DORA edukacija, digitalna operativna otpornost
DORA je na snazi za 22.000+ EU financijskih subjekata. Edukacije o upravljanju ICT rizicima obvezne su za upravljačka tijela. Pripremamo vaš tim za svaku DORA obvezu.
Program DORA edukacije
Opseg i primjenjivost
Koji financijski subjekti su u opsegu: banke, osiguravatelji, investicijska društva, institucije za platni promet, pružatelji kripto-asset usluga i kritični ICT pružatelji trećih strana. Načelo proporcionalnosti.
Okvir upravljanja ICT rizicima
Zahtjevi čl. 6-16: upravljanje, identifikacija, zaštita, otkrivanje, odgovor i oporavak, učenje i razvoj. Izgradnja i održavanje okvira upravljanja ICT rizicima.
Klasifikacija i prijava incidenata
Kriteriji velikih ICT incidenata, početna obavijest u 4 sata, intermedijarno izvješće u 24 sata, završno izvješće u jednom mjesecu. Metodologija klasifikacije i koordinacija s CSIRT-om.
Testiranje digitalne operativne otpornosti
Osnovno testiranje (procjene ranjivosti, testiranje mrežne sigurnosti) i napredno testiranje (penetracijsko testiranje vođeno prijetnjama/TLPT). Učestalost, opseg i zahtjevi za izvještavanje.
ICT rizik trećih strana
Okvir upravljanja rizicima dobavljača, ugovorni zahtjevi za ICT pružatelje, koncentracijski rizik, izlazne strategije i novi okvir nadzora za kritične ICT pružatelje trećih strana.
Dijeljenje informacija
Dobrovoljni aranžmani za dijeljenje informacija, dijeljenje obavještajnih podataka o prijetnjama, operativna saznanja i sudjelovanje u grupama za dijeljenje informacija u financijskom sektoru.
Odgovornosti upravljačkog tijela
Obveze čl. 5: definiranje strategije upravljanja ICT rizicima, odobravanje politika, raspodjela proračuna, osiguravanje odgovarajuće edukacije i osobna odgovornost za nadzor ICT rizika.
Kome je namijenjena edukacija
Edukacija je namijenjena osoblju financijskih institucija, članovima uprave i ICT pružateljima usluga koji podliježu obvezama prema DORA uredbi.
- 01Osoblje financijskih usluga
IT, usklađenost, upravljanje rizicima i operativno osoblje u bankama, osiguravajućim društvima, investicijskim društvima i institucijama za platni promet podložnima DORA-i.
- 02Uprava i menadžment
Članovi uprave i viši menadžment s odgovornostima prema čl. 5 za odobravanje i nadzor strategije upravljanja ICT rizicima.
- 03ICT pružatelji usluga
Kritični i važni ICT pružatelji usluga trećih strana koji moraju razumjeti DORA zahtjeve koji se prenose putem ugovora s financijskim subjektima.
Regulatorni okvir
DORA edukacija obrađuje namjenski EU okvir za digitalnu operativnu otpornost u financijskom sektoru.
Spremni za DORA edukaciju o usklađenosti?
Besplatna 30-minutna konzultacija, procijenite DORA obveze, planirajte edukaciju o ICT rizicima, primite ponudu
Često postavljana pitanja
Na koga se DORA primjenjuje?
DORA se primjenjuje na praktički sve EU regulirane financijske subjekte: kreditne institucije, institucije za platni promet, investicijska društva, osiguravajuća društva, mirovinske fondove, pružatelje kripto-asset usluga i platforme za skupno financiranje. Također stvara okvir nadzora za kritične ICT pružatelje trećih strana.
Je li edukacija upravljačkog tijela obvezna prema DORA-i?
Da. Čl. 5(4) zahtijeva da 'članovi upravljačkog tijela aktivno održavaju ažurno dovoljno znanje i vještine za razumijevanje i procjenu ICT rizika.' To uključuje pohađanje specifične edukacije o ICT rizicima i njihovom utjecaju na poslovanje subjekta.
Kako se DORA preklapa s NIS2?
DORA je lex specialis za financijski sektor, ima prednost nad NIS2 za financijske subjekte. Međutim, DORA zahtjevi su općenito stroži od NIS2. Financijski subjekti usklađuju se s DORA-om (ne NIS2) za kibernetičku sigurnost, ali im može trebati NIS2 svijest za usklađenost na razini grupe.
Koje su kazne za DORA neusklađenost?
DORA delegira određivanje kazni nacionalnim nadležnim tijelima (HNB, HANFA u Hrvatskoj). Kazne moraju biti učinkovite, proporcionalne i odvraćajuće. Za kritične ICT pružatelje trećih strana, EU okvir nadzora može nametnuti periodične penalne naknade do 1% prosječnog dnevnog globalnog prometa.
Koje testiranje DORA zahtijeva?
Svi subjekti moraju provoditi osnovno testiranje (procjene ranjivosti, testiranje mrežne sigurnosti, analiza nedostataka, testiranje softvera). Značajni subjekti moraju također provoditi napredno penetracijsko testiranje vođeno prijetnjama (TLPT) najmanje svake 3 godine, pokrivajući kritične funkcije i proizvodne sustave.
Koji je vremenski okvir DORA usklađenosti?
DORA je stupila na snagu 17. siječnja 2025. Svi financijski subjekti u opsegu moraju biti potpuno usklađeni. Ako niste započeli implementaciju, potrebna je hitna akcija, započnite procjenom nedostataka prema DORA zahtjevima i edukacijom upravljačkog tijela.
Povezane usluge usklađenosti
DORA usklađenost za vašu financijsku instituciju
DORA je na snazi. Vaše upravljačko tijelo treba edukaciju, vaš okvir upravljanja ICT rizicima mora biti uspostavljen i vaše procedure prijave incidenata moraju biti spremne. Započnite s našim sveobuhvatnim DORA programom edukacije.