REGULAMENTUL (UE) 2022/2554 - APLICABIL DIN 17 IANUARIE 2025

Conformitatea dumneavoastră DORA,
documentată și apărabilă

Regulamentul european privind reziliența operațională digitală a sectorului financiar (DORA) impune entităților financiare - și, prin ricoșeu, prestatorilor lor TIC - un registru exhaustiv al contractelor, clauze contractuale precise și dovezi de audit datate. SYAGA DORA-Express vă ajută să răspundeți acestor cerințe fără improvizație, indiferent dacă sunteți entitate financiară sau prestator.

17/01
Aplicabil din 2025
21
Categorii de entități vizate (art. 2)
4h
Termen de notificare a unui incident major
19
Prestatori TIC critici deja desemnați

Contextul reglementar

DORA este un regulament, nu o directivă: se aplică direct în toate statele membre, fără a fi nevoie de o lege națională de transpunere.

DORA se aplică direct din 17 ianuarie 2025

Regulamentul (UE) 2022/2554 din 14 decembrie 2022, publicat în JOUE la 27 decembrie 2022, intrat în vigoare la 16 ianuarie 2023 și aplicabil din 17 ianuarie 2025. Nicio transpunere națională necesară: este direct opozabil.

📋

Este cerut un registru TIC exhaustiv (art. 28 §3)

Fiecare entitate financiară trebuie să țină la zi și să transmită anual autorităților un registru complet al contractelor sale TIC: prestator, natura serviciului, criticitatea funcției, țara de găzduire a datelor.

📄

Contractele dumneavoastră trebuie să conțină clauze precise (art. 30)

Drepturi de audit și de inspecție, garanții de disponibilitate și integritate a datelor, planuri de ieșire testate, notificare de incident fără întârziere. Aceste clauze urcă de la clientul dumneavoastră financiar către dumneavoastră, dacă sunteți prestatorul său TIC.

📧

Chestionarul due diligence este deja în căsuța dumneavoastră de e-mail

Înainte de a semna sau de a reînnoi un contract, o bancă, un asigurător sau un investitor trimite un chestionar cyber (guvernanță, MFA, EDR, criptare, conștientizare). A răspunde fără dovadă documentată duce la pierderea contractului.

Declanșatorul din 18 noiembrie 2025

Prestatorii dumneavoastră cloud tocmai au fost desemnați oficial „critici”

La 18-19 noiembrie 2025, autoritățile europene de supraveghere (EBA, ESMA, EIOPA) au publicat prima listă oficială a prestatorilor TIC critici în temeiul articolului 32 din DORA. Printre numele confirmate de comunicatele oficiale: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (și alți 14 prestatori neconfirmați nominal în sursele noastre).

Consecință concretă: dacă serviciile dumneavoastră critice se bazează pe unul dintre acești prestatori, entitatea dumneavoastră financiară client trebuie de acum să documenteze acest lucru în registrul său TIC - și vă poate întreba despre propriul dumneavoastră lanț de subcontractare.

Sursă: comunicatele oficiale EIOPA și ESMA din 18-19 noiembrie 2025 (eiopa.europa.eu, esma.europa.eu).

Răspunsul nostru: DORA-Express

Un însoțire structurată în 5 etape pentru a documenta conformitatea dumneavoastră - fără a promite ceea ce nici un instrument, nici o firmă, nu poate certifica în locul dumneavoastră.

1
Etapa 1 - Calificare

Identificăm expunerea dumneavoastră reală

Sunteți o entitate financiară direct supusă (una dintre cele 21 de categorii ale articolului 2), sau un prestator TIC vizat indirect prin clauzele contractuale ale clienților dumneavoastră financiari (articolul 30)? Perimetrul exact condiționează tot restul.

2
Etapa 2 - Due diligence

Răspuns la chestionarul dumneavoastră cyber

Răspundem la chestionarul dumneavoastră de due diligence bancă, investitor sau asigurător (guvernanță, MFA, EDR, criptare, conștientizare...) bazându-ne pe un audit tehnic al tenantului dumneavoastră Microsoft 365 ca dovadă datată și verificabilă.

3
Etapa 3 - Registru și contracte

Registru TIC și clauze articolul 30

Vă ajutăm să structurați registrul contractelor dumneavoastră TIC (art. 28 §3) și să verificați sau integrați clauzele contractuale minime și consolidate ale articolului 30 în contractele cu prestatorii dumneavoastră.

4
Etapa 4 - Continuitate și reziliență

PRA/PCA profil sectorial Finanțe

PRA/PCA Suite-ul nostru propune un profil sectorial Finanțe (DORA, PSD2, ACPR) care acoperă cerințele de teste de reziliență operațională din capitolul IV al DORA, aliniat la ISO 22301.

5
Etapa 5 - Restituire

Un dosar de conformitate documentat

Predarea către conducerea dumneavoastră, responsabilul dumneavoastră cu securitatea sau directorul financiar a unui dosar consolidat, cu punctele precise de tranșat de consilierul dumneavoastră juridic înainte de orice comunicare către autorități.

Ce primiți

Livrabile concrete, cu surse, fără promisiunea unei certificări pe care nimeni nu o poate garanta

📝

Răspunsuri due diligence cyber

10 întrebări tip due diligence bancă / M&A, documentate și cu surse (ILPA DDQ, CSA CAIQ, chestionare asigurători cyber).

  • Politică de securitate / referențial recunoscut
  • MFA, minim privilegiu, conturi cu privilegii
  • Licență M365, EDR / threat hunting
  • Protocoale vechi, criptarea discurilor
  • Program de conștientizare
📄

Fișă de referință DORA

Sinteză cu surse a regulamentului (UE) 2022/2554.

  • Perimetru: 21 de categorii de entități (art. 2)
  • 5 domenii de obligații
  • Termene de notificare (4h / 72h / 1 lună)
  • Articulare cu NIS2 (lex specialis)
📋

Registru TIC (șablon art. 28 §3)

Structura registrului exhaustiv cerut de autorități.

  • Prestator și natura serviciului
  • Criticitatea funcției susținute
  • Țara de găzduire a datelor
  • Format gata pentru transmitere anuală
🔐

Clauze contractuale (șablon art. 30)

De integrat sau verificat în contractele dumneavoastră cu prestatorii TIC.

  • Clauze minime (toate contractele)
  • Clauze consolidate (funcții critice)
  • Drepturi de audit și de inspecție
  • Planuri de ieșire și extractibilitatea datelor
🏗

PRA/PCA profil Finanțe

Plan de continuitate și redresare a activității, profil sectorial dedicat.

  • Acoperirea capitolului IV DORA (teste de reziliență)
  • Aliniat ISO 22301
  • Profil sectorial DORA / PSD2 / ACPR
  • Provenit din PRA/PCA Suite-ul nostru existent
💾

Dosar de conformitate documentat

Formate PDF și DOCX, consolidând ansamblul livrabilelor.

  • Gata pentru conducerea / RSSI / directorul financiar dumneavoastră
  • Puncte de validat de avocatul dumneavoastră semnalate
  • Bază pentru schimburile dumneavoastră cu ACPR / AMF
  • Editabil pentru actualizare anuală

Un exemplu: chestionarul due diligence bancă

Extras din cele 10 întrebări pe care le documentăm pentru dumneavoastră, cu sursa fiecărei întrebări

Temă Întrebare Sursă
Guvernanță Politica dumneavoastră de securitate se bazează pe un referențial recunoscut (NIST, ISO 27001)? ILPA DDQ 2.0
Audit terți Realizați un audit anual independent și teste de penetrare? CSA CAIQ v4
Plan incident Există un plan formal de răspuns la incident, documentat și menținut? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Pentru ce servicii impuneți autentificarea multifactor? Travelers - MFA Supplement
Conturi cu privilegii Accesurile respectă principiul minimului privilegiu, revizuit periodic? CSA CAIQ v4 IAM
Mesagerie Ce licență M365 utilizați? Defender / threat hunting avansat activ? vCSO.ai Cyber DD Checklist
Criptare Discurile terminalelor sunt integral criptate? Google VSAQ
Formare Este stabilit un program de conștientizare a securității pentru toți angajații? CSA CAIQ v4 HRS

Texte și referențiale acoperite

Fiecare livrabil indică explicit ce acoperă - și ce nu acoperă

DO

DORA (Regulamentul UE 2022/2554)

Registru TIC (art. 28), clauze contractuale (art. 30), termene de notificare (art. 19), referință la prestatorii TIC critici desemnați (art. 32).

N2

NIS2 - articulare cu DORA

DORA este o lex specialis în raport cu NIS2 pentru sectorul financiar: entitățile vizate aplică DORA în locul măsurilor NIS2 echivalente.

ISO

ISO 22301 - continuitatea activității

Profilul PRA/PCA Finanțe se aliniază la ISO 22301, referențial de management al continuității activității utilizat complementar cu DORA.

RG

RGPD - notificare distinctă

Notificarea de incident DORA (ACPR/AMF) este distinctă de notificarea RGPD (CNIL, autoritate franceză) în caz de încălcare a datelor cu caracter personal: ambele pot fi necesare simultan.

O însoțire adaptată situației dumneavoastră

Fiecare dosar DORA este diferit în funcție de statutul dumneavoastră - ofertă personalizată în toate cazurile

Prestator TIC

Furnizați servicii unei sau mai multor entități financiare

Ofertă
în funcție de perimetru
  • Răspuns due diligence cyber
  • Registru TIC din partea prestatorului
  • Recitire clauze articolul 30
  • Dosar documentat gata de transmis
Solicitați o ofertă

Urmărire anuală

Actualizare regulată a dosarului (obligații, contracte, registru)

Ofertă
recurent
  • Actualizarea registrului TIC
  • Revizuire anuală a clauzelor contractuale
  • Monitorizarea prestatorilor critici desemnați
  • Suport pentru due diligence-urile clienților dumneavoastră
Solicitați o ofertă

Întrebări frecvente

Compania mea este o entitate financiară vizată de DORA?
Articolul 2 din DORA listează 21 de categorii de entități financiare: instituții de credit și de plată, firme de investiții, prestatori de servicii cripto-active autorizați MiCA, asigurare și reasigurare, gestionarea fondurilor, agenții de rating, și altele. Micro-întreprinderile (sub 10 angajați, CA sau bilanț sub 2 mil.€) beneficiază de o proporționalitate pentru anumite obligații, dar nu sunt excluse total. De verificat de la caz la caz cu un consilier juridic.
Nu sunt o bancă, de ce mă privește totuși DORA?
Dacă furnizați servicii TIC (informatică, cloud, software, găzduire) unei entități financiare, articolul 30 impune clientului dumneavoastră să vă înscrie în registrul său și să vă impună contractual clauze precise: drepturi de audit, notificare de incident fără întârziere, planuri de ieșire. Aceste obligații trec prin contractul clientului dumneavoastră, nu printr-o supraveghere directă a autorității - cu excepția cazului în care sunteți dumneavoastră înșivă desemnat prestator TIC critic (articolul 31).
Care sunt termenele de notificare a unui incident TIC major?
Articolul 19: notificare inițială în 4 ore după clasificarea ca incident major (maximum 24 de ore după detectare), raport intermediar în 72 de ore, raport final într-o lună. Aceste notificări sunt distincte de o eventuală notificare RGPD către CNIL (autoritate franceză) în caz de încălcare a datelor cu caracter personal.
Ce este un „prestator TIC critic”?
Sunt prestatori desemnați explicit de autoritățile europene de supraveghere (EBA, ESMA, EIOPA) conform unor criterii de impact sistemic, substituibilitate și dependență (articolul 31). Prima listă oficială, publicată la 18-19 noiembrie 2025, numără 19 prestatori. Aceștia sunt supuși unei supravegheri directe (inspecții, raportare extinsă); ceilalți prestatori TIC rămân încadrați doar de clauzele contractuale ale clienților lor financiari.
DORA înlocuiește NIS2 pentru sectorul meu?
Da, pentru entitățile financiare în sensul articolului 2: DORA constituie o lex specialis în raport cu NIS2 pentru sectorul financiar. Cele 21 de categorii vizate aplică DORA în locul măsurilor NIS2 echivalente în materie de gestionare a riscurilor și notificare a incidentelor.
Acest serviciu constituie un aviz juridic?
Nu. DORA-Express este un instrument de asistență documentară, nu un aviz juridic. Supunerea exactă a organizației dumneavoastră la DORA și conformitatea juridică a contractelor dumneavoastră trebuie validate de un avocat specializat înainte de orice decizie angajantă.

Gata să documentați conformitatea dumneavoastră DORA?

Contactați-ne pentru a primi o ofertă personalizată în funcție de statutul dumneavoastră (entitate financiară sau prestator TIC).

DORA-Express este un instrument de asistență documentară și nu constituie un aviz juridic. Supunerea organizației dumneavoastră la DORA și validitatea juridică a contractelor și registrelor dumneavoastră trebuie confirmate de un avocat specializat.

Monitorizare reglementară - surse oficiale

DORA explicat simplu, fără jargon juridic. Fiecare punct de mai jos trimite către textul oficial care îl confirmă.

Cine este vizat?

DORA se aplică actorilor financiari europeni: bănci, asigurări, societăți de investiții, platforme de piață, administratori de fonduri, prestatori de plăți... precum și prestatorilor lor informatici. Structurile foarte mici beneficiază de reguli ușurate.

sursă oficială (EUR-Lex) ↗

Ce vă cere concret DORA

Regulamentul acoperă 6 mari subiecte: gestionarea riscului informatic, supravegherea prestatorilor dumneavoastră externi, teste regulate de rezistență, raportarea incidentelor grave, partajarea informațiilor despre amenințări, și supravegherea celor mai mari prestatori informatici.

sursă oficială (EIOPA) ↗

Datele de reținut

Text adoptat la 14 decembrie 2022, publicat în Jurnalul Oficial al UE la 27 decembrie 2022 (JO L 333). Intrare în vigoare la 16 ianuarie 2023. Obligațiile sunt cu adevărat datorate din 17 ianuarie 2025.

sursă EUR-Lex ↗ · sursă ESMA ↗

Prestatorii dumneavoastră informatici sunt și ei supravegheați

Cei mai mari prestatori informatici (cloud, găzduire...) considerați „critici” pentru sectorul financiar sunt de acum controlați direct la nivel european, cu un supraveghetor principal care le poate impune măsuri.

sursă oficială (EIOPA) ↗

O raportare de incident în sfârșit armonizată

Înainte de DORA, fiecare țară din UE avea propriile reguli pentru a declara un incident informatic grav. De acum, se aplică o procedură europeană unică: incidentele majore sunt notificate direct autorităților competente.

sursă EUR-Lex ↗

Și sancțiunile?

Textul prevede că autoritățile publică sancțiunile administrative pe care le pronunță. Sumele precise ale amenzilor nu sunt stabilizate în sursele consultate până în prezent - de confirmat pe măsura precizărilor oficiale.

sursă EUR-Lex (considerentul 97) ↗