DORA uredba
(Digital Operational Resilience Act – Regulation (EU) 2022/2554)
Što je DORA?
DORA je EU uredba usmjerena na digitalnu operativnu otpornost financijskog sektora. Za razliku od direktiva, DORA je izravno primjenjiva u svim državama članicama, bez potrebe za nacionalnom transpozicijom.
Regulativa je odgovor na sve veću izloženost financijskih institucija ICT rizicima, kibernetičkim napadima i ovisnosti o trećim ICT pružateljima usluga.
Čemu služi?
DORA osigurava da financijske institucije mogu izdržati, odgovoriti i oporaviti se od svih vrsta ICT poremećaja, uključujući kibernetičke incidente.
Cilj nije samo spriječiti incidente, već osigurati operativnu otpornost i kontinuitet ključnih financijskih usluga čak i u uvjetima ozbiljnih poremećaja.
Tko podliježe DORA-i?
DORA se primjenjuje na:
- banke i kreditne institucije
- investicijska društva
- osiguravajuća i reosiguravajuća društva
- pružatelje platnih i kripto usluga
- ključne ICT treće strane (cloud, MSP, data centri)
Ključne obveze obveznika
DORA uvodi jedinstveni okvir za upravljanje ICT rizicima u financijskom sektoru.
Obveze uključuju:
- uspostavu sveobuhvatnog ICT risk management okvira
- detekciju, klasifikaciju i prijavu ICT incidenata
- redovito testiranje digitalne otpornosti
- upravljanje rizicima trećih ICT pružatelja
- dokumentirane politike i procedure
Izdvojeni zahtjevi DORA uredbe
- ICT governance i odgovornost uprave
- Incident reporting u jasno definiranim rokovima
- Operativna otpornost i oporavak
- Nadzor nad trećim stranama
- Redovita sigurnosna testiranja i simulacije
