Brzi pregled: ključne činjenice o DORA uredbi
| Činjenica | Detalj |
|---|---|
| Puni naziv | Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti |
| Puna primjena | 17. siječnja 2025. (bez prijelaznog razdoblja) |
| Primjena u Hrvatskoj | Zakon o provedbi (NN 135/24) |
| Nadležna tijela | HANFA (tržište kapitala, osiguranje) i HNB (banke, platne institucije) |
| Obveznici | 21 kategorija financijskih subjekata + kritični IKT pružatelji |
| Kazne | Do 1 % prosječnog dnevnog prometa (globalno) |
| Prva predaja registra | 30. travnja 2025. (dovršeno) |
| Stanje 2026. | Više od godinu dana u punoj primjeni, HANFA i HNB provode prve tematske nadzore |
Zašto je ovo važno? DORA se izravno primjenjuje u svim državama članicama i ne zahtijeva dodatnu nacionalnu provedbu. Ako ste financijski subjekt u EU, obveza usklađivanja već vrijedi.
Sadržaj
- Što je DORA uredba i zašto postoji?
- Na koga se DORA primjenjuje?
- Pet stupova DORA-e
- Upravljanje IKT rizicima (Stup 1)
- Prijava IKT incidenata (Stup 2)
- Testiranje otpornosti i TLPT (Stup 3)
- Upravljanje trećim stranama (Stup 4)
- Razmjena informacija o prijetnjama (Stup 5)
- Vremenski okvir i rokovi
- Kazne i odgovornost uprave
- Koraci za usklađivanje
Stanje primjene u Hrvatskoj 2026.: gdje smo nakon godinu i pol
DORA je u punoj primjeni od 17. siječnja 2025., što znači da je sada (Q2 2026.) na snazi više od 15 mjeseci. Za hrvatske financijske subjekte to mijenja kontekst: DORA više nije "nadolazeća regulativa" već aktivna obveza pod kontrolom HANFA-e i HNB-a.
Što se promijenilo u 2026.
- Tematski nadzori HANFA-e i HNB-a: prema javno dostupnim godišnjim planovima, oba tijela u 2026. provode ciljane preglede DORA usklađenosti, s naglaskom na okvir upravljanja IKT rizicima (Stup 1) i registar IKT dobavljača (Stup 4).
- RTS i ITS u potpunosti finalizirani: Europska nadzorna tijela (ESA-e) tijekom 2024. i 2025. donijela su sve provedbene tehničke standarde (RTS/ITS). Subjekti više nemaju izgovor za "čekamo finalne smjernice".
- Druga predaja registra IKT dobavljača: prvi krug podnesen je 30.04.2025. Drugi godišnji ciklus odvija se kroz 2026.; očekuju se postupci protiv subjekata koji nisu ažurirali registar.
- Prvi javno objavljeni značajni IKT incidenti pod DORA režimom: tijekom 2025. EU financijski sektor prijavio je više stotina značajnih IKT incidenata; 4-satni rok početne obavijesti pokazao se kao najveća operativna prepreka.
- Kritični IKT pružatelji (CTPP) imenovani: ESA-e su tijekom 2025. označile prvu seriju kritičnih trećih pružatelja (uglavnom velikih cloud provajdera). Njihov nadzor je sada izravan na razini EU.
Što ovo znači za hrvatske subjekte
Ako još niste dovršili gap analizu i okvir upravljanja IKT rizicima, više niste rani. Riskirate prvi val izrečenih mjera. HANFA i HNB u prvim nadzorima nisu izricali kazne, već su izdavali naloge za otklanjanje nedostataka u određenom roku; subjekti koji propuste te rokove izlažu se kaznama do 1 % prosječnog dnevnog prometa (globalno).
Praktični savjet: Ako vaš subjekt još nema imenovanu osobu odgovornu za IKT sigurnost (Stup 1), ažurirani registar IKT dobavljača (Stup 4) ili dokumentirane procedure za prijavu incidenata u 4 sata (Stup 2), to su prva tri nedostatka koje regulatori traže u nadzoru.
Što je DORA uredba i zašto postoji?
DORA (eng. Digital Operational Resilience Act), Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor, postavlja jedinstvene zahtjeve za upravljanje IKT rizicima u cijeloj Europskoj uniji. Cilj je osigurati da financijske institucije mogu preživjeti IKT poremećaje i kibernetičke prijetnje, odgovoriti na njih i oporaviti se.
Uredba je donesena 14. prosinca 2022., na snagu je stupila 16. siječnja 2023., a punu primjenu ima od 17. siječnja 2025., uključujući Hrvatsku.
Zašto je DORA nastala?
Prije DORA-e zahtjevi za IKT sigurnost u financijskom sektoru bili su fragmentirani po državama i sektorima. To je stvaralo nejednaku razinu zaštite i pravnu nesigurnost. DORA harmonizira:
- Kibernetičke napade: sve sofisticiraniji i učestaliji
- Prekide IKT usluga: mogu uzrokovati sustavne poremećaje
- Ovisnost o trećim stranama: cloud, outsourcing, kritični pružatelji
- Jedinstveni okvir: ista pravila u cijeloj EU
Ključna razlika: DORA je uredba. Izravno se primjenjuje bez potrebe za transpozicijom u nacionalno zakonodavstvo. Hrvatska je donijela Zakon o provedbi (NN 135/24) koji uređuje nadležnost i provedbene detalje.
Na koga se DORA primjenjuje?
DORA obuhvaća 21 kategoriju financijskih subjekata te kritične treće pružatelje IKT usluga (CTPP).
Financijski subjekti u opsegu
| Kategorija | Primjeri |
|---|---|
| Kreditne institucije | Banke, štedionice |
| Platne institucije | Pružatelji platnih usluga |
| Institucije za elektronički novac | Izdavatelji e-novca |
| Investicijska društva | Brokeri, upravitelji imovinom |
| Pružatelji usluga kripto-imovine | Kripto mjenjačnice, custodiani |
| Osiguravajuća i reosiguravajuća društva | Životno i neživotno osiguranje |
Kritični treći pružatelji IKT usluga (CTPP)
Europska nadzorna tijela (EBA, ESMA, EIOPA) određuju koji pružatelji su kritični na temelju:
- Sistemske važnosti usluga za financijski sektor
- Stupnja ovisnosti institucija o tim uslugama
- Supstitutivnosti: koliko je lako zamijeniti pružatelja
- Geografske rasprostranjenosti: broj država članica
Kritični pružatelji podliježu izravnom nadzoru glavnog nadzornika s ovlastima za zahtjeve informacija, inspekcije i planove otklanjanja nedostataka.
Nadležna tijela u Hrvatskoj
| Tijelo | Nadležnost |
|---|---|
| HANFA | Investicijska društva, kripto pružatelji, središnji depozitoriji, burze, upravitelji fondova, osiguravajuća i reosiguravajuća društva, posrednici u osiguranju |
| HNB | Kreditne institucije, platne institucije, institucije za e-novac, pružatelji usluga informacija o računu, izdavatelji ART tokena |
Pet stupova DORA-e
DORA se temelji na pet stupova koji zajedno čine okvir digitalne operativne otpornosti:
| Stup | Sadržaj |
|---|---|
| 1 | Upravljanje IKT rizicima |
| 2 | Upravljanje IKT incidentima i prijava |
| 3 | Testiranje digitalne operativne otpornosti |
| 4 | Upravljanje rizicima trećih strana |
| 5 | Razmjena informacija o prijetnjama |
Stup 1: Upravljanje IKT rizicima
Financijski subjekti moraju uspostaviti i održavati sveobuhvatni okvir za upravljanje IKT rizicima.
Odgovornost uprave
- Upravljačko tijelo snosi konačnu odgovornost za upravljanje IKT rizicima
- Mora se odrediti osoba odgovorna za IKT sigurnost
- Potrebni su odgovarajući resursi i proračun
- Članovi uprave moraju redovito pohađati obuku o IKT rizicima
Okvir upravljanja IKT rizicima
- Politike i procedure za identificiranje i procjenu rizika
- Mjere zaštite i prevencije
- Sposobnosti otkrivanja anomalija i incidenata
- Planovi odgovora i oporavka
- Mehanizmi učenja i poboljšanja
- Strategije komunikacije (interna i prema regulatoru)
IKT imovina i sigurnost
- Inventar IKT imovine: hardver, softver, podaci, s klasifikacijom prema kritičnosti
- Politika informacijske sigurnosti odobrena od uprave
- Kontinuitet poslovanja: BIA (Business Impact Analysis), planovi oporavka, definirani RTO (Recovery Time Objective) i RPO (Recovery Point Objective)
Praktično: Mnogi zahtjevi Stupa 1 preklapaju se s NIS2 direktivom i standardima poput ISO 27001. DORA za financijske subjekte postavlja lex specialis. Za njih DORA ima prednost nad NIS2 u pokrivenim područjima.
Stup 2: Prijava IKT incidenata
DORA uvodi harmonizirani režim prijave IKT incidenata u cijeloj EU.
Kriteriji za klasifikaciju značajnog incidenta
| Kriterij | Razmatranja |
|---|---|
| Pogođeni korisnici | Broj i udio pogođenih klijenata |
| Utjecaj na podatke | Gubitak, povreda integriteta, nedostupnost |
| Kritične funkcije | Utjecaj na kritične ili važne funkcije |
| Ekonomski utjecaj | Izravni i neizravni financijski gubici |
| Trajanje | Duljina prekida usluge |
| Geografska rasprostranjenost | Pogođene države članice |
Rokovi prijave značajnih incidenata
| Vrsta izvješća | Rok | Sadržaj |
|---|---|---|
| Početna obavijest | 4 sata od klasifikacije (ili 24 sata ako incident nije klasificiran kao značajan unutar 4 sata) | Osnovni podaci i inicijalna procjena |
| Međuizvješće | 72 sata od početne obavijesti | Ažurirane informacije i status odgovora |
| Završno izvješće | 1 mjesec od rješenja incidenta | Analiza uzroka, stečena iskustva, mjere otklanjanja nedostataka |
Upozorenje: Rok od 4 sata za početnu obavijest zahtijeva unaprijed pripremljene procedure i jasnu odgovornost. Organizacije koje to ne uspostave riskiraju kršenje DORA-e čak i kada uspješno rješavaju incident.
Dobrovoljna prijava značajnih kibernetičkih prijetnji nadležnim tijelima dopuštena je i potiče se. Doprinosi kolektivnoj sigurnosti sektora.
Stup 3: Testiranje otpornosti
DORA zahtijeva redovito testiranje IKT sustava proporcionalno veličini i rizičnom profilu subjekta.
Osnovno testiranje (svi subjekti)
Program testiranja mora obuhvaćati (među ostalim):
- Procjene ranjivosti i skeniranja
- Analize otvorenog koda i mrežne sigurnosti
- Penetracijske testove
- Testove scenarija, performansi i end-to-end testove
- Provjere fizičke sigurnosti
Program mora biti dokumentiran i revidiran godišnje.
TLPT: testiranje vođeno prijetnjama
Za značajne subjekte obvezno je provođenje TLPT (Threat-Led Penetration Testing) najmanje svake tri godine:
| Zahtjev | Opis |
|---|---|
| Temelj | Realistični obavještajni podaci o prijetnjama |
| Opseg | Kritične ili važne funkcije, uključujući produkcijske sustave |
| Provođenje | Kvalificirani neovisni testeri |
| Okvir | TIBER-EU ili ekvivalentni priznati standardi |
Savjet stručnjaka: TLPT nije običan pentest. Zahtijeva scenarije temeljene na stvarnim prijetnjama i posebnu kvalifikaciju testera. Planirajte angažman i troškove unaprijed.
Stup 4: Upravljanje trećim stranama
DORA postavlja sveobuhvatne zahtjeve za upravljanje rizicima koji proizlaze iz vanjskog ugovaranja IKT usluga.
Načela
- Financijski subjekt ostaje u potpunosti odgovoran za usklađenost; vanjsko ugovaranje ne prenosi odgovornost
- Rizici trećih strana integralni su dio okvira upravljanja IKT rizicima
- Strategija upravljanja rizicima trećih strana mora biti odobrena od uprave
Registar informacija
Obvezno je vođenje registra koji sadrži informacije o svim ugovornim aranžmanima za IKT usluge:
| Kategorija | Potrebni podaci |
|---|---|
| Identifikacija pružatelja | Naziv, registracija, lokacija, matično društvo |
| Ugovorni detalji | Datum, trajanje, odredbe o raskidu |
| Pružene usluge | Opis, priroda, procjena kritičnosti |
| Lanac podugovaranja | Podugovaratelji i njihove lokacije |
| Procjena rizika | Kritičnost funkcije, supstitutivnost |
Prva predaja registra nadležnim tijelima: 30. travnja 2025.
Ugovorni zahtjevi
Ugovori s IKT pružateljima moraju sadržavati:
- Jasan opis funkcija i usluga
- Kvantitativne i kvalitativne ciljeve performansi
- SLA (ugovori o razini usluge) s mjerama otklanjanja nedostataka
- Obveze prijavljivanja incidenata
- Prava pristupa, inspekcije i revizije nadležnog tijela
- Odredbe o prijelazu i raskidu
- Obveze vezane uz lokaciju i obradu podataka (uključujući GDPR)
Praktično: Globalni cloud pružatelji (AWS, Azure, Google Cloud) moraju poštivati DORA zahtjeve kada pružaju usluge financijskim subjektima u EU. Ugovori moraju biti revidirani i nadopunjeni potrebnim klauzulama.
Trebate DORA konzultanta (banke, osiguranja, platne institucije)? Vision Compliance pruža DORA gap analizu, izradu okvira za upravljanje IKT rizicima, registar IKT dobavljača i pripremu za nadzor HANFA-e i HNB-a. DORA i AML savjetovanje →
Stup 5: Razmjena informacija
DORA omogućuje (ali ne obvezuje) financijskim subjektima razmjenu obavještajnih podataka o prijetnjama.
Dopuštene informacije uključuju: indikatore kompromitacije (IoC), taktike i tehnike napada (TTP), upozorenja o kibernetičkoj sigurnosti, konfiguracijske alate. Razmjena mora poštivati zaštitu komercijalno osjetljivih i osobnih podataka i provoditi se unutar pouzdanih zajednica prema smjernicama nadležnih tijela.
Vremenski okvir i rokovi
| Datum | Događaj |
|---|---|
| 14. prosinca 2022. | Donošenje DORA uredbe |
| 16. siječnja 2023. | Stupanje na snagu uredbe |
| 17. siječnja 2024. | Objava RTS/ITS tehničkih standarda |
| 27. studenoga 2024. | Hrvatski Zakon o provedbi (NN 135/24) |
| 17. siječnja 2025. | Puna primjena DORA-e |
| 30. travnja 2025. | Prva predaja registra informacija nadležnim tijelima |
Kazne i odgovornost uprave
Novčane kazne
- Do 1 % prosječnog dnevnog prometa na globalnoj razini (za financijske subjekte)
- Za kritične treće pružatelje: periodične penale do 1 % prosječnog dnevnog prometa
Dodatne mjere
- Privremene suspenzije certifikata ili odobrenja
- Zabrana obavljanja upravljačkih funkcija
- Javna objava odluka o kršenju
- Nalog za prestanak određenog ponašanja
Odgovornost uprave
Članovi upravljačkog tijela mogu biti osobno odgovorni za neusklađenost, uključujući novčane kazne, privremene zabrane i reputacijske posljedice.
Koraci za usklađivanje
- Procjena primjenjivosti: utvrdite pripada li vaša organizacija opsegu DORA-e i koje je nadležno tijelo (HANFA / HNB).
- Analiza nedostataka: usporedite trenutno stanje s pet stupova DORA-e i odredite prioritetne nedostatke.
- Uspostava upravljanja: angažman uprave, imenovanje odgovorne osobe za IKT sigurnost, obuka.
- Okvir upravljanja rizicima: politike, procedure, procjena rizika, mjere zaštite, mehanizmi otkrivanja.
- Upravljanje incidentima: klasifikacija, priprema predložaka za prijavu u roku od 4 sata, testiranje kroz vježbe.
- Program testiranja: godišnji plan, ranjivosti, TLPT ako ste značajni subjekt.
- Upravljanje trećim stranama: inventar IKT pružatelja, procjena kritičnosti, revizija ugovora, registar informacija (predaja do 30. travnja 2025.).
- Dokumentacija i izvještavanje: registar, dokumentiranje procesa i odluka.
DORA i druge regulative
DORA i NIS2
DORA je lex specialis u odnosu na NIS2 za financijski sektor: zahtjevi DORA-e imaju prednost za subjekte u njezinom opsegu; NIS2 se primjenjuje tamo gdje DORA šuti.
DORA i GDPR
DORA nadopunjuje GDPR: obrada osobnih podataka mora biti usklađena s GDPR-om. Prijava incidenta prema DORA-i ne zamjenjuje prijavu povrede osobnih podataka prema GDPR-u. Isti incident može zahtijevati obje prijave.
DORA i sektorska regulativa
DORA harmonizira IKT zahtjeve kroz sve financijske subjekte (uključujući investicijska društva pod MiFID II) i zamjenjuje fragmentirane sektorske smjernice za IKT.
FAQ i službeni izvori
Na koga se odnosi DORA?
DORA se odnosi na financijske subjekte u EU: banke, osiguratelje, investicijska društva, platne institucije i druge. Obuhvaća i ključne IKT pružatelje tim subjektima. Status utvrđuje vrsta djelatnosti. Provjerite primjenu.
Otkad se DORA primjenjuje?
DORA se primjenjuje od 17. siječnja 2025. Rok nije nadolazeći, nego aktivan. Subjekti koji još nisu uskladili upravljanje IKT rizicima i prijavu incidenata izloženi su nadzoru HNB-a.
Što DORA traži od nas?
DORA traži upravljanje IKT rizicima, prijavu velikih incidenata, testiranje digitalne otpornosti i nadzor nad IKT dobavljačima. Sve mora biti dokumentirano. Zatražite gap analizu.
Mora li moja institucija biti usklađena s DORA-om?
Ako ste jedan od 21 tipa financijskih subjekata definiranih u DORA-i i poslujete u EU, da: DORA se izravno primjenjuje od 17. siječnja 2025. Nema prijelaznog razdoblja.
Koji je rok za prijavu značajnog incidenta?
Početna obavijest: 4 sata od klasifikacije (ili 24 sata ako nije odmah klasificiran kao značajan). Međuizvješće: 72 sata. Završno izvješće: 1 mjesec od rješenja.
Pomaže li ISO 27001 u ispunjavanju DORA zahtjeva?
ISO 27001 je izvrsna osnova za Stup 1 (upravljanje IKT rizicima). DORA ima specifične zahtjeve, posebno prijava incidenata (rokovi, format), TLPT i upravljanje trećim stranama s registrom, koji nadilaze ISO 27001.
Tko nadzire DORA u Hrvatskoj?
HANFA: većina subjekata tržišta kapitala i osiguranja. HNB: kreditne i platne institucije, e-novac, ART izdavatelji.
Službeni izvori
| Izvor | Poveznica |
|---|---|
| Uredba (EU) 2022/2554 (DORA) | EUR-Lex |
| Zakon o provedbi (NN 135/24) | Narodne novine |
| HANFA | hanfa.hr |
| HNB |
Zaključak
DORA uredba predstavlja temeljnu promjenu u reguliranju digitalne otpornosti financijskog sektora u EU. Za hrvatske financijske institucije usklađenost je zakonska obveza od 17. siječnja 2025.
Ključne poruke:
- DORA se izravno primjenjuje: bez dodatne nacionalne transpozicije
- Uprava je odgovorna: aktivni nadzor IKT rizika i obuka
- Treće strane su u fokusu: vanjsko ugovaranje ne prenosi odgovornost; registar do 30. travnja 2025.
- Testiranje je obvezno: uključujući TLPT za značajne subjekte
- Prijava incidenata: harmonizirani rokovi (4 h / 72 h / 1 mj)
Trebate pomoć s DORA usklađivanjem? Vision Compliance nudi gap analizu, izradu dokumentacije, upravljanje trećim stranama i pripremu za testiranje. Zakažite besplatne konzultacije →
Izvori: EUR-Lex (Uredba 2022/2554), NN 135/24, HANFA, HNB, EBA
Povezani članci
- NIS2 i DORA: Razlike, preklapanja i usklađivanje: Kako koordinirati oba regulatorna okvira
- MiFID II: Vodič za investicijska društva: Dodatne obveze za financijski sektor
- AML u Hrvatskoj: Sprječavanje pranja novca: Komplementarni okvir za financijske institucije
- NIS2 direktiva: Kompletni vodič za Hrvatsku: Kibernetički okvir koji se preklapa s DORA-om
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.