Što je DORA
DORA je uredba EU-a koja financijskom sektoru daje jedinstven okvir za digitalnu operativnu otpornost — sposobnost da posluje i u uvjetima ozbiljnih ICT poremećaja i kibernetičkih napada. Kao uredba, izravno se primjenjuje u svim državama članicama, uključujući Hrvatsku, od 17. siječnja 2025.
Tko je obveznik
DORA obuhvaća širok krug financijskih subjekata, među ostalima:
- Kreditne institucije (banke) i platne institucije
- Investicijska društva i društva za upravljanje fondovima
- Osiguravajuća i reosiguravajuća društva
- Pružatelje usluga povezanih s kriptoimovinom
- Kritične ICT pružatelje financijskom sektoru (npr. usluge u oblaku)
Ključni zahtjevi
- Upravljanje ICT rizicima uz odgovornost upravljačkog tijela
- Prijava značajnih ICT incidenata nadležnim tijelima
- Testiranje digitalne otpornosti, uključujući napredno testiranje (TLPT) za veće subjekte
- Upravljanje rizikom ICT trećih strana i nadzor kritičnih dobavljača
- Razmjena informacija o prijetnjama
DORA vs. NIS2
NIS2 je horizontalni propis za mnoge sektore, dok je DORA specijalizirana za financije i ima prednost (lex specialis) za subjekte koje obuhvaća. Financijski subjekti stoga primarno gledaju DORA-u, ali se načela kibernetičke sigurnosti uvelike preklapaju.
Ključna regulativa
- Uredba (EU) 2022/2554 (DORA) — izravno primjenjiva od 17. siječnja 2025.
- Povezani tehnički standardi (RTS/ITS) europskih nadzornih tijela