Evropska uredba o digitalni operativni odpornosti finančnega sektorja (DORA) nalaga finančnim subjektom - in posredno njihovim ponudnikom IKT - izčrpen register pogodb, natančne pogodbene klavzule in datirane revizijske dokaze. SYAGA DORA-Express vam pomaga izpolniti te zahteve brez improvizacije, ne glede na to, ali ste finančni subjekt ali ponudnik.
DORA je uredba, ne direktiva: neposredno se uporablja v vseh državah članicah, brez čakanja na nacionalni zakon o prenosu.
Uredba (EU) 2022/2554 z dne 14. decembra 2022, objavljena v UL EU 27. decembra 2022, je začela veljati 16. januarja 2023 in se uporablja od 17. januarja 2025. Nobenega nacionalnega prenosa ni potrebno, neposredno je zavezujoča.
Vsak finančni subjekt mora vzdrževati in letno posredovati organom popoln register svojih pogodb IKT: ponudnik, vrsta storitve, kritičnost funkcije, država gostovanja podatkov.
Pravice do revizije in pregleda, jamstva za razpoložljivost in celovitost podatkov, testirani izhodni načrti, takojšnje obveščanje o incidentih. Te klavzule se prenesejo od vašega finančnega naročnika na vas, če ste njegov ponudnik IKT.
Pred podpisom ali obnovitvijo pogodbe banka, zavarovalnica ali investitor pošlje kibernetski vprašalnik (upravljanje, MFA, EDR, šifriranje, ozaveščanje). Odgovor brez dokumentiranih dokazov pomeni izgubo pogodbe.
18.-19. novembra 2025 so evropski nadzorni organi (EBA, ESMA, EIOPA) objavili prvi uradni seznam kritičnih ponudnikov IKT v skladu s členom 32 DORA. Med imeni, potrjenimi v uradnih sporočilih: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (in 14 drugih ponudnikov, ki v naših virih niso poimensko potrjeni).
Konkretna posledica: če vaše kritične storitve temeljijo na enem od teh ponudnikov, mora vaš finančni naročnik to zdaj dokumentirati v svojem registru IKT - in vas lahko povpraša o vaši lastni verigi podizvajalcev.
Vir: uradna sporočila EIOPA in ESMA z dne 18.-19. novembra 2025 (eiopa.europa.eu, esma.europa.eu).
Strukturirana podpora v 5 korakih za dokumentiranje vaše skladnosti - brez obljubljanja česar koli, kar ne moremo zagotoviti niti mi niti kdorkoli drug namesto vas.
Ali ste finančni subjekt, ki je neposredno zavezan (ena od 21 kategorij iz člena 2), ali ponudnik IKT, ki je posredno zavezan prek pogodbenih klavzul vaših finančnih strank (člen 30)? Natančen obseg pogojuje vse ostalo.
Odgovorimo na vaš vprašalnik skrbnega pregleda banke, investitorja ali zavarovalnice (upravljanje, MFA, EDR, šifriranje, ozaveščanje ...), pri čemer se opiramo na tehnično revizijo vašega najemnika Microsoft 365 kot datiran in preverljiv dokaz.
Pomagamo vam strukturirati vaš register pogodb IKT (čl. 28, odst. 3) ter preveriti ali vključiti minimalne in okrepljene pogodbene klavzule iz člena 30 v vaše pogodbe s ponudniki.
Naš PRA/PCA paket ponuja sektorski profil za finance (DORA, PSD2, ACPR), ki pokriva zahteve testiranja operativne odpornosti iz poglavja IV DORA, usklajene z ISO 22301.
Predaja vašemu vodstvu, vodji varnosti ali finančnemu direktorju konsolidirane dokumentacije, z natančnimi točkami, ki jih mora pred vsakršno komunikacijo z organi presoditi vaš pravni svetovalec.
Konkretne, virovane rezultate, brez obljube certifikacije, ki je nihče ne more zagotoviti
10 tipičnih vprašanj skrbnega pregleda banke / M&A, dokumentiranih in virovanih (ILPA DDQ, CSA CAIQ, vprašalniki kibernetskih zavarovalnic).
Virovan povzetek uredbe (EU) 2022/2554.
Struktura izčrpnega registra, ki ga zahtevajo organi.
Za vključitev ali preverjanje v vaših pogodbah s ponudniki IKT.
Načrt neprekinjenega poslovanja in obnovitve dejavnosti, namenski sektorski profil.
Formata PDF in DOCX, ki združujeta vse rezultate.
Izvleček 10 vprašanj, ki jih dokumentiramo za vas, z virom vsakega vprašanja
| Tema | Vprašanje | Vir |
|---|---|---|
| Upravljanje | Ali vaša varnostna politika temelji na priznanem okviru (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Neodvisna revizija | Ali izvajate letno neodvisno revizijo in penetracijske teste? | CSA CAIQ v4 |
| Načrt incidentov | Ali obstaja formalen, dokumentiran in vzdrževan načrt odzivanja na incidente? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Za katere storitve zahtevate večfaktorsko avtentikacijo? | Travelers - MFA Supplement |
| Privilegirani računi | Ali dostopi sledijo načelu najmanjših privilegijev, periodično pregledani? | CSA CAIQ v4 IAM |
| Elektronska pošta | Katero licenco M365 uporabljate? Ali je Defender / napreden lov na grožnje aktiven? | vCSO.ai Cyber DD Checklist |
| Šifriranje | Ali so diski terminalov v celoti šifrirani? | Google VSAQ |
| Usposabljanje | Ali je za vse zaposlene vzpostavljen program varnostnega ozaveščanja? | CSA CAIQ v4 HRS |
Vsak rezultat izrecno navaja, kaj pokriva - in česa ne pokriva
Register IKT (čl. 28), pogodbene klavzule (čl. 30), roki za obveščanje (čl. 19), sklic na določene kritične ponudnike IKT (čl. 32).
DORA je lex specialis v razmerju do NIS2 za finančni sektor: zadevni subjekti uporabljajo DORA namesto enakovrednih ukrepov NIS2.
Profil PRA/PCA za finance je usklajen z ISO 22301, okvirom za upravljanje neprekinjenega poslovanja, ki se uporablja kot dopolnitev DORA.
Obveščanje o incidentu po DORA (ACPR/AMF) je ločeno od obveščanja po GDPR (CNIL) v primeru kršitve osebnih podatkov: oboje je lahko zahtevano hkrati.
Vsaka dokumentacija DORA je drugačna glede na vaš status - v vseh primerih prilagojena ponudba
Zagotavljate storitve enemu ali več finančnim subjektom
Neposredno ste zavezani DORA (ena od 21 kategorij, čl. 2)
Redno posodabljanje dokumentacije (obveznosti, pogodbe, register)
Kontaktirajte nas za prilagojeno ponudbo glede na vaš status (finančni subjekt ali ponudnik IKT).
DORA preprosto razložena, brez pravnega žargona. Vsaka spodnja točka napotuje na uradno besedilo, ki jo potrjuje.
DORA se uporablja za evropske finančne akterje: banke, zavarovalnice, investicijske družbe, tržne platforme, upravljavce skladov, ponudnike plačilnih storitev ... ter za njihove informacijske ponudnike. Zelo majhne strukture so upravičene do olajšanih pravil.
Uredba pokriva 6 glavnih tem: upravljanje informacijskega tveganja, nadzor vaših zunanjih ponudnikov, redne teste odpornosti, poročanje o resnih incidentih, izmenjavo informacij o grožnjah in nadzor nad največjimi informacijskimi ponudniki.
Besedilo sprejeto 14. decembra 2022, objavljeno v Uradnem listu EU 27. decembra 2022 (UL L 333). Začetek veljavnosti 16. januarja 2023. Obveznosti resnično veljajo od 17. januarja 2025.
Največji informacijski ponudniki (oblak, gostovanje ...), ki veljajo za »kritične« za finančni sektor, so zdaj neposredno nadzorovani na evropski ravni, z vodilnim nadzornikom, ki jim lahko naloži ukrepe.
Pred DORA je imela vsaka država EU svoja lastna pravila za prijavo resnega informacijskega incidenta. Zdaj velja enoten evropski postopek: resni incidenti se neposredno sporočajo pristojnim organom.
Besedilo predvideva, da organi objavljajo upravne sankcije, ki jih izrečejo. Natančni zneski glob v virih, ki so bili do zdaj pregledani, niso stabilizirani - to je treba potrditi ob nadaljnjih uradnih pojasnilih.