Reviżjoni tal-klawżoli artiklu 30
  • Fajl iddokumentat lest biex jintbagħat
Itlob offerta

Segwitu annwali

Aġġornament regolari tal-fajl (obbligi, kuntratti, reġistru)

Offerta
rikorrenti
  • Aġġornament tar-reġistru TIC
  • Reviżjoni annwali tal-klawżoli kuntrattwali
  • Sorveljanza tal-fornituri kritiċi nnominati
  • Appoġġ għad-due diligence tal-klijenti tiegħek
Itlob offerta

Mistoqsijiet frekwenti

Il-kumpanija tiegħi hija entità finanzjarja kkonċernata minn DORA?
L-artiklu 2 ta' DORA jelenka 21 kategorija ta' entitajiet finanzjarji: istituzzjonijiet ta' kreditu u ta' ħlas, kumpaniji ta' investiment, fornituri ta' kripto-assi awtorizzati MiCA, assigurazzjoni u riassigurazzjoni, ġestjoni ta' fondi, aġenziji ta' klassifikazzjoni, u oħrajn. Il-mikrokumpaniji (anqas minn 10 impjegati, fatturat jew bilanċ anqas minn 2 miljun euro) jibbenefikaw minn proporzjonalità fuq ċerti obbligi, imma mhumiex esklużi kompletament. X'jiġi vverifikat każ b'każ ma' konsulenza legali.
Mhux bank, għaliex DORA jikkonċernani xorta waħda?
Jekk tipprovdi servizzi TIC (informatika, cloud, softwer, hosting) lil entità finanzjarja, l-artiklu 30 jimponi fuq il-klijent tiegħek li jinkludik fir-reġistru tiegħu u jimponi fuqek b'mod kuntrattwali klawżoli preċiżi: drittijiet ta' verifika, notifika ta' inċident mingħajr dewmien, pjanijiet ta' ħruġ. Dawn l-obbligi jgħaddu mill-kuntratt tal-klijent tiegħek, mhux minn superviżjoni diretta tal-awtorità - ħlief jekk int stess innominat fornitur TIC kritiku (artiklu 31).
X'inhuma l-perjodi ta' notifika ta' inċident TIC maġġuri?
Artiklu 19: notifika inizjali fi żmien 4 sigħat wara l-klassifikazzjoni bħala inċident maġġuri (massimu 24 siegħa wara l-iskoperta), rapport intermedju fi żmien 72 siegħa, rapport finali fi żmien xahar. Dawn in-notifiki huma distinti minn kwalunkwe notifika RGPD lill-CNIL (l-awtorità Franċiża) f'każ ta' ksur ta' data personali.
X'inhu "fornitur TIC kritiku"?
Dawn huma fornituri nnominati b'mod espliċitu mill-awtoritajiet Ewropej ta' superviżjoni (EBA, ESMA, EIOPA) skont kriterji ta' impatt sistemiku, ta' sostitwibbiltà u ta' dipendenza (artiklu 31). L-ewwel lista uffiċjali, ippubblikata fit-18-19 ta' Novembru 2025, tgħodd 19-il fornitur. Huma suġġetti għal superviżjoni diretta (spezzjonijiet, rappurtar estiż); il-fornituri TIC l-oħra jibqgħu rregolati biss mill-klawżoli kuntrattwali tal-klijenti finanzjarji tagħhom.
DORA jissostitwixxi NIS2 għas-settur tiegħi?
Iva għall-entitajiet finanzjarji fis-sens tal-artiklu 2: DORA jikkostitwixxi lex specialis fir-rigward ta' NIS2 għas-settur finanzjarju. Il-21 kategorija mmirati japplikaw DORA minflok il-miżuri ekwivalenti ta' NIS2 fir-rigward tal-ġestjoni tar-riskji u tan-notifika tal-inċidenti.
Dan is-servizz jikkostitwixxi parir legali?
Le. DORA-Express huwa għodda ta' akkumpanjament dokumentarju, mhux parir legali. Is-suġġettar eżatt tal-organizzazzjoni tiegħek għal DORA u l-konformità legali tal-kuntratti tiegħek iridu jiġu vvalidati minn avukat speċjalizzat qabel kwalunkwe deċiżjoni impenjattiva.

Lest biex tiddokumenta l-konformità DORA tiegħek?

Ikkuntattjana biex tirċievi offerta personalizzata skont l-istatus tiegħek (entità finanzjarja jew fornitur TIC).

DORA-Express huwa għodda ta' akkumpanjament dokumentarju u ma jikkostitwixxix parir legali. Is-suġġettar tal-organizzazzjoni tiegħek għal DORA u l-validità legali tal-kuntratti u r-reġistri tiegħek iridu jiġu kkonfermati minn avukat speċjalizzat.

Sorveljanza regolatorja - sorsi uffiċjali

DORA spjegat b'mod sempliċi, mingħajr ġargun legali. Kull punt hawn taħt jirreferi għat-test uffiċjali li jikkonfermah.

Min hu kkonċernat?

DORA japplika għall-atturi finanzjarji Ewropej: banek, assigurazzjonijiet, kumpaniji ta' investiment, pjattaformi tas-suq, ġestjonarji ta' fondi, fornituri ta' ħlas... kif ukoll għall-fornituri informatiċi tagħhom. L-istrutturi żgħar ħafna jibbenefikaw minn regoli mnaqqsa.

sors uffiċjali (EUR-Lex) ↗

Dak li DORA jitolbok konkretament

Ir-regolament ikopri 6 suġġetti ewlenin: il-ġestjoni tar-riskju informatiku, is-sorveljanza tal-fornituri esterni tiegħek, testijiet regolari ta' reżistenza, ir-rappurtar tal-inċidenti gravi, il-qsim ta' informazzjoni dwar it-theddid, u s-sorveljanza tal-akbar fornituri informatiċi.

sors uffiċjali (EIOPA) ↗

Id-dati importanti

Test adottat fl-14 ta' Diċembru 2022, ippubblikat fil-Ġurnal Uffiċjali tal-UE fis-27 ta' Diċembru 2022 (JO L 333). Daħal fis-seħħ fis-16 ta' Jannar 2023. L-obbligi huma verament dovuti mis-17 ta' Jannar 2025.

sors EUR-Lex ↗ · sors ESMA ↗

Il-fornituri informatiċi tiegħek huma sorveljati wkoll

L-akbar fornituri informatiċi (cloud, hosting...) meqjusa "kritiċi" għas-settur finanzjarju issa huma kkontrollati direttament fil-livell Ewropew, b'superviżur ewlieni li jista' jimponi miżuri fuqhom.

sors uffiċjali (EIOPA) ↗

Rappurtar ta' inċident finalment armonizzat

Qabel DORA, kull pajjiż tal-UE kellu r-regoli tiegħu stess biex jiddikjara inċident informatiku gravi. Issa, proċedura Ewropea unika tapplika: l-inċidenti maġġuri jiġu nnotifikati direttament lill-awtoritajiet kompetenti.

sors EUR-Lex ↗

U s-sanzjonijiet?

It-test jipprevedi li l-awtoritajiet jippubblikaw is-sanzjonijiet amministrattivi li jimponu. L-ammonti preċiżi tal-multi mhumiex stabbilizzati fis-sorsi kkonsultati sa llum - x'jiġi kkonfermat mal-kjarifiki uffiċjali.

sors EUR-Lex (kunsiderazzjoni 97) ↗