Regulamentul european privind reziliența operațională digitală a sectorului financiar (DORA) impune entităților financiare - și, prin ricoșeu, prestatorilor lor TIC - un registru exhaustiv al contractelor, clauze contractuale precise și dovezi de audit datate. SYAGA DORA-Express vă ajută să răspundeți acestor cerințe fără improvizație, indiferent dacă sunteți entitate financiară sau prestator.
DORA este un regulament, nu o directivă: se aplică direct în toate statele membre, fără a fi nevoie de o lege națională de transpunere.
Regulamentul (UE) 2022/2554 din 14 decembrie 2022, publicat în JOUE la 27 decembrie 2022, intrat în vigoare la 16 ianuarie 2023 și aplicabil din 17 ianuarie 2025. Nicio transpunere națională necesară: este direct opozabil.
Fiecare entitate financiară trebuie să țină la zi și să transmită anual autorităților un registru complet al contractelor sale TIC: prestator, natura serviciului, criticitatea funcției, țara de găzduire a datelor.
Drepturi de audit și de inspecție, garanții de disponibilitate și integritate a datelor, planuri de ieșire testate, notificare de incident fără întârziere. Aceste clauze urcă de la clientul dumneavoastră financiar către dumneavoastră, dacă sunteți prestatorul său TIC.
Înainte de a semna sau de a reînnoi un contract, o bancă, un asigurător sau un investitor trimite un chestionar cyber (guvernanță, MFA, EDR, criptare, conștientizare). A răspunde fără dovadă documentată duce la pierderea contractului.
La 18-19 noiembrie 2025, autoritățile europene de supraveghere (EBA, ESMA, EIOPA) au publicat prima listă oficială a prestatorilor TIC critici în temeiul articolului 32 din DORA. Printre numele confirmate de comunicatele oficiale: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (și alți 14 prestatori neconfirmați nominal în sursele noastre).
Consecință concretă: dacă serviciile dumneavoastră critice se bazează pe unul dintre acești prestatori, entitatea dumneavoastră financiară client trebuie de acum să documenteze acest lucru în registrul său TIC - și vă poate întreba despre propriul dumneavoastră lanț de subcontractare.
Sursă: comunicatele oficiale EIOPA și ESMA din 18-19 noiembrie 2025 (eiopa.europa.eu, esma.europa.eu).
Un însoțire structurată în 5 etape pentru a documenta conformitatea dumneavoastră - fără a promite ceea ce nici un instrument, nici o firmă, nu poate certifica în locul dumneavoastră.
Sunteți o entitate financiară direct supusă (una dintre cele 21 de categorii ale articolului 2), sau un prestator TIC vizat indirect prin clauzele contractuale ale clienților dumneavoastră financiari (articolul 30)? Perimetrul exact condiționează tot restul.
Răspundem la chestionarul dumneavoastră de due diligence bancă, investitor sau asigurător (guvernanță, MFA, EDR, criptare, conștientizare...) bazându-ne pe un audit tehnic al tenantului dumneavoastră Microsoft 365 ca dovadă datată și verificabilă.
Vă ajutăm să structurați registrul contractelor dumneavoastră TIC (art. 28 §3) și să verificați sau integrați clauzele contractuale minime și consolidate ale articolului 30 în contractele cu prestatorii dumneavoastră.
PRA/PCA Suite-ul nostru propune un profil sectorial Finanțe (DORA, PSD2, ACPR) care acoperă cerințele de teste de reziliență operațională din capitolul IV al DORA, aliniat la ISO 22301.
Predarea către conducerea dumneavoastră, responsabilul dumneavoastră cu securitatea sau directorul financiar a unui dosar consolidat, cu punctele precise de tranșat de consilierul dumneavoastră juridic înainte de orice comunicare către autorități.
Livrabile concrete, cu surse, fără promisiunea unei certificări pe care nimeni nu o poate garanta
10 întrebări tip due diligence bancă / M&A, documentate și cu surse (ILPA DDQ, CSA CAIQ, chestionare asigurători cyber).
Sinteză cu surse a regulamentului (UE) 2022/2554.
Structura registrului exhaustiv cerut de autorități.
De integrat sau verificat în contractele dumneavoastră cu prestatorii TIC.
Plan de continuitate și redresare a activității, profil sectorial dedicat.
Formate PDF și DOCX, consolidând ansamblul livrabilelor.
Extras din cele 10 întrebări pe care le documentăm pentru dumneavoastră, cu sursa fiecărei întrebări
| Temă | Întrebare | Sursă |
|---|---|---|
| Guvernanță | Politica dumneavoastră de securitate se bazează pe un referențial recunoscut (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Audit terți | Realizați un audit anual independent și teste de penetrare? | CSA CAIQ v4 |
| Plan incident | Există un plan formal de răspuns la incident, documentat și menținut? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Pentru ce servicii impuneți autentificarea multifactor? | Travelers - MFA Supplement |
| Conturi cu privilegii | Accesurile respectă principiul minimului privilegiu, revizuit periodic? | CSA CAIQ v4 IAM |
| Mesagerie | Ce licență M365 utilizați? Defender / threat hunting avansat activ? | vCSO.ai Cyber DD Checklist |
| Criptare | Discurile terminalelor sunt integral criptate? | Google VSAQ |
| Formare | Este stabilit un program de conștientizare a securității pentru toți angajații? | CSA CAIQ v4 HRS |
Fiecare livrabil indică explicit ce acoperă - și ce nu acoperă
Registru TIC (art. 28), clauze contractuale (art. 30), termene de notificare (art. 19), referință la prestatorii TIC critici desemnați (art. 32).
DORA este o lex specialis în raport cu NIS2 pentru sectorul financiar: entitățile vizate aplică DORA în locul măsurilor NIS2 echivalente.
Profilul PRA/PCA Finanțe se aliniază la ISO 22301, referențial de management al continuității activității utilizat complementar cu DORA.
Notificarea de incident DORA (ACPR/AMF) este distinctă de notificarea RGPD (CNIL, autoritate franceză) în caz de încălcare a datelor cu caracter personal: ambele pot fi necesare simultan.
Fiecare dosar DORA este diferit în funcție de statutul dumneavoastră - ofertă personalizată în toate cazurile
Furnizați servicii unei sau mai multor entități financiare
Sunteți supus direct DORA (una dintre cele 21 de categorii, art. 2)
Actualizare regulată a dosarului (obligații, contracte, registru)
Contactați-ne pentru a primi o ofertă personalizată în funcție de statutul dumneavoastră (entitate financiară sau prestator TIC).
DORA explicat simplu, fără jargon juridic. Fiecare punct de mai jos trimite către textul oficial care îl confirmă.
DORA se aplică actorilor financiari europeni: bănci, asigurări, societăți de investiții, platforme de piață, administratori de fonduri, prestatori de plăți... precum și prestatorilor lor informatici. Structurile foarte mici beneficiază de reguli ușurate.
Regulamentul acoperă 6 mari subiecte: gestionarea riscului informatic, supravegherea prestatorilor dumneavoastră externi, teste regulate de rezistență, raportarea incidentelor grave, partajarea informațiilor despre amenințări, și supravegherea celor mai mari prestatori informatici.
Text adoptat la 14 decembrie 2022, publicat în Jurnalul Oficial al UE la 27 decembrie 2022 (JO L 333). Intrare în vigoare la 16 ianuarie 2023. Obligațiile sunt cu adevărat datorate din 17 ianuarie 2025.
Cei mai mari prestatori informatici (cloud, găzduire...) considerați „critici” pentru sectorul financiar sunt de acum controlați direct la nivel european, cu un supraveghetor principal care le poate impune măsuri.
Înainte de DORA, fiecare țară din UE avea propriile reguli pentru a declara un incident informatic grav. De acum, se aplică o procedură europeană unică: incidentele majore sunt notificate direct autorităților competente.
Textul prevede că autoritățile publică sancțiunile administrative pe care le pronunță. Sumele precise ale amenzilor nu sunt stabilizate în sursele consultate până în prezent - de confirmat pe măsura precizărilor oficiale.