DORA je na snazi za 22.000+ EU financijskih subjekata. Edukacije o upravljanju ICT rizicima obvezne su za upravljačka tijela. Pripremamo vaš tim za svaku DORA obvezu.
Koji financijski subjekti su u opsegu: banke, osiguravatelji, investicijska društva, institucije za platni promet, pružatelji kripto-asset usluga i kritični ICT pružatelji trećih strana. Načelo proporcionalnosti.
Zahtjevi čl. 6-16: upravljanje, identifikacija, zaštita, otkrivanje, odgovor i oporavak, učenje i razvoj. Izgradnja i održavanje okvira upravljanja ICT rizicima.
Kriteriji velikih ICT incidenata, početna obavijest u 4 sata, intermedijarno izvješće u 24 sata, završno izvješće u jednom mjesecu. Metodologija klasifikacije i koordinacija s CSIRT-om.
Osnovno testiranje (procjene ranjivosti, testiranje mrežne sigurnosti) i napredno testiranje (penetracijsko testiranje vođeno prijetnjama/TLPT). Učestalost, opseg i zahtjevi za izvještavanje.
Okvir upravljanja rizicima dobavljača, ugovorni zahtjevi za ICT pružatelje, koncentracijski rizik, izlazne strategije i novi okvir nadzora za kritične ICT pružatelje trećih strana.
Dobrovoljni aranžmani za dijeljenje informacija, dijeljenje obavještajnih podataka o prijetnjama, operativna saznanja i sudjelovanje u grupama za dijeljenje informacija u financijskom sektoru.
Obveze čl. 5: definiranje strategije upravljanja ICT rizicima, odobravanje politika, raspodjela proračuna, osiguravanje odgovarajuće edukacije i osobna odgovornost za nadzor ICT rizika.
Edukacija je namijenjena osoblju financijskih institucija, članovima uprave i ICT pružateljima usluga koji podliježu obvezama prema DORA uredbi.
IT, usklađenost, upravljanje rizicima i operativno osoblje u bankama, osiguravajućim društvima, investicijskim društvima i institucijama za platni promet podložnima DORA-i.
Članovi uprave i viši menadžment s odgovornostima prema čl. 5 za odobravanje i nadzor strategije upravljanja ICT rizicima.
Kritični i važni ICT pružatelji usluga trećih strana koji moraju razumjeti DORA zahtjeve koji se prenose putem ugovora s financijskim subjektima.
DORA edukacija obrađuje namjenski EU okvir za digitalnu operativnu otpornost u financijskom sektoru.
Besplatna 30-minutna konzultacija — procijenite DORA obveze, planirajte edukaciju o ICT rizicima, primite ponudu
DORA se primjenjuje na praktički sve EU regulirane financijske subjekte: kreditne institucije, institucije za platni promet, investicijska društva, osiguravajuća društva, mirovinske fondove, pružatelje kripto-asset usluga i platforme za skupno financiranje. Također stvara okvir nadzora za kritične ICT pružatelje trećih strana.
Da. Čl. 5(4) zahtijeva da 'članovi upravljačkog tijela aktivno održavaju ažurno dovoljno znanje i vještine za razumijevanje i procjenu ICT rizika.' To uključuje pohađanje specifične edukacije o ICT rizicima i njihovom utjecaju na poslovanje subjekta.
DORA je lex specialis za financijski sektor — ima prednost nad NIS2 za financijske subjekte. Međutim, DORA zahtjevi su općenito stroži od NIS2. Financijski subjekti usklađuju se s DORA-om (ne NIS2) za kibernetičku sigurnost, ali im može trebati NIS2 svijest za usklađenost na razini grupe.
DORA delegira određivanje kazni nacionalnim nadležnim tijelima (HNB, HANFA u Hrvatskoj). Kazne moraju biti učinkovite, proporcionalne i odvraćajuće. Za kritične ICT pružatelje trećih strana, EU okvir nadzora može nametnuti periodične penalne naknade do 1% prosječnog dnevnog globalnog prometa.
Svi subjekti moraju provoditi osnovno testiranje (procjene ranjivosti, testiranje mrežne sigurnosti, analiza nedostataka, testiranje softvera). Značajni subjekti moraju također provoditi napredno penetracijsko testiranje vođeno prijetnjama (TLPT) najmanje svake 3 godine, pokrivajući kritične funkcije i proizvodne sustave.
DORA je stupila na snagu 17. siječnja 2025. Svi financijski subjekti u opsegu moraju biti potpuno usklađeni. Ako niste započeli implementaciju, potrebna je hitna akcija — započnite procjenom nedostataka prema DORA zahtjevima i edukacijom upravljačkog tijela.
DORA je na snazi. Vaše upravljačko tijelo treba edukaciju, vaš okvir upravljanja ICT rizicima mora biti uspostavljen i vaše procedure prijave incidenata moraju biti spremne. Započnite s našim sveobuhvatnim DORA programom edukacije.