Zašto je ovo važno? DORA se izravno primjenjuje u svim državama članicama i ne zahtijeva dodatnu nacionalnu provedbu. Ako ste financijski subjekt u EU, obveza usklađivanja već vrijedi.
DORA (eng. Digital Operational Resilience Act) — Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor — postavlja jedinstvene zahtjeve za upravljanje IKT rizicima u cijeloj Europskoj uniji. Cilj je osigurati da financijske institucije mogu preživjeti IKT poremećaje i kibernetičke prijetnje, odgovoriti na njih i oporaviti se.
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Uredba je donesena 14. prosinca 2022., na snagu je stupila 16. siječnja 2023., a punu primjenu ima od 17. siječnja 2025. — uključujući Hrvatsku.
Zašto je DORA nastala?
Prije DORA-e zahtjevi za IKT sigurnost u financijskom sektoru bili su fragmentirani po državama i sektorima. To je stvaralo nejednaku razinu zaštite i pravnu nesigurnost. DORA harmonizira:
Kibernetičke napade — sve sofisticiraniji i učestaliji
Prekide IKT usluga — mogu uzrokovati sustavne poremećaje
Ovisnost o trećim stranama — cloud, outsourcing, kritični pružatelji
Jedinstveni okvir — ista pravila u cijeloj EU
Ključna razlika: DORA je uredba — izravno se primjenjuje bez potrebe za transpozicijom u nacionalno zakonodavstvo. Hrvatska je donijela Zakon o provedbi (NN 135/24) koji uređuje nadležnost i provedbene detalje.
Na koga se DORA primjenjuje?
DORA obuhvaća 21 kategoriju financijskih subjekata te kritične treće pružatelje IKT usluga (CTPP).
Financijski subjekti u opsegu
Kategorija
Primjeri
Kreditne institucije
Banke, štedionice
Platne institucije
Pružatelji platnih usluga
Institucije za elektronički novac
Izdavatelji e-novca
Investicijska društva
Brokeri, upravitelji imovinom
Pružatelji usluga kripto-imovine
Kripto mjenjačnice, custodiani
Osiguravajuća i reosiguravajuća društva
Životno i neživotno osiguranje
Posrednici u osiguranju
Brokeri osiguranja (veći)
Mirovinski fondovi
Dobrovoljni i obvezni fondovi
Središnji depozitoriji VP
SKDD u Hrvatskoj
Središnje druge ugovorne strane (CCP)
Klirinške kuće
Mjesta trgovanja
Burze, MTF, OTF
Upravitelji fondova
UCITS i AIF upravitelji
Repozitoriji trgovinskih podataka
Prijava transakcija
Agencije za kreditni rejting
Rejting agencije
Administratori kritičnih referentnih vrijednosti
Administratori mjerila
Pružatelji usluga skupnog financiranja
Platforme za crowdfunding
Izdavatelji tokena vezanih uz imovinu (ART)
ART izdavatelji
Kritični treći pružatelji IKT usluga (CTPP)
Europska nadzorna tijela (EBA, ESMA, EIOPA) određuju koji pružatelji su kritični na temelju:
Sistemske važnosti usluga za financijski sektor
Stupnja ovisnosti institucija o tim uslugama
Supstitutivnosti — koliko je lako zamijeniti pružatelja
Geografske rasprostranjenosti — broj država članica
Kritični pružatelji podliježu izravnom nadzoru glavnog nadzornika s ovlastima za zahtjeve informacija, inspekcije i planove otklanjanja nedostataka.
Nadležna tijela u Hrvatskoj
Tijelo
Nadležnost
HANFA
Investicijska društva, kripto pružatelji, središnji depozitoriji, burze, upravitelji fondova, osiguravajuća i reosiguravajuća društva, posrednici u osiguranju
HNB
Kreditne institucije, platne institucije, institucije za e-novac, pružatelji usluga informacija o računu, izdavatelji ART tokena
Pet stupova DORA-e
DORA se temelji na pet stupova koji zajedno čine okvir digitalne operativne otpornosti:
Stup
Sadržaj
1
Upravljanje IKT rizicima
2
Upravljanje IKT incidentima i prijava
3
Testiranje digitalne operativne otpornosti
4
Upravljanje rizicima trećih strana
5
Razmjena informacija o prijetnjama
Stup 1: Upravljanje IKT rizicima
Financijski subjekti moraju uspostaviti i održavati sveobuhvatni okvir za upravljanje IKT rizicima.
Odgovornost uprave
Upravljačko tijelo snosi konačnu odgovornost za upravljanje IKT rizicima
Mora se odrediti osoba odgovorna za IKT sigurnost
Potrebni su odgovarajući resursi i proračun
Članovi uprave moraju redovito pohađati obuku o IKT rizicima
Okvir upravljanja IKT rizicima
Politike i procedure za identificiranje i procjenu rizika
Mjere zaštite i prevencije
Sposobnosti otkrivanja anomalija i incidenata
Planovi odgovora i oporavka
Mehanizmi učenja i poboljšanja
Strategije komunikacije (interna i prema regulatoru)
IKT imovina i sigurnost
Inventar IKT imovine — hardver, softver, podaci — s klasifikacijom prema kritičnosti
Politika informacijske sigurnosti odobrena od uprave
Kontinuitet poslovanja — BIA (Business Impact Analysis), planovi oporavka, definirani RTO (Recovery Time Objective) i RPO (Recovery Point Objective)
Praktično: Mnogi zahtjevi Stupa 1 preklapaju se s NIS2 direktivom i standardima poput ISO 27001. DORA za financijske subjekte postavlja lex specialis — za njih DORA ima prednost nad NIS2 u pokrivenim područjima.
Stup 2: Prijava IKT incidenata
DORA uvodi harmonizirani režim prijave IKT incidenata u cijeloj EU.
Kriteriji za klasifikaciju značajnog incidenta
Kriterij
Razmatranja
Pogođeni korisnici
Broj i udio pogođenih klijenata
Utjecaj na podatke
Gubitak, povreda integriteta, nedostupnost
Kritične funkcije
Utjecaj na kritične ili važne funkcije
Ekonomski utjecaj
Izravni i neizravni financijski gubici
Trajanje
Duljina prekida usluge
Geografska rasprostranjenost
Pogođene države članice
Rokovi prijave značajnih incidenata
Vrsta izvješća
Rok
Sadržaj
Početna obavijest
4 sata od klasifikacije (ili 24 sata ako incident nije klasificiran kao značajan unutar 4 sata)
Upozorenje: Rok od 4 sata za početnu obavijest zahtijeva unaprijed pripremljene procedure i jasnu odgovornost. Organizacije koje to ne uspostave riskiraju kršenje DORA-e čak i kada uspješno rješavaju incident.
Dobrovoljna prijava značajnih kibernetičkih prijetnji nadležnim tijelima dopuštena je i potiče se — doprinosi kolektivnoj sigurnosti sektora.
Stup 3: Testiranje otpornosti
DORA zahtijeva redovito testiranje IKT sustava proporcionalno veličini i rizičnom profilu subjekta.
Osnovno testiranje (svi subjekti)
Program testiranja mora obuhvaćati (među ostalim):
Procjene ranjivosti i skeniranja
Analize otvorenog koda i mrežne sigurnosti
Penetracijske testove
Testove scenarija, performansi i end-to-end testove
Provjere fizičke sigurnosti
Program mora biti dokumentiran i revidiran godišnje.
TLPT — testiranje vođeno prijetnjama
Za značajne subjekte obvezno je provođenje TLPT (Threat-Led Penetration Testing) najmanje svake tri godine:
Zahtjev
Opis
Temelj
Realistični obavještajni podaci o prijetnjama
Opseg
Kritične ili važne funkcije, uključujući produkcijske sustave
Provođenje
Kvalificirani neovisni testeri
Okvir
TIBER-EU ili ekvivalentni priznati standardi
Savjet stručnjaka: TLPT nije običan pentest — zahtijeva scenarije temeljene na stvarnim prijetnjama i posebnu kvalifikaciju testera. Planirajte angažman i troškove unaprijed.
Stup 4: Upravljanje trećim stranama
DORA postavlja sveobuhvatne zahtjeve za upravljanje rizicima koji proizlaze iz vanjskog ugovaranja IKT usluga.
Načela
Financijski subjekt ostaje u potpunosti odgovoran za usklađenost; vanjsko ugovaranje ne prenosi odgovornost
Rizici trećih strana integralni su dio okvira upravljanja IKT rizicima
Strategija upravljanja rizicima trećih strana mora biti odobrena od uprave
Registar informacija
Obvezno je vođenje registra koji sadrži informacije o svim ugovornim aranžmanima za IKT usluge:
Kategorija
Potrebni podaci
Identifikacija pružatelja
Naziv, registracija, lokacija, matično društvo
Ugovorni detalji
Datum, trajanje, odredbe o raskidu
Pružene usluge
Opis, priroda, procjena kritičnosti
Lanac podugovaranja
Podugovaratelji i njihove lokacije
Procjena rizika
Kritičnost funkcije, supstitutivnost
Prva predaja registra nadležnim tijelima: 30. travnja 2025.
Ugovorni zahtjevi
Ugovori s IKT pružateljima moraju sadržavati:
Jasan opis funkcija i usluga
Kvantitativne i kvalitativne ciljeve performansi
SLA (ugovori o razini usluge) s mjerama otklanjanja nedostataka
Obveze prijavljivanja incidenata
Prava pristupa, inspekcije i revizije nadležnog tijela
Odredbe o prijelazu i raskidu
Obveze vezane uz lokaciju i obradu podataka (uključujući GDPR)
Praktično: Globalni cloud pružatelji (AWS, Azure, Google Cloud) moraju poštivati DORA zahtjeve kada pružaju usluge financijskim subjektima u EU. Ugovori moraju biti revidirani i nadopunjeni potrebnim klauzulama.
Stup 5: Razmjena informacija
DORA omogućuje (ali ne obvezuje) financijskim subjektima razmjenu obavještajnih podataka o prijetnjama.
Dopuštene informacije uključuju: indikatore kompromitacije (IoC), taktike i tehnike napada (TTP), upozorenja o kibernetičkoj sigurnosti, konfiguracijske alate. Razmjena mora poštivati zaštitu komercijalno osjetljivih i osobnih podataka i provoditi se unutar pouzdanih zajednica prema smjernicama nadležnih tijela.
Vremenski okvir i rokovi
Datum
Događaj
14. prosinca 2022.
Donošenje DORA uredbe
16. siječnja 2023.
Stupanje na snagu uredbe
17. siječnja 2024.
Objava RTS/ITS tehničkih standarda
27. studenoga 2024.
Hrvatski Zakon o provedbi (NN 135/24)
17. siječnja 2025.
Puna primjena DORA-e
30. travnja 2025.
Prva predaja registra informacija nadležnim tijelima
Kazne i odgovornost uprave
Novčane kazne
Do 1 % prosječnog dnevnog prometa na globalnoj razini (za financijske subjekte)
Za kritične treće pružatelje: periodične penale do 1 % prosječnog dnevnog prometa
Dodatne mjere
Privremene suspenzije certifikata ili odobrenja
Zabrana obavljanja upravljačkih funkcija
Javna objava odluka o kršenju
Nalog za prestanak određenog ponašanja
Odgovornost uprave
Članovi upravljačkog tijela mogu biti osobno odgovorni za neusklađenost — uključujući novčane kazne, privremene zabrane i reputacijske posljedice.
Koraci za usklađivanje
Procjena primjenjivosti — utvrdite pripada li vaša organizacija opsegu DORA-e i koje je nadležno tijelo (HANFA / HNB).
Analiza nedostataka — usporedite trenutno stanje s pet stupova DORA-e i odredite prioritetne nedostatke.
Uspostava upravljanja — angažman uprave, imenovanje odgovorne osobe za IKT sigurnost, obuka.
Upravljanje incidentima — klasifikacija, priprema predložaka za prijavu u roku od 4 sata, testiranje kroz vježbe.
Program testiranja — godišnji plan, ranjivosti, TLPT ako ste značajni subjekt.
Upravljanje trećim stranama — inventar IKT pružatelja, procjena kritičnosti, revizija ugovora, registar informacija (predaja do 30. travnja 2025.).
Dokumentacija i izvještavanje — registar, dokumentiranje procesa i odluka.
DORA i druge regulative
DORA i NIS2
DORA je lex specialis u odnosu na NIS2 za financijski sektor: zahtjevi DORA-e imaju prednost za subjekte u njezinom opsegu; NIS2 se primjenjuje tamo gdje DORA šuti.
DORA i GDPR
DORA nadopunjuje GDPR: obrada osobnih podataka mora biti usklađena s GDPR-om. Prijava incidenta prema DORA-i ne zamjenjuje prijavu povrede osobnih podataka prema GDPR-u — isti incident može zahtijevati obje prijave.
DORA i sektorska regulativa
DORA harmonizira IKT zahtjeve kroz sve financijske subjekte — uključujući investicijska društva pod MiFID II — i zamjenjuje fragmentirane sektorske smjernice za IKT.
FAQ i službeni izvori
Mora li moja institucija biti usklađena s DORA-om?
Ako ste jedan od 21 tipa financijskih subjekata definiranih u DORA-i i poslujete u EU, da — DORA se izravno primjenjuje od 17. siječnja 2025. Nema prijelaznog razdoblja.
Koji je rok za prijavu značajnog incidenta?
Početna obavijest: 4 sata od klasifikacije (ili 24 sata ako nije odmah klasificiran kao značajan). Međuizvješće: 72 sata. Završno izvješće: 1 mjesec od rješenja.
Pomaže li ISO 27001 u ispunjavanju DORA zahtjeva?
ISO 27001 je izvrsna osnova za Stup 1 (upravljanje IKT rizicima). DORA ima specifične zahtjeve — posebno prijava incidenata (rokovi, format), TLPT i upravljanje trećim stranama s registrom — koji nadilaze ISO 27001.
Tko nadzire DORA u Hrvatskoj?
HANFA — većina subjekata tržišta kapitala i osiguranja. HNB — kreditne i platne institucije, e-novac, ART izdavatelji.
DORA uredba predstavlja temeljnu promjenu u reguliranju digitalne otpornosti financijskog sektora u EU. Za hrvatske financijske institucije usklađenost je zakonska obveza od 17. siječnja 2025.
Ključne poruke:
DORA se izravno primjenjuje — bez dodatne nacionalne transpozicije
Uprava je odgovorna — aktivni nadzor IKT rizika i obuka
Treće strane su u fokusu — vanjsko ugovaranje ne prenosi odgovornost; registar do 30. travnja 2025.
Testiranje je obvezno — uključujući TLPT za značajne subjekte
Prijava incidenata — harmonizirani rokovi (4 h / 72 h / 1 mj)
Trebate pomoć s DORA usklađivanjem? Vision Compliance nudi gap analizu, izradu dokumentacije, upravljanje trećim stranama i pripremu za testiranje. Zakažite besplatne konzultacije →
Izvori: EUR-Lex (Uredba 2022/2554), NN 135/24, HANFA, HNB, EBA
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
