Dora

Stvaranje bulletproof financijskog sektora

Jeste li spremni za DORA-u?

DORA – Uredba o digitalnoj operativnoj otpornosti za financijski sektor je lex specialis NIS2 Direktive i direktno je primjenjiva na zemlje članice Europske unije.

Sve ključno što trebate znati o ovoj Uredbi koja 2025. stupa na snagu, složili smo u jedan dokument. Preuzmite ga, informirajte se i uskladite.

Što je DORA?

DORA (Digital Operational Resiliance Act) je uredba Europske unije koja ima za cilj poboljšati digitalnu operativnu otpornost financijskog sektora. Uvedena je kako bi se uspostavili zajednički standardi i pravila za informacijske i komunikacijske tehnologije (IKT), upravljanje rizicima i izvještavanje o incidentima. Početak primjene je 17. siječnja 2025.

Primjena DORA-e počinje za:

Tko su obveznici DORA-e?

Sve financijske institucije u EU i njihovi pružatelji IKT usluga, sukladno klasifikaciji po broju zaposlenika, godišnjem prometu i bilanci.

  • kreditne institucije
  • institucije za platni promet
  • PRUŽATELJI USLUGA INFORMACIJA O RAČUNU
  • institucije za elektronički novac
  • investicijska društva
  • PRUŽATELJI usluga povezanih s kriptoimovinom
  • SREDIŠNJI DEPOZITORIJI VRIJEDNOSNIH PAPIRA
  • središnje druge ugovorne strane
  • mjesta trgovanja
  • TRGOVINSKI REPOZITORIJI
  • UPRAVITELJI ALTERNATIVNIH INVESTICIJSKIH FONDOVA
  • društva za upravljanje
  • PRUŽATELJI usluga dostave podataka
  • društva za osiguranje i društva za reosiguranje
  • POSREDNICI U OSIGURANJU, POSREDNICI U REOSIGURANJU I SPOREDNI POSREDNICI U OSIGURANJU
  • institucije za strukovno mirovinsko osiguranje
  • agencije za kreditni rejting
  • ADMINISTRATORI KLJUČNIH REFERENTNIH VRIJEDNOSTI
  • PRUŽATELJI usluga skupnog financiranja
  • SEKURITIZACIJSKI REPOZITORIJI
  • TREĆE STRANE PRUŽATELJI IKT USLUGA

Zašto je DORA važna?

Financijski sektor postao je ovisan o informacijskim tehnologijama čime su eksponencijalno povećani i rizici vezani uz tehnologije te informacijsku i kibernetičku sigurnost. Jačanje digitalne otpornosti financijskog sektora na incidente vezane uz IKT njezin je temeljni cilj.

DORA nam donosi:

Poboljšanje otpornosti na kibernetičke prijetnje.

DORA uspostavlja stroge standarde za upravljanje kibernetičkom sigurnošću, zahtijevajući od financijskih institucija da implementiraju robusne mjere za detekciju, prevenciju i odgovor na kibernetičke napade. To pomaže u smanjenju rizika od financijskih gubitaka, prekida poslovanja i štete na reputaciji uslijed kibernetičkih incidenata.

Povećanje povjerenja i stabilnosti tržišta.

Implementacijom mjera operativne otpornosti predviđenih DORA-om, financijske institucije doprinose općoj stabilnosti i integritetu financijskog tržišta. Time se povećava povjerenje potrošača i investitora u digitalnu infrastrukturu i usluge, što je ključno za održavanje zdravlja financijskog sektora.

Utjecaj DORA-e na obveznike ogleda se u potrebi za detaljnom procjenom:

postojećih IKT i sigurnosnih procesa

ulaganja u unapređenje tehnološke infrastrukture

sposobnosti osoblja za upravljanje i izvještavanje o kibernetičkim rizicima

Osim toga, regulativa potiče suradnju unutar sektora i s regulatornim tijelima, što organizacijama pomaže u prilagodbi na dinamično kibernetičko okruženje.

 

DORA administrativne kazne i korektivne mjere

Nadležna tijela imaju ovlasti izricanja administrativnih kazni i korektivnih mjera financijskim institucijama.

 

Pri utvrđivanju kazni i mjera u obzir će se uzimati:

  • značajnost, težina i trajanje povrede
  • stupanj odgovornosti fizičke ili pravne osobe
  • financijska snaga odgovorne fizičke ili pravne osobe
  • veličina ostvarene dobiti ili izbjegnutih gubitaka odgovorne fizičke ili pravne osobe
  • gubitci koje su zbog povrede pretrpjele treće osobe
  • razinu suradnje odgovorne fizičke ili pravne osobe s nadležnim tijelom
  • prethodne povrede koje je počinila odgovorna fizička ili pravna osoba

Konkretne kazne bit će definirane unutar Zakona o transpoziciji.

Novčane kazne za treće strane, pružatelje IKT usluga

S druge strane, DORA jasno definira novčane kazne za treće strane, pružatelje IKT usluga. Za ključnu treću stranu pružatelja IKT usluga novčana kazna može iznositi do 1 % prosječnoga dnevnog prometa na svjetskoj razini u prethodnoj poslovnoj godini. Kazna se izriče na dnevnoj osnovi tijekom razdoblja od najviše šest mjeseci sve dok se ne osigura usklađenost.

 

Kako se uskladiti s DORA-om?

5 stupova zahtjeva usklađenosti s DORA-om:

  1. Upravljanje IKT rizicima
  2. Testiranje otpornosti
  3. Upravljanje IKT incidentima
  4. Upravljanje rizicima trećih strana
  5. Razmjena informacija

 

Ako primjenjujete međunarodne norme poput ISO/IEC 27001 već ste u određenoj prednosti.

Zahtjevi su slični onima NIS2 Direktive zbog područja koja pokrivaju, ali su ipak snažniji s obzirom na veću razinu zrelosti financijskog sektora.

DORA za obveznike postavlja robusna pravila za postizanje digitalne operativne otpornosti, zbog čega se snažan naglasak stavlja upravo na testiranje digitalne operativne otpornosti naprednim metodama kao što su penetracijska testiranja vođena prijetnjama (TLPT – Threat Lead Penetration Test) u jasno definiranim intervalima.

Također, jedno od područja koje očekuju značajnije promjene je upravljanje rizikom trećih strana, s obzirom na to da do sada nije bilo regulirano na ovakvoj razini.

 

Usklađeni i sigurni uz Divertov pristup DORA-i

Početak vašeg putovanja prema usklađenosti s DORA-om ovisi o trenutnoj razini sigurnosne zrelosti sustava informacijske i kibernetičke sigurnosti.

Implementaciju mjera za postizanje sukladnosti provodimo kroz 3 grupe aktivnosti:

  • Upravljanje
  • Testiranje otpornosti
  • Nadzor i kontinuiranu obranu

 

S obzirom na to da je upravljanje informacijskom i kibernetičkom sigurnošću kontinuiran proces, potrebno je inicijalnu procjenu sukladnosti periodički provjeravati i određivati daljnje korake za unapređenje implementiranih kontrola.

Provjerite kako vam pojedine faze ovog Diverto pristupa pomažu pri usklađivanju s DORA-om te u konačnici, u uspostavljanju visoke razine sigurnosti vašeg poslovanja

Diverto pristup

Malo vremena za robusne zahtjeve DORA-e

DORA je direktno primjenjiva na zemlje članice Europske unije i stupa na snagu od 17. siječnja 2025.

Propisuje administrativne kazne i korektivne mjere za financijske institucije, ali i novčane kazne za treće strane pružatelje IKT usluga.

Sve ključne informacije o DORA-i složili smo u jednostavan i vizualno pregledan dokument. Preuzmite ga, informirajte se i uskladite na vrijeme.

Preuzmite dokument