UREDBA (EU) 2022/2554 - VELJAVNA OD 17. JANUARJA 2025

Vaša skladnost z DORA,
dokumentirana in zagovorljiva

Evropska uredba o digitalni operativni odpornosti finančnega sektorja (DORA) nalaga finančnim subjektom - in posredno njihovim ponudnikom IKT - izčrpen register pogodb, natančne pogodbene klavzule in datirane revizijske dokaze. SYAGA DORA-Express vam pomaga izpolniti te zahteve brez improvizacije, ne glede na to, ali ste finančni subjekt ali ponudnik.

17.01
Veljavna od 2025
21
Kategorij zadevnih subjektov (čl. 2)
4h
Rok za obveščanje o resnem incidentu
19
Že določenih kritičnih ponudnikov IKT

Regulativni kontekst

DORA je uredba, ne direktiva: neposredno se uporablja v vseh državah članicah, brez čakanja na nacionalni zakon o prenosu.

DORA se neposredno uporablja od 17. januarja 2025

Uredba (EU) 2022/2554 z dne 14. decembra 2022, objavljena v UL EU 27. decembra 2022, je začela veljati 16. januarja 2023 in se uporablja od 17. januarja 2025. Nobenega nacionalnega prenosa ni potrebno, neposredno je zavezujoča.

📋

Zahteva se izčrpen register IKT (čl. 28, odst. 3)

Vsak finančni subjekt mora vzdrževati in letno posredovati organom popoln register svojih pogodb IKT: ponudnik, vrsta storitve, kritičnost funkcije, država gostovanja podatkov.

📄

Vaše pogodbe morajo vsebovati natančne klavzule (čl. 30)

Pravice do revizije in pregleda, jamstva za razpoložljivost in celovitost podatkov, testirani izhodni načrti, takojšnje obveščanje o incidentih. Te klavzule se prenesejo od vašega finančnega naročnika na vas, če ste njegov ponudnik IKT.

📧

Vprašalnik skrbnega pregleda je že v vašem nabiralniku

Pred podpisom ali obnovitvijo pogodbe banka, zavarovalnica ali investitor pošlje kibernetski vprašalnik (upravljanje, MFA, EDR, šifriranje, ozaveščanje). Odgovor brez dokumentiranih dokazov pomeni izgubo pogodbe.

Sprožilec 18. novembra 2025

Vaši ponudniki v oblaku so bili pravkar uradno določeni za »kritične«

18.-19. novembra 2025 so evropski nadzorni organi (EBA, ESMA, EIOPA) objavili prvi uradni seznam kritičnih ponudnikov IKT v skladu s členom 32 DORA. Med imeni, potrjenimi v uradnih sporočilih: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (in 14 drugih ponudnikov, ki v naših virih niso poimensko potrjeni).

Konkretna posledica: če vaše kritične storitve temeljijo na enem od teh ponudnikov, mora vaš finančni naročnik to zdaj dokumentirati v svojem registru IKT - in vas lahko povpraša o vaši lastni verigi podizvajalcev.

Vir: uradna sporočila EIOPA in ESMA z dne 18.-19. novembra 2025 (eiopa.europa.eu, esma.europa.eu).

Naš odgovor: DORA-Express

Strukturirana podpora v 5 korakih za dokumentiranje vaše skladnosti - brez obljubljanja česar koli, kar ne moremo zagotoviti niti mi niti kdorkoli drug namesto vas.

1
Korak 1 - Opredelitev

Prepoznajmo vašo dejansko izpostavljenost

Ali ste finančni subjekt, ki je neposredno zavezan (ena od 21 kategorij iz člena 2), ali ponudnik IKT, ki je posredno zavezan prek pogodbenih klavzul vaših finančnih strank (člen 30)? Natančen obseg pogojuje vse ostalo.

2
Korak 2 - Skrbni pregled

Odgovor na vaš kibernetski vprašalnik

Odgovorimo na vaš vprašalnik skrbnega pregleda banke, investitorja ali zavarovalnice (upravljanje, MFA, EDR, šifriranje, ozaveščanje ...), pri čemer se opiramo na tehnično revizijo vašega najemnika Microsoft 365 kot datiran in preverljiv dokaz.

3
Korak 3 - Register in pogodbe

Register IKT in klavzule iz člena 30

Pomagamo vam strukturirati vaš register pogodb IKT (čl. 28, odst. 3) ter preveriti ali vključiti minimalne in okrepljene pogodbene klavzule iz člena 30 v vaše pogodbe s ponudniki.

4
Korak 4 - Neprekinjenost in odpornost

PRA/PCA sektorski profil za finance

Naš PRA/PCA paket ponuja sektorski profil za finance (DORA, PSD2, ACPR), ki pokriva zahteve testiranja operativne odpornosti iz poglavja IV DORA, usklajene z ISO 22301.

5
Korak 5 - Dostava

Dokumentirana dokumentacija o skladnosti

Predaja vašemu vodstvu, vodji varnosti ali finančnemu direktorju konsolidirane dokumentacije, z natančnimi točkami, ki jih mora pred vsakršno komunikacijo z organi presoditi vaš pravni svetovalec.

Kaj prejmete

Konkretne, virovane rezultate, brez obljube certifikacije, ki je nihče ne more zagotoviti

📝

Odgovori na kibernetski skrbni pregled

10 tipičnih vprašanj skrbnega pregleda banke / M&A, dokumentiranih in virovanih (ILPA DDQ, CSA CAIQ, vprašalniki kibernetskih zavarovalnic).

  • Varnostna politika / priznan okvir
  • MFA, najmanjše privilegije, privilegirani računi
  • Licenca M365, EDR / lov na grožnje
  • Zastareli protokoli, šifriranje diskov
  • Program ozaveščanja
📄

Referenčni list DORA

Virovan povzetek uredbe (EU) 2022/2554.

  • Obseg: 21 kategorij subjektov (čl. 2)
  • 5 področij obveznosti
  • Roki za obveščanje (4h / 72h / 1 mesec)
  • Povezava z NIS2 (lex specialis)
📋

Register IKT (predloga čl. 28, odst. 3)

Struktura izčrpnega registra, ki ga zahtevajo organi.

  • Ponudnik in vrsta storitve
  • Kritičnost podprte funkcije
  • Država gostovanja podatkov
  • Oblika, pripravljena za letno posredovanje
🔐

Pogodbene klavzule (predloga čl. 30)

Za vključitev ali preverjanje v vaših pogodbah s ponudniki IKT.

  • Minimalne klavzule (vse pogodbe)
  • Okrepljene klavzule (kritične funkcije)
  • Pravice do revizije in pregleda
  • Izhodni načrti in prenosljivost podatkov
🏗

PRA/PCA profil za finance

Načrt neprekinjenega poslovanja in obnovitve dejavnosti, namenski sektorski profil.

  • Pokritost poglavja IV DORA (testi odpornosti)
  • Usklajeno z ISO 22301
  • Sektorski profil DORA / PSD2 / ACPR
  • Izhaja iz našega obstoječega paketa PRA/PCA
💾

Dokumentirana dokumentacija o skladnosti

Formata PDF in DOCX, ki združujeta vse rezultate.

  • Pripravljeno za vaše vodstvo / vodjo varnosti / finančnega direktorja
  • Označene točke, ki jih mora potrditi vaš odvetnik
  • Osnova za vaše izmenjave z ACPR / AMF
  • Urejevalno za letno posodabljanje

Primer: vprašalnik skrbnega pregleda banke

Izvleček 10 vprašanj, ki jih dokumentiramo za vas, z virom vsakega vprašanja

Tema Vprašanje Vir
Upravljanje Ali vaša varnostna politika temelji na priznanem okviru (NIST, ISO 27001)? ILPA DDQ 2.0
Neodvisna revizija Ali izvajate letno neodvisno revizijo in penetracijske teste? CSA CAIQ v4
Načrt incidentov Ali obstaja formalen, dokumentiran in vzdrževan načrt odzivanja na incidente? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Za katere storitve zahtevate večfaktorsko avtentikacijo? Travelers - MFA Supplement
Privilegirani računi Ali dostopi sledijo načelu najmanjših privilegijev, periodično pregledani? CSA CAIQ v4 IAM
Elektronska pošta Katero licenco M365 uporabljate? Ali je Defender / napreden lov na grožnje aktiven? vCSO.ai Cyber DD Checklist
Šifriranje Ali so diski terminalov v celoti šifrirani? Google VSAQ
Usposabljanje Ali je za vse zaposlene vzpostavljen program varnostnega ozaveščanja? CSA CAIQ v4 HRS

Pokrita besedila in okviri

Vsak rezultat izrecno navaja, kaj pokriva - in česa ne pokriva

DO

DORA (Uredba EU 2022/2554)

Register IKT (čl. 28), pogodbene klavzule (čl. 30), roki za obveščanje (čl. 19), sklic na določene kritične ponudnike IKT (čl. 32).

N2

NIS2 - povezava z DORA

DORA je lex specialis v razmerju do NIS2 za finančni sektor: zadevni subjekti uporabljajo DORA namesto enakovrednih ukrepov NIS2.

ISO

ISO 22301 - neprekinjeno poslovanje

Profil PRA/PCA za finance je usklajen z ISO 22301, okvirom za upravljanje neprekinjenega poslovanja, ki se uporablja kot dopolnitev DORA.

RG

GDPR - ločeno obveščanje

Obveščanje o incidentu po DORA (ACPR/AMF) je ločeno od obveščanja po GDPR (CNIL) v primeru kršitve osebnih podatkov: oboje je lahko zahtevano hkrati.

Podpora, prilagojena vašemu položaju

Vsaka dokumentacija DORA je drugačna glede na vaš status - v vseh primerih prilagojena ponudba

Ponudnik IKT

Zagotavljate storitve enemu ali več finančnim subjektom

Ponudba
glede na obseg
  • Odgovor na kibernetski skrbni pregled
  • Register IKT na strani ponudnika
  • Pregled klavzul člena 30
  • Dokumentirana dokumentacija, pripravljena za posredovanje
Zahtevajte ponudbo

Letno spremljanje

Redno posodabljanje dokumentacije (obveznosti, pogodbe, register)

Ponudba
ponavljajoče se
  • Posodobitev registra IKT
  • Letni pregled pogodbenih klavzul
  • Spremljanje določenih kritičnih ponudnikov
  • Podpora za vaše skrbne preglede strank
Zahtevajte ponudbo

Pogosta vprašanja

Ali je moje podjetje finančni subjekt, za katerega velja DORA?
Člen 2 DORA navaja 21 kategorij finančnih subjektov: kreditne in plačilne institucije, investicijska podjetja, ponudniki kripto-sredstev z dovoljenjem MiCA, zavarovanje in pozavarovanje, upravljanje skladov, bonitetne agencije in drugi. Mikropodjetja (manj kot 10 zaposlenih, promet ali bilanca stanja pod 2 mio EUR) so upravičena do sorazmernosti pri nekaterih obveznostih, vendar niso povsem izključena. Preveriti je treba za vsak primer posebej s pravnim svetovalcem.
Nisem banka, zakaj me DORA vseeno zadeva?
Če finančnemu subjektu zagotavljate storitve IKT (informatika, oblak, programska oprema, gostovanje), člen 30 nalaga vaši stranki, da vas vključi v svoj register in vam pogodbeno naloži natančne klavzule: pravice do revizije, takojšnje obveščanje o incidentih, izhodne načrte. Te obveznosti gredo prek pogodbe vaše stranke, ne prek neposrednega nadzora organa - razen če ste sami določeni za kritičnega ponudnika IKT (člen 31).
Kakšni so roki za obveščanje o resnem incidentu IKT?
Člen 19: začetno obvestilo v 4 urah po razvrstitvi kot resen incident (največ 24 ur po odkritju), vmesno poročilo v 72 urah, končno poročilo v 1 mesecu. Ta obvestila so ločena od morebitnega obvestila po GDPR organu CNIL v primeru kršitve osebnih podatkov.
Kaj je »kritični ponudnik IKT«?
To so ponudniki, ki jih izrecno določijo evropski nadzorni organi (EBA, ESMA, EIOPA) glede na merila sistemskega učinka, nadomestljivosti in odvisnosti (člen 31). Prvi uradni seznam, objavljen 18.-19. novembra 2025, šteje 19 ponudnikov. Zanje velja neposreden nadzor (inšpekcije, razširjeno poročanje); drugi ponudniki IKT ostajajo urejeni le s pogodbenimi klavzulami svojih finančnih strank.
Ali DORA v mojem sektorju nadomešča NIS2?
Da, za finančne subjekte v smislu člena 2: DORA je lex specialis v razmerju do NIS2 za finančni sektor. 21 zadevnih kategorij uporablja DORA namesto enakovrednih ukrepov NIS2 na področju obvladovanja tveganj in obveščanja o incidentih.
Ali ta storitev predstavlja pravni nasvet?
Ne. DORA-Express je dokumentacijsko podporno orodje, ne pravni nasvet. Natančno ugotavljanje, ali je vaša organizacija zavezana DORA, in pravno skladnost vaših pogodb mora pred vsako zavezujočo odločitvijo potrditi specializiran odvetnik.

Ste pripravljeni dokumentirati svojo skladnost z DORA?

Kontaktirajte nas za prilagojeno ponudbo glede na vaš status (finančni subjekt ali ponudnik IKT).

DORA-Express je dokumentacijsko podporno orodje in ne predstavlja pravnega nasveta. Zavezanost vaše organizacije k DORA in pravno veljavnost vaših pogodb in registrov mora potrditi specializiran odvetnik.

Regulativni pregled - uradni viri

DORA preprosto razložena, brez pravnega žargona. Vsaka spodnja točka napotuje na uradno besedilo, ki jo potrjuje.

Koga zadeva?

DORA se uporablja za evropske finančne akterje: banke, zavarovalnice, investicijske družbe, tržne platforme, upravljavce skladov, ponudnike plačilnih storitev ... ter za njihove informacijske ponudnike. Zelo majhne strukture so upravičene do olajšanih pravil.

uradni vir (EUR-Lex) ↗

Kaj DORA od vas konkretno zahteva

Uredba pokriva 6 glavnih tem: upravljanje informacijskega tveganja, nadzor vaših zunanjih ponudnikov, redne teste odpornosti, poročanje o resnih incidentih, izmenjavo informacij o grožnjah in nadzor nad največjimi informacijskimi ponudniki.

uradni vir (EIOPA) ↗

Datumi, ki jih velja zapomniti

Besedilo sprejeto 14. decembra 2022, objavljeno v Uradnem listu EU 27. decembra 2022 (UL L 333). Začetek veljavnosti 16. januarja 2023. Obveznosti resnično veljajo od 17. januarja 2025.

vir EUR-Lex ↗ · vir ESMA ↗

Nadzorovani so tudi vaši informacijski ponudniki

Največji informacijski ponudniki (oblak, gostovanje ...), ki veljajo za »kritične« za finančni sektor, so zdaj neposredno nadzorovani na evropski ravni, z vodilnim nadzornikom, ki jim lahko naloži ukrepe.

uradni vir (EIOPA) ↗

Naposled usklajeno poročanje o incidentih

Pred DORA je imela vsaka država EU svoja lastna pravila za prijavo resnega informacijskega incidenta. Zdaj velja enoten evropski postopek: resni incidenti se neposredno sporočajo pristojnim organom.

vir EUR-Lex ↗

Kaj pa sankcije?

Besedilo predvideva, da organi objavljajo upravne sankcije, ki jih izrečejo. Natančni zneski glob v virih, ki so bili do zdaj pregledani, niso stabilizirani - to je treba potrditi ob nadaljnjih uradnih pojasnilih.

vir EUR-Lex (uvodna izjava 97) ↗