Zadnje ažuriranje: 30. ožujka 2026.
Brzi pregled: ukratko
| Aspekt | Detalji |
|---|---|
| Pravna osnova | Uredba (EU) 2022/2554 — DORA |
| Primjena od | 17. siječnja 2025. |
| Vrsta propisa | Uredba (izravno primjenjiva u svim EU članicama) |
| Obuhvaćeni subjekti | 22.000+ financijskih institucija u EU |
| Prijava incidenata | Početno izvješće u roku od 4 sata |
| Nadzor u HR | HNB (banke) + HANFA (osiguranje, tržišta kapitala) |
| Kazne | Prema nacionalnom zakonodavstvu + nadzornim mjerama |
| Odnos s NIS2 | DORA je lex specialis za financijski sektor |
Sadržaj
- Izvršni sažetak
- Što je DORA i zašto je važna
- Tko je obuhvaćen
- Pet stupova DORA-e
- ICT upravljanje rizicima
- Upravljanje i prijava ICT incidenata
- Testiranje digitalne operativne otpornosti
- Upravljanje rizicima trećih strana
- Razmjena informacija
- DORA i NIS2: koji propis se primjenjuje
- Stanje u hrvatskom financijskom sektoru
- Kako se pripremiti: praktični koraci
- Najčešće greške
- Često postavljana pitanja
- Izvori
Vrijeme čitanja: 17 minuta.
Trebate edukaciju o DORA usklađenosti? Pregledajte naše tečajeve ili kontaktirajte nas za prilagođeni program za vaš financijski tim.
Izvršni sažetak
DORA (Digital Operational Resilience Act — Uredba o digitalnoj operativnoj otpornosti) stupila je na snagu 16. siječnja 2023., a primjenjuje se od 17. siječnja 2025. To znači da su sve financijske institucije u EU — uključujući hrvatske banke, osiguravajuća društva, investicijske fondove i njihove ICT dobavljače — već pod punom obvezom usklađenosti.
Prema istraživanju HANFA-e, od 52 financijske institucije pod nadzorom HANFA-e, više od 40% razvilo je plan za implementaciju mjera digitalne otpornosti. To znači da je gotovo 60% institucija ušlo u razdoblje primjene bez potpune pripremljenosti.
DORA nije direktiva koja zahtijeva prijenos u nacionalno zakonodavstvo — ona je uredba koja se izravno primjenjuje. Nema čekanja na hrvatski zakon. Obveze su aktivne od prvog dana.
Za razliku od NIS2 koji pokriva širi krug sektora, DORA je specijalizirana isključivo za financijski sektor i donosi detaljnije, strože zahtjeve u pet ključnih područja: upravljanje ICT rizicima, upravljanje incidentima, testiranje otpornosti, upravljanje rizicima trećih strana i razmjena informacija.
Što je DORA i zašto je važna
Financijski sektor je kritična infrastruktura svake ekonomije. Digitalna transformacija učinila ga je učinkovitijim, ali i ranjivijim. Jedan uspješan kibernetički napad na banku ili osiguravajuće društvo može ugroziti stabilnost cijelog financijskog sustava.
DORA je odgovor EU na rastući broj kibernetičkih prijetnji u financijskom sektoru:
- Harmonizacija — do DORA-e, svaka zemlja imala je vlastite propise za ICT sigurnost u financijama. DORA uvodi jedinstveni okvir za cijelu EU.
- Sveobuhvatnost — pokriva ne samo banke, nego i osiguravajuća društva, fondove, platne institucije i njihove IT dobavljače.
- Operativna otpornost — fokus nije samo na prevenciji napada, nego na sposobnosti financijske institucije da nastavi raditi unatoč incidentu.
- Odgovornost uprave — uprava mora odobriti i nadzirati ICT strategiju. To nije samo IT projekt.
Tko je obuhvaćen
DORA se primjenjuje na gotovo cijeli financijski sektor. Prema članku 2 Uredbe:
Financijske institucije (20+ kategorija)
| Kategorija | Primjeri u Hrvatskoj |
|---|---|
| Kreditne institucije | Zagrebačka banka, PBZ, Erste, OTP, Raiffeisen, HPB |
| Platne institucije | Procesori plaćanja, pružatelji platnih usluga |
| Institucije za elektronički novac | Izdavatelji e-novca |
| Investicijska društva | Brokeri, investicijski savjetnici |
| Kripto pružatelji usluga | Mjenjačnice, kripto skrbnici |
| Osiguravajuća društva | Croatia osiguranje, Allianz, Euroherc, Generali |
| Mirovinski fondovi | Obvezni i dobrovoljni mirovinski fondovi |
| Središnje depozitorije | SKDD (Središnje klirinško depozitarno društvo) |
| Trgovinska repozitorijima | Infrastruktura financijskog tržišta |
| Agencije za kreditni rejting | Lokalni i međunarodni pružatelji |
Kritični ICT dobavljači trećih strana
DORA uvodi nadzor nad kritičnim ICT dobavljačima financijskog sektora — cloud provideri, hosting pružatelji, razvojne tvrtke koje isporučuju ključne sustave bankama i osiguranjima. Europska nadzorna tijela (EBA, ESMA, EIOPA) imenuju kritične dobavljače i provode izravni nadzor.
Iznimke
Mikropoduzeća s manje od 10 zaposlenika i godišnjim prometom manjim od 2 milijuna eura imaju pojednostavljene obveze. Međutim, potpuna iznimka ne postoji — osnovni zahtjevi za upravljanje ICT rizicima primjenjuju se na sve.
Pet stupova DORA-e
DORA je strukturirana oko pet ključnih područja (stupova) koja zajedno čine okvir digitalne operativne otpornosti.
ICT upravljanje rizicima
Poglavlje II, članci 5-16
Ovo je najopsežniji stup DORA-e. Zahtijeva uspostavu sveobuhvatnog okvira za upravljanje ICT rizicima koji uključuje:
Obveze uprave
- Uprava mora definirati, odobriti i nadzirati ICT strategiju
- Odgovorna je za uspostavu okvira upravljanja ICT rizicima
- Mora osigurati adekvatna sredstva — proračun, osoblje, alati
- Dužna je redovito se educirati o ICT rizicima i prijetnjama
Okvir upravljanja ICT rizicima
Institucija mora imati dokumentirani okvir koji uključuje:
- Identifikaciju — inventar svih ICT sredstava, sustava, procesa i njihovih međuovisnosti
- Zaštitu i prevenciju — mjere za zaštitu ICT sustava od neovlaštenog pristupa, oštećenja i gubitka podataka
- Detekciju — mehanizmi za pravovremeno otkrivanje anomalija, incidenata i ranjivosti
- Odgovor i oporavak — planovi kontinuiteta poslovanja, procedure za odgovor na incidente, strategije oporavka
- Učenje i razvoj — analiza incidenata, poboljšanje procesa na temelju naučenih lekcija
Politika kontinuiteta poslovanja
- Planovi oporavka od katastrofe s definiranim RPO i RTO metrikama
- Redovito testiranje planova (barem jednom godišnje)
- Komunikacijski planovi za krizne situacije
- Backup strategija s čestim provjerama integriteta
Upravljanje i prijava ICT incidenata
Poglavlje III, članci 17-23
DORA uvodi stroge zahtjeve za upravljanje ICT incidentima, uključujući najkraće rokove za prijavu u EU financijskom zakonodavstvu.
Klasifikacija incidenata
Institucije moraju klasificirati ICT incidente prema kriterijima:
- Broj pogođenih korisnika/transakcija
- Trajanje incidenta
- Geografski opseg
- Gubitak podataka
- Utjecaj na kritične funkcije
- Ekonomski učinak
Rokovi prijave nadležnom tijelu
| Faza | Rok | Sadržaj |
|---|---|---|
| Početno izvješće | 4 sata od klasifikacije | Osnovne informacije o incidentu |
| Međuizvješće | 72 sata | Ažurirani podaci, procjena utjecaja |
| Završno izvješće | 1 mjesec | Potpuna analiza, uzroci, naučene lekcije, poduzete mjere |
Kome se prijavljuje u Hrvatskoj
| Vrsta institucije | Nadležno tijelo |
|---|---|
| Banke i kreditne institucije | HNB (Hrvatska narodna banka) |
| Osiguranja, fondovi, tržišta kapitala | HANFA |
| Platne institucije | HNB |
Testiranje digitalne operativne otpornosti
Poglavlje IV, članci 24-27
DORA zahtijeva dva nivoa testiranja:
Osnovno testiranje (za sve institucije)
Svake godine institucije moraju provoditi:
- Testiranje ranjivosti (vulnerability assessments)
- Testiranje mrežne sigurnosti (network security)
- Analizu otvorenog koda (open source analysis)
- Pregled sigurnosnog koda (security code reviews)
- Testiranje scenarija (scenario-based testing)
Napredno testiranje (TLPT — za značajne institucije)
Svake 3 godine, financijske institucije koje regulatori odrede kao značajne moraju provoditi napredne penetracijske testove temeljene na prijetnjama (Threat-Led Penetration Testing — TLPT):
- Provode ih neovisni vanjski testeri s odgovarajućom kvalifikacijom
- Simuliraju realne prijetnje specifične za instituciju
- Uključuju kritične ICT sustave u produkcijskom okruženju
- Rezultati se dijele s nadležnim tijelom
TLPT se temelji na europskom okviru TIBER-EU koji je razvila Europska središnja banka.
Upravljanje rizicima trećih strana
Poglavlje V, članci 28-44
Ovo je područje gdje DORA donosi najveće novosti. Financijske institucije sve više ovise o vanjskim ICT dobavljačima — cloud računalstvu, SaaS platformama, outsourciranim IT operacijama. DORA regulira ovu ovisnost.
Obveze za financijske institucije
- Registar svih ICT ugovornih aranžmana — potpuni popis svih dobavljača ICT usluga
- Procjena rizika prije sklapanja ugovora — due diligence dobavljača
- Obvezne ugovorne klauzule — ugovori moraju sadržavati odredbe o sigurnosti, reviziji, izlaznim strategijama
- Exit strategije — plan za prelazak na drugog dobavljača ili internalizaciju usluge
- Praćenje performansi — kontinuirani nadzor ICT dobavljača
Obvezni elementi ugovora s ICT dobavljačima
Prema članku 30, ugovori moraju sadržavati:
| Element | Opis |
|---|---|
| Lokacija podataka | Gdje se podaci obrađuju i pohranjuju |
| Prava revizije | Institucija mora imati pravo revidirati dobavljača |
| Razina usluge (SLA) | Mjerljivi pokazatelji performansi |
| Sigurnosne mjere | Koje mjere zaštite dobavljač primjenjuje |
| Obavijest o incidentima | Rokovi i postupak obavještavanja |
| Izlazna strategija | Plan za prestanak ugovora bez prekida usluge |
| Podugovaranje | Pravila za korištenje podugovaratelja |
Nadzor kritičnih ICT dobavljača
Veliki cloud provideri (AWS, Azure, Google Cloud) i drugi sistemski važni ICT dobavljači podliježu izravnom nadzoru europskih nadzornih tijela. Ovo je prvi put da EU regulira tehnološke kompanije kroz financijsku regulativu.
Razmjena informacija
Poglavlje VI, članak 45
DORA potiče financijske institucije na razmjenu informacija o kibernetičkim prijetnjama, ranjivostima i taktikama napadača. Ova razmjena je dobrovoljna, ali regulirana:
- Mora se odvijati u okviru pouzdanih zajednica
- Poštivanje GDPR-a i poslovnih tajni
- Obavještavanje nadležnog tijela o sudjelovanju u razmjeni
DORA i NIS2: koji propis se primjenjuje
DORA je lex specialis za financijski sektor u odnosu na NIS2 direktivu. To znači:
| Aspekt | DORA | NIS2 |
|---|---|---|
| Primjena | Financijski sektor | 18 sektora (uključujući financije) |
| Vrsta propisa | Uredba (izravna primjena) | Direktiva (potreban prijenos) |
| ICT upravljanje rizicima | Detaljni zahtjevi (čl. 5-16) | Opći zahtjevi (čl. 21) |
| Prijava incidenata | 4 sata + 72h + 1mj | 24h + 72h + 1mj |
| Testiranje otpornosti | TLPT svake 3 godine | Nije specificirano |
| Upravljanje dobavljačima | Detaljan okvir + EU nadzor | Opća obveza |
Praktična implikacija: Ako ste financijska institucija, DORA ima prednost. NIS2 se primjenjuje samo na ono što DORA ne pokriva. Ne trebate ispunjavati oba propisa za isto područje — DORA je dovoljna.
Stanje u hrvatskom financijskom sektoru
Nadzorna tijela
HNB i HANFA su organizirali niz radionica i sastanaka s industrijskim udruženjima kako bi osigurali pripremu za implementaciju.
Pripremljenost sektora
Prema HANFA-inom istraživanju provedenom prije stupanja DORA-e na snagu:
- 40%+ institucija imalo je plan implementacije
- Najveći izazovi: upravljanje ICT dobavljačima, TLPT testiranje, registar ugovornih aranžmana
- Banke pod nadzorom HNB-a bile su bolje pripremljene zahvaljujući ranijim EBA smjernicama
Hrvatski financijski sektor u brojkama
| Kategorija | Broj subjekata (aprox.) |
|---|---|
| Banke i kreditne institucije | 20+ |
| Osiguravajuća društva | 15+ |
| Mirovinski fondovi | 20+ |
| Investicijski fondovi | 100+ |
| Platne institucije | 10+ |
| Ostale financijske institucije | 50+ |
Kako se pripremiti: praktični koraci
1. Gap analiza (ako još niste)
Usporedite svoje postojeće ICT kontrole s DORA zahtjevima. Fokusirajte se na:
- Upravljanje ICT rizicima (članci 5-16)
- Upravljanje incidentima (članci 17-23)
- Testiranje otpornosti (članci 24-27)
- Registar ICT dobavljača (članci 28-44)
2. Uspostava registra ICT ugovornih aranžmana
Ovo je jedna od najzahtjevnijih obveza. Trebate potpuni popis svih ICT dobavljača s:
- Vrstom usluge i kritičnošću
- Lokacijom obrade podataka
- Ugovornim odredbama
- Procjenom rizika
3. Revizija ugovora s dobavljačima
Provjerite sadrže li postojeći ugovori sve obvezne elemente iz članka 30. Većina ugovora zahtijeva dodatke ili renegocijaciju.
4. Proces upravljanja incidentima
Uspostavite proces koji omogućuje:
- Detekciju incidenta
- Klasifikaciju prema DORA kriterijima
- Početno izvješće HNB-u/HANFA-i u roku od 4 sata
- Međuizvješće u 72 sata
- Završno izvješće u 1 mjesec
5. Program testiranja
Planirajte godišnji program testiranja koji uključuje:
- Kvartalne testove ranjivosti
- Godišnje testiranje scenarija
- TLPT svakih 3 godine (ako je primjenjivo)
6. Edukacija uprave i zaposlenika
DORA eksplicitno zahtijeva da uprava razumije ICT rizike i nadzire upravljanje njima. Organizirajte:
- Edukaciju za upravu o DORA obvezama
- Trening za IT tim o postupcima prijave incidenata
- Edukaciju za zaposlenike o kibernetičkoj sigurnosti
Kontrolna lista
| Zadatak | Odgovoran | Status |
|---|---|---|
| Gap analiza prema DORA zahtjevima | IT + usklađenost | ☐ |
| Registar ICT ugovornih aranžmana | Nabava + IT | ☐ |
| Revizija ugovora s dobavljačima | Pravna + IT | ☐ |
| Okvir upravljanja ICT rizicima | IT + uprava | ☐ |
| Proces upravljanja incidentima (4h rok) | IT + usklađenost | ☐ |
| Odobrenje ICT strategije od uprave | Uprava | ☐ |
| Plan testiranja otpornosti | IT sigurnost | ☐ |
| Izlazne strategije za kritične dobavljače | IT + nabava | ☐ |
| Edukacija uprave | HR + IT | ☐ |
| Edukacija zaposlenika | HR | ☐ |
Najčešće greške
1. Tretiranje DORA-e kao IT projekta
DORA zahtijeva angažman uprave, pravne službe, nabave i operacija. Uprava mora odobriti ICT strategiju i nadzirati njenu provedbu. Delegiranje samo IT odjelu nije usklađenost.
2. Podcjenjivanje upravljanja dobavljačima
Registar ICT ugovornih aranžmana i revizija ugovora često je najzahtjevniji dio implementacije. Većina institucija ima desetke ICT dobavljača s ugovorima koji ne zadovoljavaju DORA zahtjeve.
3. Nepripremljenost za rok od 4 sata
Početno izvješće o značajnom ICT incidentu mora biti dostavljeno nadležnom tijelu u roku od 4 sata. Bez automatiziranog sustava detekcije i unaprijed definiranih procedura, ovaj rok je nemoguće ispuniti.
4. Izostanak testiranja u produkcijskom okruženju
DORA zahtijeva testiranje u produkcijskim sustavima (za TLPT). Mnoge institucije testiraju samo u testnim okruženjima, što ne zadovoljava zahtjeve za napredno testiranje otpornosti.
5. Ignoriranje proporcionalnosti
DORA primjenjuje načelo proporcionalnosti — manja institucija ima manje zahtjevne obveze. Neke institucije implementiraju previše složene sustave koji su neproporcionalnu njihovoj veličini i riziku.
Često postavljana pitanja
Primjenjuje li se DORA na moju tvrtku ako nisam banka?
DORA se primjenjuje na sve financijske institucije: banke, osiguranja, fondove, platne institucije, kripto pružatelje i mnoge druge. Ako ste regulirani od strane HNB-a ili HANFA-e, vjerojatno ste obuhvaćeni.
Jesmo li već u kršenju ako nismo potpuno usklađeni?
DORA se primjenjuje od 17. siječnja 2025. Institucije koje nisu usklađene izlažu se nadzornim mjerama. HNB i HANFA provode nadzore i mogu izreći mjere za neusklađenost.
Kako se DORA odnosi prema GDPR-u?
DORA i GDPR su komplementarni. GDPR štiti osobne podatke, DORA štiti operativnu otpornost financijskog sustava. ICT incident koji uključuje osobne podatke zahtijeva prijavu prema oba propisa — DORA nadležnom financijskom regulatoru, GDPR AZOP-u.
Moram li ispuniti i DORA i NIS2?
DORA je lex specialis za financijski sektor. Za ICT upravljanje rizicima, prijavu incidenata i testiranje, DORA ima prednost. NIS2 se primjenjuje samo na aspekte koje DORA ne pokriva.
Koliko košta usklađenost s DORA-om?
Ovisi o veličini i složenosti institucije. Za srednje institucije, procjene se kreću od 200.000 do 1.000.000 eura, uključujući konzultante, tehnologiju, reviziju ugovora i edukaciju. Za velike banke, troškovi mogu biti višestruko veći.
Što je TLPT i moram li ga provoditi?
TLPT (Threat-Led Penetration Testing) je napredno testiranje koje simulira realne prijetnje. Provodi se svake 3 godine. Obvezan je za institucije koje regulatori odrede kao značajne. Za manje institucije, dovoljna su osnovna testiranja.
Trebam li registar ICT dobavljača?
Da. Članak 28(3) zahtijeva potpuni registar svih ICT ugovornih aranžmana. Ovo uključuje sve dobavljače ICT usluga — od cloud providera do razvojnih tvrtki.
Mogu li koristiti ISO 27001 za DORA usklađenost?
ISO 27001 pokriva znatan dio zahtjeva za upravljanje ICT rizicima, ali DORA ima specifične zahtjeve koji nadilaze ISO 27001 — posebno u područjima prijave incidenata (4h rok), TLPT testiranja i upravljanja dobavljačima.
Moraju li ICT dobavljači financijskog sektora biti usklađeni s DORA-om?
Kritični ICT dobavljači podliježu izravnom EU nadzoru. Ostali dobavljači moraju ispunjavati ugovorne zahtjeve koje financijske institucije moraju uključiti u ugovore prema članku 30.
Što ako imam outsourciran IT?
Outsourcing ne oslobađa odgovornosti. Institucija je i dalje odgovorna za upravljanje ICT rizicima. Mora imati punu vidljivost nad outsourciranim uslugama, pravo revizije i izlaznu strategiju.
Izvori
- Uredba (EU) 2022/2554 — DORA puni tekst (EUR-Lex) — službeni tekst na hrvatskom
- HNB: Digitalna operativna otpornost — smjernice Hrvatske narodne banke
- HANFA: Digitalna otpornost — nadzor financijskog sektora
- HANFA: Priprema za DORA-u — izvješće o pripremljenosti sektora
- PwC: DORA za hrvatski financijski sektor — analiza obveza
- ECB: TIBER-EU framework — okvir za napredno testiranje otpornosti
- EBA: DORA smjernice — smjernice Europskog bankarskog tijela
Potrebna vam je edukacija o DORA-i? CompliQuest nudi tečajeve o digitalnoj operativnoj otpornosti prilagođene hrvatskom financijskom sektoru — za upravu, compliance timove i IT odjele.
Pregledajte naše tečajeve | Kontaktirajte nas
Povezani članci
- Kibernetička sigurnost: Vodič za zaposlenike
- Phishing napadi: Kako prepoznati i zaštititi se
- Pojmovnik: Compliance termini i definicije
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije vezane uz DORA usklađenost konzultirajte pravne stručnjake specijalizirane za financijsku regulativu.