DORA (eng. Digital Operational Resilience Act) ili Uredba o digitalnoj operativnoj otpornosti je europski zakonodavni okvir koji postavlja jedinstvene zahtjeve za upravljanje IKT rizicima u financijskom sektoru. Uredba je u potpunosti stupila na snagu 17. siječnja 2025. godine i izravno se primjenjuje u svim državama članicama EU, uključujući Hrvatsku.
Što je DORA Uredba?
Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. godine o digitalnoj operativnoj otpornosti za financijski sektor (DORA) predstavlja sveobuhvatni regulatorni okvir koji osigurava da financijske institucije mogu izdržati, odgovoriti na i oporaviti se od svih vrsta IKT poremećaja i prijetnji.
Zašto je DORA nastala?
Financijski sektor postaje sve ovisniji o tehnologiji i digitalnim rješenjima. Ova ovisnost stvara nove ranjivosti:
- Kibernetički napadi na financijske institucije sve su sofisticiraniji i učestaliji
- Prekidi IKT usluga mogu uzrokovati značajne poremećaje u financijskom sustavu
- Treći pružatelji usluga (cloud, IT outsourcing) postaju kritične točke rizika
- Postojeća regulativa bila je fragmentirana i nedostatna za digitalno doba
Prije DORA-e, svaka država članica imala je vlastite zahtjeve za IKT sigurnost u financijskom sektoru, što je stvaralo pravnu nesigurnost i nejednaku razinu zaštite. DORA harmonizira ove zahtjeve na razini cijele EU.
Ključni ciljevi DORA-e
- Uspostaviti jedinstveni okvir za upravljanje IKT rizicima u financijskom sektoru
- Povećati otpornost financijskih institucija na kibernetičke prijetnje
- Standardizirati prijavu incidenata za bolju koordinaciju na razini EU
- Regulirati kritične treće strane - posebno pružatelje cloud usluga
- Omogućiti razmjenu informacija o prijetnjama među institucijama
Na koga se DORA primjenjuje?
DORA obuhvaća 21 kategoriju financijskih subjekata i njihove kritične IKT pružatelje usluga.
Financijski subjekti u opsegu DORA-e
| Kategorija | Primjeri |
|---|---|
| Kreditne institucije | Banke, štedionice |
| Platne institucije | Pružatelji platnih usluga |
| Institucije za elektronički novac | Izdavatelji e-novca |
| Investicijska društva | Brokeri, asset manageri |
| Pružatelji usluga kripto-imovine | Kripto mjenjačnice, custodiani |
| Osiguravajuća društva | Životno i neživotno osiguranje |
| Reosiguravajuća društva | Reosiguratelji |
| Posrednici u osiguranju | Brokeri osiguranja (veći) |
| Mirovinski fondovi | Dobrovoljni i obvezni fondovi |
| Središnji depozitoriji VP | SKDD u Hrvatskoj |
| Središnje druge ugovorne strane | CCP-ovi |
| Mjesta trgovanja | Burze, alternativni sustavi trgovanja |
| Upravitelji fondova | UCITS i AIF upravitelji |
| Repozitoriji trgovinskih podataka | Repozitoriji podataka o transakcijama |
| Agencije za kreditni rejting | Rejting agencije |
| Administratori kritičnih referentnih vrijednosti | Administratori mjerila |
| Pružatelji usluga skupnog financiranja | Platforme za skupno financiranje |
| Izdavatelji tokena vezanih uz imovinu | ART izdavatelji |
Kritični treći pružatelji IKT usluga
DORA uvodi poseban nadzorni okvir za kritične treće pružatelje IKT usluga (CTPP - Critical Third-Party Providers):
- Cloud pružatelji usluga
- Pružatelji data centara
- Veliki IT outsourcing pružatelji
- Pružatelji softverskih rješenja za core banking
Europska nadzorna tijela (EBA, ESMA, EIOPA) određuju koji pružatelji se smatraju kritičnima na temelju:
- Sistemske važnosti usluga
- Stupnja ovisnosti financijskog sektora
- Supstitutivnosti usluga
- Broja država članica u kojima djeluju
Nadležna tijela u Hrvatskoj
U Hrvatskoj su nadležna tijela za provedbu DORA-e:
| Tijelo | Nadležnost |
|---|---|
| HANFA | Investicijska društva, kripto pružatelji, središnji depozitoriji, burze, upravitelji fondova, osiguravajuća društva, reosiguravatelji, posrednici u osiguranju |
| HNB | Kreditne institucije, platne institucije, institucije za elektronički novac, pružatelji usluga informacija o računu, izdavatelji ART tokena |
Zakon o provedbi Uredbe (EU) 2022/2554 objavljen je u Narodnim novinama br. 135/24 i stupio na snagu 17. siječnja 2025.
Pet stupova DORA-e
DORA se temelji na pet ključnih stupova koji zajedno čine sveobuhvatni okvir digitalne operativne otpornosti.
Stup 1: Upravljanje IKT rizicima
Financijski subjekti moraju uspostaviti i održavati sveobuhvatni okvir za upravljanje IKT rizicima koji uključuje:
Upravljanje i organizacija
- Upravljačko tijelo snosi konačnu odgovornost za upravljanje IKT rizicima
- Mora se odrediti osoba odgovorna za IKT sigurnost
- Potrebno je osigurati odgovarajuće resurse i proračun
- Članovi uprave moraju redovito pohađati obuku o IKT rizicima
Okvir upravljanja IKT rizicima
- Politike i procedure za identificiranje i procjenu rizika
- Mjere zaštite i prevencije
- Sposobnosti otkrivanja anomalija i incidenata
- Planovi odgovora i oporavka
- Mehanizmi učenja i poboljšanja
- Strategije komunikacije
Upravljanje IKT imovinom
- Potpuni inventar IKT imovine (hardver, softver, podaci)
- Klasifikacija prema kritičnosti
- Redovita revizija i ažuriranje
Politike IKT sigurnosti
- Politika informacijske sigurnosti odobrena od uprave
- Politike kontrole pristupa i enkripcije
- Upravljanje ranjivostima i zakrpama
- Mrežna sigurnost
Kontinuitet poslovanja
- Politika kontinuiteta IKT poslovanja
- Analiza utjecaja na poslovanje (BIA)
- Planovi oporavka od katastrofe
- Definirani RTO i RPO za kritične funkcije
Stup 2: Upravljanje IKT incidentima i prijava
DORA uvodi harmonizirani režim prijave IKT incidenata u cijeloj EU.
Proces upravljanja incidentima
Financijski subjekti moraju implementirati procese za:
- Otkrivanje i identificiranje IKT incidenata
- Klasifikaciju prema definiranim kriterijima
- Određivanje utjecaja na kritične funkcije
- Pokretanje procedura odgovora i oporavka
- Dokumentiranje naučenih lekcija
Kriteriji za klasifikaciju incidenata
Incidenti se klasificiraju kao značajni prema sljedećim kriterijima:
| Kriterij | Razmatranja |
|---|---|
| Pogođeni korisnici | Broj i udio pogođenih klijenata |
| Utjecaj na podatke | Gubitak, povreda integriteta, nedostupnost |
| Kritične funkcije | Utjecaj na kritične ili važne funkcije |
| Ekonomski utjecaj | Izravni i neizravni financijski gubici |
| Trajanje | Duljina prekida usluge |
| Geografska rasprostranjenost | Pogođene države članice |
Rokovi prijave značajnih incidenata
| Vrsta izvješća | Rok | Sadržaj |
|---|---|---|
| Početna obavijest | 4 sata od klasifikacije (24 sata ako nije klasificiran kao značajan unutar 4 sata) | Osnovni podaci o incidentu i inicijalna procjena |
| Međuizvješće | 72 sata od početne obavijesti | Ažurirane informacije i status odgovora |
| Završno izvješće | 1 mjesec od rješenja incidenta | Analiza uzroka, naučene lekcije, mjere remedijacije |
Dobrovoljno prijavljivanje prijetnji
Financijski subjekti mogu dobrovoljno prijaviti značajne kibernetičke prijetnje nadležnim tijelima, što doprinosi kolektivnoj sigurnosti sektora.
Stup 3: Testiranje digitalne operativne otpornosti
DORA zahtijeva redovito testiranje IKT sustava kako bi se osigurala njihova otpornost.
Program testiranja
Financijski subjekti moraju uspostaviti program testiranja koji:
- Je proporcionalan veličini i rizičnom profilu
- Obuhvaća sve kritične IKT sustave
- Je dokumentiran i revidiran godišnje
- Ima jasne ciljeve i metodologije
Vrste testiranja
Osnovno testiranje (svi subjekti)
- Procjene ranjivosti i skeniranja
- Analize otvorenog koda
- Procjene mrežne sigurnosti
- Analize nedostataka
- Provjere fizičke sigurnosti
- Testovi scenarija
- Testovi kompatibilnosti
- Testovi performansi
- End-to-end testovi
- Penetracijski testovi
Napredno testiranje (značajni subjekti)
- TLPT (Threat-Led Penetration Testing) - testiranje vođeno prijetnjama
Testiranje vođeno prijetnjama (TLPT)
TLPT se mora provoditi najmanje svake tri godine za subjekte identificirane kao značajne:
- Temelji se na realističnim obavještajnim podacima o prijetnjama
- Obuhvaća kritične ili važne funkcije
- Uključuje produkcijske sustave
- Provode ga kvalificirani neovisni testeri
- Koristi TIBER-EU okvir ili ekvivalentne priznate standarde
Stup 4: Upravljanje rizicima trećih strana
DORA postavlja sveobuhvatne zahtjeve za upravljanje rizicima koji proizlaze iz IKT outsourcinga.
Opća načela
Financijski subjekti moraju:
- Ostati u potpunosti odgovorni za usklađenost neovisno o outsourcingu
- Upravljati rizicima trećih strana kao integralnim dijelom okvira upravljanja IKT rizicima
- Donijeti strategiju upravljanja rizicima trećih strana odobrenu od uprave
Registar informacija
Obvezno je vođenje registra koji sadrži informacije o svim ugovornim aranžmanima za IKT usluge:
| Kategorija informacija | Potrebni podaci |
|---|---|
| Identifikacija pružatelja | Naziv, registracija, lokacija, matično društvo |
| Ugovorni detalji | Datum ugovora, trajanje, odredbe o raskidu |
| Pružene usluge | Opis, priroda, procjena kritičnosti |
| Lanac podugovaranja | Podugovaratelji i njihove lokacije |
| Procjena rizika | Kritičnost funkcije, supstitutivnost |
Ugovorni zahtjevi
Ugovori s IKT pružateljima moraju sadržavati:
- Jasan opis funkcija i usluga
- Kvantitativne i kvalitativne ciljeve performansi
- Ugovore o razini usluge (SLA) s mjerama remedijacije
- Obveze prijavljivanja incidenata
- Prava pristupa, inspekcije i revizije
- Odredbe o prijelazu i raskidu
- Obveze vezane uz lokaciju i obradu podataka
Kritični treći pružatelji IKT usluga
ESA-e (EBA, ESMA, EIOPA) određuju kritične pružatelje na temelju:
- Sistemske važnosti za financijske subjekte
- Stupnja supstitutivnosti
- Broja država članica u kojima pružaju usluge
Kritični pružatelji podliježu izravnom nadzoru glavnog nadzornika s ovlastima da:
- Zatraži informacije i dokumentaciju
- Provodi opće istrage i inspekcije
- Izdaje preporuke i zahtijeva planove remedijacije
Stup 5: Razmjena informacija
DORA omogućuje (ali ne obvezuje) financijske subjekte na razmjenu obavještajnih podataka o prijetnjama.
Dopuštene informacije za razmjenu
- Indikatori kompromitacije
- Taktike, tehnike i procedure (TTP)
- Upozorenja o kibernetičkoj sigurnosti
- Konfiguracijski alati
- Obavještajni podaci o prijetnjama
Uvjeti za razmjenu
- Zaštita komercijalno osjetljivih informacija
- Poštivanje zaštite osobnih podataka
- Provođenje unutar pouzdanih zajednica
- Poštivanje smjernica nadležnih tijela
Vremenski okvir primjene
| Datum | Događaj |
|---|---|
| 14. prosinca 2022. | Donošenje DORA uredbe |
| 16. siječnja 2023. | Stupanje na snagu uredbe |
| 17. siječnja 2024. | Objava tehničkih standarda (RTS/ITS) |
| 27. studenoga 2024. | Objava hrvatskog Zakona o provedbi (NN 135/24) |
| 17. siječnja 2025. | Puna primjena DORA-e |
| 30. travnja 2025. | Prva predaja registra informacija nadležnim tijelima |
Kazne za neusklađenost
DORA predviđa značajne kazne za nepoštivanje odredbi.
Administrativne kazne
Nadležna tijela mogu izreći novčane kazne:
- Do 1% prosječnog dnevnog prometa na globalnoj razini
- Za kritične treće pružatelje: periodične penale do 1% prosječnog dnevnog prometa
Dodatne mjere
- Privremene suspenzije certifikata ili odobrenja
- Zabrana obavljanja upravljačkih funkcija
- Javna objava odluka o kršenju
- Nalog za prestanak određenog ponašanja
Odgovornost uprave
Članovi upravljačkog tijela mogu biti osobno odgovorni za neusklađenost, što može uključivati:
- Novčane kazne
- Privremene zabrane obavljanja funkcija
- Reputacijske posljedice
Koraci za usklađivanje s DORA-om
Korak 1: Procjena primjenjivosti
- Utvrdite pripada li vaša organizacija opsegu DORA-e
- Identificirajte koje kategorije subjekata obuhvaćate
- Utvrdite nadležno tijelo (HANFA ili HNB)
Korak 2: Gap analiza
- Procijenite trenutno stanje upravljanja IKT rizicima
- Usporedite s DORA zahtjevima
- Identificirajte nedostatke
- Prioritizirajte aktivnosti remedijacije
Korak 3: Uspostava upravljanja
- Osigurajte angažman i odgovornost uprave
- Imenujte odgovornu osobu za IKT sigurnost
- Osigurajte odgovarajuće resurse
- Organizirajte obuku za upravu
Korak 4: Razvoj okvira upravljanja rizicima
- Izradite politike i procedure
- Uspostavite procese procjene rizika
- Definirajte mjere zaštite i kontrole
- Implementirajte mehanizme otkrivanja
Korak 5: Upravljanje incidentima
- Definirajte procese klasifikacije i prijave
- Uspostavite komunikacijske kanale s nadležnim tijelima
- Pripremite predloške za prijavu
- Testirajte procedure kroz vježbe
Korak 6: Program testiranja
- Izradite godišnji plan testiranja
- Provodite redovita testiranja ranjivosti
- Planirajte TLPT ako ste značajni subjekt
- Dokumentirajte rezultate i mjere remedijacije
Korak 7: Upravljanje trećim stranama
- Napravite inventar svih IKT pružatelja
- Procijenite kritičnost svake usluge
- Revidirajte i ažurirajte ugovore
- Uspostavite registar informacija
- Implementirajte kontinuirani nadzor
Korak 8: Dokumentacija i izvještavanje
- Uspostavite registar informacija
- Pripremite se za regulatorno izvještavanje
- Dokumentirajte sve procese i odluke
DORA i druge regulative
DORA i NIS2
DORA je lex specialis u odnosu na NIS2 za financijski sektor:
- Zahtjevi DORA-e imaju prednost za subjekte u opsegu
- NIS2 se primjenjuje tamo gdje DORA šuti
- Financijski subjekti ne moraju posebno ispunjavati NIS2 zahtjeve pokrivene DORA-om
DORA i GDPR
DORA nadopunjuje GDPR:
- Obrada osobnih podataka mora biti usklađena s GDPR-om
- Prijava incidenta prema DORA-i ne zamjenjuje prijavu povrede prema GDPR-u
- Isti incident može zahtijevati prijavu prema oba propisa
DORA i sektorska regulativa
DORA harmonizira IKT zahtjeve kroz financijske sektore:
- Zamjenjuje fragmentirane sektorske smjernice za IKT
- Pruža konzistentnu osnovu za sve financijske subjekte
- Nacionalna tijela mogu propisati dodatne zahtjeve u specifičnim okolnostima
Česta pitanja
Mora li moja financijska institucija biti usklađena s DORA-om?
Ako ste jedan od 21 tipa financijskih subjekata definiranih u DORA-i i poslujete u EU, da - DORA se izravno primjenjuje na vas od 17. siječnja 2025.
Koji je rok za usklađivanje?
DORA se u potpunosti primjenjuje od 17. siječnja 2025. Nema prijelaznog razdoblja - subjekti trebaju već sada biti usklađeni.
Kako DORA utječe na naše cloud pružatelje?
Morate procijeniti sve IKT pružatelje, posebno cloud providere. Ugovori moraju sadržavati odredbe usklađene s DORA-om, a kritični pružatelji podliježu izravnom EU nadzoru.
Što ako koristimo usluge globalnih cloud pružatelja?
I oni moraju poštivati DORA zahtjeve kada pružaju usluge financijskim subjektima u EU. Morate osigurati da vaši ugovori sadrže potrebne odredbe o reviziji, pristupu i lokaciji podataka.
Pomaže li ISO 27001 certifikat u ispunjavanju DORA zahtjeva?
ISO 27001 je izvrsna osnova i pomaže u ispunjavanju mnogih DORA zahtjeva za upravljanje IKT rizicima. Međutim, DORA ima specifične zahtjeve (posebno za prijavu incidenata, TLPT testiranje i upravljanje trećim stranama) koji nadilaze ISO 27001.
Tko nadzire provedbu DORA-e u Hrvatskoj?
HANFA i HNB, ovisno o vrsti financijskog subjekta. HANFA nadzire većinu subjekata tržišta kapitala i osiguranja, dok HNB nadzire kreditne i platne institucije.
Zaključak
DORA uredba predstavlja temeljnu promjenu u reguliranju digitalne otpornosti financijskog sektora u EU. Za hrvatske financijske institucije, usklađenost više nije opcija - to je zakonska obveza koja je stupila na snagu 17. siječnja 2025.
Ključne poruke:
- DORA se izravno primjenjuje - nema potrebe za dodatnom nacionalnom transpozicijom
- Uprava je odgovorna - članovi uprave moraju aktivno nadzirati IKT rizike
- Treće strane su u fokusu - outsourcing ne prenosi odgovornost
- Testiranje je obvezno - redovito testiranje otpornosti postaje standard
- Prijava incidenata je harmonizirana - novi rokovi i postupci na razini EU
Organizacije koje ozbiljno pristupe DORA usklađivanju ne samo da će ispuniti regulatorne zahtjeve, već će izgraditi stvarnu otpornost na digitalne prijetnje koje sve više ugrožavaju financijski sektor.
Trebate pomoć s DORA usklađivanjem?
Vision Compliance nudi stručno savjetovanje za financijske institucije u procesu usklađivanja s DORA uredbom:
- Gap analiza - Procjena trenutnog stanja i identifikacija nedostataka
- Izrada dokumentacije - Politike, procedure, registar informacija
- Upravljanje trećim stranama - Revizija ugovora i procjena dobavljača
- Priprema za testiranje - Program testiranja otpornosti
- Obuka uprave - Edukacija o IKT rizicima i odgovornostima
Povezani članci
- NIS2 direktiva - vodič za Hrvatsku - Kibernetička sigurnost zahtjevi koji nadopunjuju DORA
- MiFID II vodič - Usklađenost investicijskih društava
- Sprečavanje pranja novca - AML vodič - Zahtjevi za sprječavanje pranja novca
Stručna pomoć
- Financijska usklađenost usluge - DORA, MiFID II i AML podrška
- Kibernetička sigurnost usluge - Upravljanje ICT rizicima i testiranje otpornosti
- Zatražite besplatne konzultacije
Izvori: