Banka mora ispuniti NIS2. Ista banka mora ispuniti i DORA-u. Znači li to dvostruke troškove i dva paralelna sustava usklađivanja? Ne, ako razumijete kako se ova dva propisa ukrštavaju.
DORA (Uredba EU 2022/2554) djeluje kao lex specialis za financijski sektor, što znači da u područjima koja detaljno uređuje ima prednost pred NIS2. Ali NIS2 pokriva šira područja (fizička sigurnost, opća odgovornost uprave) koja DORA ne dotiče. U ovom vodiču razlažemo točno koji propis se primjenjuje u kojem području, kako uskladiti prijave incidenata prema oba okvira i što DORA-in TLPT testiranje znači za vašu instituciju. Za širi pregled NIS2, pogledajte kompletni NIS2 vodič.
Sažetak i ključne točke
- DORA je lex specialis za financijski sektor: ima prednost pred NIS2 u područjima koja uređuje.
- NIS2 pokriva šire sigurnosne obveze, DORA se fokusira na digitalnu operativnu otpornost.
- Financijski subjekti moraju ispuniti DORA zahtjeve u cijelosti + NIS2 zahtjeve koje DORA ne pokriva.
- Kritični IKT pružatelji usluga financijskom sektoru podliježu izravnom EU nadzoru prema DORA.
- DORA zahtijeva TLPT testiranje (Threat-Led Penetration Testing) za značajne financijske institucije.
- U Hrvatskoj, HNB nadzire financijski sektor za NIS2, dok DORA uključuje i HANFA-u.
Sadržaj
- Što je DORA?
- NIS2 vs DORA: temeljne razlike
- Princip lex specialis
- Tko podliježe kojoj regulativi?
- Područja preklapanja
- Upravljanje IKT rizicima: usporedba
- Prijava incidenata: usporedba
- Testiranje otpornosti: DORA TLPT
- Upravljanje IKT trećim stranama
- Nadzor u Hrvatskoj
- FAQ
- Zaključak
Što je DORA?
DORA (Digital Operational Resilience Act, Uredba EU 2022/2554) europski je regulatorni okvir koji propisuje zahtjeve za digitalnu operativnu otpornost financijskog sektora. Uredba je stupila na snagu 17. siječnja 2025.
| Aspekt | Detalj |
|---|---|
| Puni naziv | Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti financijskog sektora |
| Vrsta propisa | Uredba: izravno primjenjiva u svim državama članicama (bez transpozicije) |
| Primjena od | 17. siječnja 2025. |
| Opseg | Financijski subjekti + kritični IKT pružatelji usluga |
| Fokus | IKT upravljanje rizicima, incidenti, testiranje, outsourcing, razmjena informacija |
| Kazne | Definirane nacionalnim zakonodavstvom, usklađene s ESA smjernicama |
Pet ključnih stupova DORA-e
- Upravljanje IKT rizicima: okvir, politike, sustav upravljanja
- Upravljanje IKT incidentima: klasifikacija, prijava, analiza
- Testiranje digitalne operativne otpornosti: uključujući TLPT
- Upravljanje rizicima trećih strana: IKT outsourcing i dobavljači
- Razmjena informacija: o kibernetičkim prijetnjama između financijskih subjekata
NIS2 vs DORA: temeljne razlike
| Aspekt | NIS2 | DORA |
|---|---|---|
| Vrsta propisa | Direktiva (zahtijeva transpoziciju) | Uredba (izravno primjenjiva) |
| Opseg | 18 sektora (uključujući financije) | Isključivo financijski sektor + IKT pružatelji |
| Fokus | Kibernetička sigurnost mrežnih sustava | Digitalna operativna otpornost |
| Mjere | 10 minimalnih područja (čl. 21.) | 5 detaljnih stupova |
| Testiranje | „Procjena učinkovitosti" (općenito) | TLPT: specifični zahtjevi za pentest |
| IKT dobavljači | Sigurnost lanca opskrbe (općenito) | Detaljan okvir za upravljanje trećim stranama + EU nadzor |
| Prijava incidenata | 24h + 72h + 1 mjesec | Slično, ali s detaljnijim klasifikacijskim kriterijima |
| Nadzor | Nacionalna tijela (ZSIS, HNB) | Nacionalna tijela + ESA-e (EBA, ESMA, EIOPA) |
| Kazne | Do 10M EUR ili 2% prometa | Nacionalno definirane + sankcije za IKT pružatelje |
Princip lex specialis
NIS2 članak 4. izričito predviđa da sektorski propisi koji su barem jednako strogi kao NIS2 imaju prednost. DORA je identificirana kao takav propis za financijski sektor.
Što to znači u praksi?
| Područje | Koji propis se primjenjuje? |
|---|---|
| Upravljanje IKT rizicima | DORA (detaljniji zahtjevi) |
| Prijava IKT incidenata | DORA (specifičnija klasifikacija) |
| Testiranje otpornosti | DORA (zahtijeva TLPT) |
| Upravljanje IKT dobavljačima | DORA (detaljniji okvir + EU nadzor) |
| Opća sigurnost mrežnih sustava | NIS2 (širi opseg izvan IKT) |
| Odgovornost uprave | NIS2 čl. 20. (DORA također propisuje, ali NIS2 je eksplicitniji) |
| Sigurnost fizičke infrastrukture | NIS2 (DORA fokusirana na IKT) |
| Razmjena informacija | DORA (specifičan okvir) |
Ključno pravilo: DORA ima prednost u svemu što izričito uređuje. NIS2 se primjenjuje za područja koja DORA ne pokriva ili pokriva manje detaljno. U praksi, financijski subjekti moraju ispuniti DORA u cijelosti i NIS2 za preostale obveze.
Tko podliježe kojoj regulativi?
Financijski subjekti
| Vrsta subjekta | NIS2 | DORA | Napomena |
|---|---|---|---|
| Kreditne institucije (banke) | Da (ključni) | Da | DORA primarno, NIS2 dopunski |
| Investicijska društva | Da (ključni) | Da | DORA primarno |
| Društva za osiguranje | Moguće (važni) | Da | DORA primarno |
| Platne institucije | Moguće (važni) | Da | DORA primarno |
| Kreditne unije | Ovisi o veličini | Da | DORA se primjenjuje proporcionalno |
| Središnje druge ugovorne strane | Da (ključni) | Da | Oba u cijelosti |
IKT pružatelji usluga financijskom sektoru
| Vrsta pružatelja | NIS2 | DORA | Napomena |
|---|---|---|---|
| Kritični IKT pružatelji (označeni od ESA-e) | Moguće | Da + izravni EU nadzor | Najstroži režim |
| Ostali IKT pružatelji fin. sektoru | Moguće (ako su MSSP) | Da (ugovorni zahtjevi) | NIS2 ako su u opsegu po sektoru |
| Cloud pružatelji | Da (digitalna infrastruktura) | Da (ako su kritični) | Dvostruka obveza |
Područja preklapanja
1. Upravljanje rizicima
Oba propisa zahtijevaju sustavni pristup upravljanju rizicima, ali DORA je detaljnija za IKT rizike:
| NIS2 čl. 21. | DORA čl. 5-16 | Podudarnost |
|---|---|---|
| Politike analize rizika | Okvir upravljanja IKT rizicima | Visoka |
| Postupanje s incidentima | Upravljanje IKT incidentima | Visoka (DORA detaljnija) |
| Kontinuitet poslovanja | IKT kontinuitet i oporavak | Visoka (DORA detaljnija) |
| Sigurnost lanca opskrbe | Upravljanje IKT trećim stranama | Srednja (DORA značajno detaljnija) |
| Kriptografija i enkripcija | Dio IKT sigurnosnih mjera | Potpuna |
| MFA i kontrola pristupa | Dio IKT sigurnosnih mjera | Potpuna |
2. Prijava incidenata
Oba propisa zahtijevaju prijavu značajnih incidenata, ali s razlikama u rokovima i klasifikaciji:
| Aspekt | NIS2 | DORA |
|---|---|---|
| Rano upozorenje | 24 sata | „Bez nepotrebnog odgađanja" |
| Detaljna obavijest | 72 sata | 72 sata |
| Završno izvješće | 1 mjesec | 1 mjesec |
| Primatelj (HR) | CERT.hr / ZSIS | HNB / HANFA + CERT.hr |
| Kriteriji značajnosti | Operativni poremećaj, utjecaj na korisnike | Specifični kvantitativni pragovi (broj korisnika, trajanje, geografski opseg) |
3. Testiranje
| NIS2 | DORA |
|---|---|
| „Procjena učinkovitosti mjera" (općenito) | Osnovno testiranje (svi subjekti) |
| Nema specifičnih zahtjeva za pentest | TLPT za značajne institucije (svake 3 godine) |
| Nema zahtjeva za specifičnu metodologiju | TIBER-EU okvir za TLPT |
Upravljanje IKT rizicima: usporedba
DORA propisuje značajno detaljniji okvir od NIS2:
| Zahtjev | NIS2 | DORA |
|---|---|---|
| Strategija upravljanja IKT rizicima | Zahtijeva, ne detaljizira | Čl. 6.: detaljna strategija s komponentama |
| IKT sustav upravljanja | Implicirano kroz ISMS | Čl. 5.: eksplicirani okvir upravljanja |
| Identifikacija IKT imovine | Dio procjene rizika | Čl. 8.: obavezan registar IKT imovine |
| Zaštita i prevencija | 10 minimalnih područja | Čl. 9.: detaljne mjere zaštite |
| Detekcija anomalija | Implicirano | Čl. 10.: eksplicitni zahtjevi za detekciju |
| Odgovor i oporavak | Čl. 21(2)(b,c) | Čl. 11-14: detaljne procedure, planovi, testiranje |
| Obuka i komunikacija | Čl. 21(2)(g) | Čl. 13.: specifični programi obuke i komunikacije |
Praktična implikacija: Ako ispunite sve DORA zahtjeve za upravljanje IKT rizicima, ispunili ste i NIS2 zahtjeve za to područje. Obratno ne vrijedi. NIS2 usklađenost ne garantira DORA usklađenost jer DORA ide dublje.
Prijava incidenata: usporedba
NIS2 klasifikacija
Incident je „značajan" ako:
- Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj
- Utječe na druge fizičke ili pravne osobe s materijalnom štetom
DORA klasifikacija (detaljnija)
DORA propisuje kvantitativne kriterije za klasifikaciju značajnih incidenata:
| Kriterij | Prag |
|---|---|
| Broj pogođenih klijenata | Definirani pragovi prema ESA tehničkim standardima |
| Trajanje prekida | Definirani vremenski pragovi |
| Geografski opseg | Prekogranični utjecaj |
| Gubitak podataka | Količina i osjetljivost |
| Ekonomski utjecaj | Financijski gubitak iznad praga |
| Kritičnost pogođenih usluga | Platni sustavi, tržišna infrastruktura |
Harmonizacija prijave
Za financijske subjekte, praksa bi trebala biti:
- Prijaviti prema DORA: HNB/HANFA (primarna obveza)
- Prijaviti i prema NIS2: CERT.hr u roku od 24h ako je primjenjivo
- Koristiti jedinstven interni postupak koji ispunjava zahtjeve oba propisa
Testiranje otpornosti: DORA TLPT
Osnovno testiranje (svi DORA subjekti)
Svi financijski subjekti moraju provoditi redovito testiranje:
- Procjena ranjivosti
- Testiranje mrežne sigurnosti
- Testiranje oporavka i kontinuiteta
- Pregled izvornog koda (gdje je primjenjivo)
- Testiranje performansi
TLPT: Threat-Led Penetration Testing (značajne institucije)
DORA članak 26. zahtijeva napredni oblik pentesta za značajne financijske institucije:
| Aspekt | Detalj |
|---|---|
| Tko mora provoditi | Značajne financijske institucije (određuje nacionalno tijelo) |
| Učestalost | Svake 3 godine |
| Metodologija | TIBER-EU okvir |
| Opseg | Kritične funkcije i sustavi |
| Izvođač | Vanjski pružatelji s TIBER-EU kvalifikacijom |
| Nadzor | Nacionalno nadležno tijelo odobrava opseg i prati provedbu |
Razlike između standardnog pentesta i TLPT
| Aspekt | Standardni pentest | TLPT |
|---|---|---|
| Priprema | Definiran opseg | Obavještajna analiza prijetnji (Threat Intelligence) |
| Scenariji | Tehnička ranjivost | Simulacija stvarnih napadačkih skupina (APT) |
| Trajanje | 1 do 4 tjedna | 3 do 6 mjeseci |
| Tim | Pentest tim | Red team + Threat Intelligence tim + White team |
| Nadzor | Interni | Nadležno tijelo nadzire |
| Trošak | 5.000 do 50.000 EUR | 50.000 do 300.000 EUR |
Upravljanje IKT trećim stranama
Ovo je područje s najvećom razlikom između NIS2 i DORA:
| Aspekt | NIS2 | DORA |
|---|---|---|
| Opseg | „Sigurnost lanca opskrbe" (općenito) | Detaljan okvir za IKT outsourcing |
| Registar | Ne zahtijeva | Obavezan registar svih IKT ugovora |
| Ugovorni zahtjevi | Općenite sigurnosne klauzule | Detaljne obvezne klauzule (čl. 30.) |
| Procjena rizika | Da (općenita) | Da + specifična procjena koncentracijskog rizika |
| Izlazna strategija | Ne zahtijeva | Obavezna izlazna strategija za kritične usluge |
| EU nadzor | Ne | Da: ESA-e izravno nadziru kritične IKT pružatelje |
Kritični IKT pružatelji: EU nadzor
DORA uvodi revolucionarni koncept: izravni EU nadzor nad kritičnim IKT pružateljima:
- Europska nadzorna tijela (EBA, ESMA, EIOPA) označavaju kritične pružatelje
- Imenovani vodeći nadzornik (Lead Overseer) za svakog kritičnog pružatelja
- Ovlasti uključuju inspekcije, preporuke i sankcije
- Primjer: Veliki cloud pružatelji (AWS, Azure, GCP) koji pružaju usluge europskim bankama
Nadzor u Hrvatskoj
| Tijelo | NIS2 nadležnost | DORA nadležnost |
|---|---|---|
| HNB | Nadzor banaka i kreditnih institucija za NIS2 | Nadzor banaka za DORA |
| HANFA | - | Nadzor investicijskih društava, osiguravatelja |
| ZSIS | Koordinacija NIS2 za ostale sektore | - |
| CERT.hr | Prijem prijava incidenata | Koordinacija za IKT incidente |
| ESA-e | - | Nadzor kritičnih IKT pružatelja |
Za banke u Hrvatskoj: HNB je nadležan za oba propisa. Usklađujte komunikaciju i izvješćivanje prema HNB-u za obje regulatorne obveze. Za investicijska društva i osiguravatelje, HANFA preuzima DORA nadzor.
FAQ
Vrijedi li za nas NIS2 ili DORA?
Za financijske subjekte i njihove ključne IKT pružatelje DORA ima prednost kao lex specialis. Ostali sektori potpadaju pod NIS2. Neke organizacije dodiruju obje regulative. Status utvrđuje analiza djelatnosti. Provjerite što vrijedi za vas.
Moramo li ispuniti obje regulative?
Moguće je. Ako ste financijski subjekt, primjenjujete DORA-u. Ako uz to pružate usluge izvan financijskog opsega, dio obveza može potpasti pod NIS2. Mapiranje izbjegava dvostruki rad i praznine.
Tko nadzire DORA, a tko NIS2 u Hrvatskoj?
DORA-u za financijski sektor nadzire HNB. NIS2 nadziru ZSIS te sektorski regulatori poput HAKOM-a. Prijava incidenta razlikuje se po tijelu i roku. Uskladite procedure prema nadležnom tijelu.
Ako ispunim DORA, jesam li automatski usklađen s NIS2?
Djelomično. DORA pokriva većinu NIS2 zahtjeva za financijski sektor, ali NIS2 ima dodatne zahtjeve: osobito eksplicitniju odgovornost uprave (čl. 20.) i šire sigurnosne mjere izvan IKT-a. Potrebna je gap analiza.
Jesam li kao IT tvrtka koja pruža usluge bankama obvezan prema DORA?
Ako pružate IKT usluge financijskim subjektima, DORA se na vas primjenjuje neizravno: kroz ugovorne zahtjeve vaših financijskih klijenata. Ako vas ESA-e označe kao kritičnog pružatelja, izravno ste podvrgnuti EU nadzoru.
Treba li banka prijaviti isti incident i prema NIS2 i DORA?
U praksi, jedna prijava prema HNB-u trebala bi pokriti oba zahtjeva. HNB kao nadležno tijelo za financijski sektor prima prijave prema obje regulatorne osnove. Koordinirajte s HNB-om specifične zahtjeve za format i sadržaj prijave.
Koliko košta TLPT testiranje?
TLPT prema TIBER-EU okviru košta od 50.000 do 300.000 EUR ovisno o opsegu i veličini institucije. Uključuje angažman Threat Intelligence tima, Red teama i White teama tijekom 3 do 6 mjeseci.
Primjenjuje li se DORA na kreditne unije?
Da, ali s načelom proporcionalnosti: zahtjevi se prilagođavaju veličini i složenosti institucije. Male kreditne unije nemaju istu razinu obveza kao sistemski važne banke.
Zaključak
NIS2 i DORA nisu suprotstavljeni propisi. Oni su komplementarni slojevi regulatorne zaštite. Za financijski sektor, DORA je primarni okvir (lex specialis) s detaljnijim zahtjevima za IKT otpornost, dok NIS2 pruža širi kontekst kibernetičke sigurnosti. Organizacije koje uspješno integriraju oba okvira postiglat će višu razinu sigurnosti i regulatorne usklađenosti.
Ključne preporuke: (1) Počnite s DORA usklađivanjem jer je detaljnija i izravno primjenjiva. (2) Provedite NIS2 gap analizu za područja koja DORA ne pokriva. (3) Uspostavite jedinstveni sustav upravljanja sigurnošću koji ispunjava oba okvira. (4) Koordinirajte izvješćivanje prema HNB-u/HANFA-i za obje obveze. (5) Za značajne institucije, planirajte TLPT testiranje prema TIBER-EU okviru.
Trebate pomoć s usklađivanjem NIS2 i DORA? Vision Compliance nudi integrirani pristup. Procjenjujemo vaš status prema oba okvira i izrađujemo plan usklađivanja koji pokriva sve regulatorne obveze. Zakažite besplatnu konzultaciju.
Izvori: Direktiva (EU) 2022/2555 (NIS2), Uredba (EU) 2022/2554 (DORA), TIBER-EU okvir (ECB), EBA smjernice za IKT upravljanje, ENISA NIS2 smjernice
Povezani članci
- NIS2 direktiva: Kompletni vodič za Hrvatsku: Sveobuhvatni pregled NIS2 obveza
- DORA uredba: Digitalna operativna otpornost: Detaljan vodič kroz DORA zahtjeve
- NIS2 i ISO 27001: Usporedba i mapiranje: Kako ISO 27001 pokriva NIS2 zahtjeve
- NIS2 kategorizacija: Tko su obveznici?: Kako utvrditi obvezu usklađivanja
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.