Kaj je regulacija DORA?

Uredba DORA: Namen, skladnost, zahteve in druge ključne informacije

DORA je regulacija Evropske unije o kibernetski varnosti in odpornosti, osredotočena na finančne organizacije. Objavljena je bila decembra 2022 pod nazivom Uredba (EU) 2022/2554 o digitalni operativni odpornosti za finančni sektor in začne veljati 17. januarja 2025.

---

Povzetek regulacije DORA

DORA je uredba Evropske unije, ki določa zahteve za kibernetsko varnost in odpornost za finančne organizacije.

Polni naziv uredbe je Uredba (EU) 2022/2554 o digitalni operativni odpornosti za finančni sektor ter o spremembah uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011. Objavljena je bila 14. decembra 2022.

Ker je DORA uredba, to pomeni, da se neposredno uporablja za praktično vse finančne subjekte v Evropski uniji – torej države članice EU ne potrebujejo lastnih zakonov o kibernetski varnosti za finančni sektor, saj morajo finančne organizacije neposredno spoštovati uredbo DORA.

Polni naziv uredbe je Uredba (EU) 2022/2554 o digitalni operativni odpornosti za finančni sektor ter o spremembah uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011. Objavljena je bila 14. decembra 2022.

Zakaj je DORA pomembna?

DORA je pomembna, ker uvaja enako raven kibernetske varnosti in digitalne odpornosti za vse finančne subjekte v vseh državah EU. Na ta način bo zagotovljena varnost in kontinuiteta bank, zavarovalnic in drugih finančnih organizacij po celotni EU.

Kaj pomeni kratica DORA?

Kratica “DORA” pomeni Digital Operational Resilience Act (Akt o digitalni operativni odpornosti).

Kje lahko najdem celotno besedilo uredbe DORA?

Tukaj je uradno besedilo uredbe DORA: Regulation (EU) 2022/2554.

Celotno besedilo je na voljo tudi tukaj, razdeljeno po poglavjih in členih, z možnostjo iskanja po ključnih besedah: Celotno besedilo uredbe DORA.

Na koga se DORA nanaša?

DORA se nanaša na skoraj vse finančne subjekte v vseh državah EU (in njihove ponudnike IT-storitev):

• kreditne institucije,
• plačilne institucije,
• ponudnike storitev informacij o računih,
• institucije za elektronski denar,
• investicijska podjetja,
• ponudnike storitev s kripto-sredstvi,
• centralne depotne družbe vrednostnih papirjev,
• centralne nasprotne stranke,
• trgovalne platforme,
• registre trgovanja,
• upravljavce alternativnih investicijskih skladov,
• družbe za upravljanje,
• ponudnike storitev za poročanje podatkov,
• zavarovalnice in pozavarovalnice,
• zavarovalne posrednike, pozavarovalne posrednike in podporne zavarovalne posrednike,
• institucije za poklicno pokojninsko zavarovanje,
• bonitetne agencije,
• administratorje ključnih referenčnih vrednosti,
• ponudnike storitev množičnega financiranja,
• registre sekuritizacij,
• tretje ponudnike storitev IKT, ki zagotavljajo storitve zgoraj navedenim finančnim organizacijam.

Časovnica regulacije DORA

DORA je bila objavljena decembra 2022, njena uporaba pa se začne 17. januarja 2025.

To pomeni, da morajo vse finančne organizacije in njihovi ponudniki IT-storitev izpolnjevati zahteve DORA od januarja 2025 naprej.

Vir: Advisera

Struktura uredbe DORA

Uredba DORA vključuje 64 členov, razdeljenih v naslednjih devet poglavij:

1. Poglavje I – Splošne določbe
2. Poglavje II – Upravljanje tveganj IKT
3. Poglavje III – Upravljanje, razvrščanje in poročanje o incidentih IKT
4. Poglavje IV – Preizkušanje digitalne operativne odpornosti
5. Poglavje V – Upravljanje tveganj v zvezi s tretjimi ponudniki storitev IKT
6. Poglavje VI – Dogovori o deljenju informacij
7. Poglavje VII – Pristojni organi
8. Poglavje VIII – Delegirani akti
9. Poglavje IX – Prehodne in končne določbe

Glavne zahteve uredbe DORA

Tukaj je devet najpomembnejših zahtev uredbe DORA:

1. Podrobne zahteve za upravljanje tveganj IKT.
2. Poenostavljen okvir za upravljanje tveganj IKT za manjše finančne subjekte.
3. Upravljanje, razvrščanje in poročanje o incidentih in grožnjah.
4. Preizkušanje digitalne operativne odpornosti, vključno z vdorom.
5. Upravljanje tveganj v zvezi s tretjimi ponudniki storitev IKT.
6. Zahteve za ponudnike storitev IKT in njihov nadzor s strani vlade.
7. Deljenje informacij o kibernetskih grožnjah.
8. Organi (pristojni organi), zadolženi za uveljavljanje DORA.
9. Kazni za finančne organizacije in tretje ponudnike storitev IKT.

Več podrobnosti najdete tukaj: 9 ključnih zahtev uredbe DORA.

Kaj je poenostavljeno upravljanje tveganj IKT?

Poenostavljen okvir za upravljanje tveganj IKT je opisan v členu 16 DORA in v naslovu III uredbe CDR 2024-1774, kjer so določeni tehnični standardi, orodja, metode, procesi in politike za upravljanje tveganj IKT ter poenostavljen okvir za upravljanje tveganj IKT.

Poenostavljeno upravljanje tveganj je zasnovano za manjše finančne subjekte, saj bi bile redne zahteve DORA za upravljanje tveganj zanje pretirane.

Ta okvir velja za:

• manjša in nepovezana investicijska podjetja,
• manjše plačilne institucije, izvzete z odločitvijo držav članic na podlagi direktive (EU) 2015/2366,
• specifične kreditne institucije, določene v direktivi 2013/36/EU (če jih države članice niso v celoti izključile iz DORA),
• manjše institucije za elektronski denar, izvzete z odločitvijo držav članic na podlagi direktive 2009/110/ES,
• manjše institucije za poklicno pokojninsko zavarovanje.

Kaj so delegirane uredbe Komisije (CDR)?

Delegirane uredbe Komisije so tehnični standardi (sprejeti s strani Evropske komisije), ki natančneje določajo, kako uporabljati uredbo DORA.

Ob času pisanja tega dokumenta so bile sprejete naslednje delegirane uredbe:

• CDR 2024/1502 – Merila za določitev tretjih ponudnikov storitev IKT kot ključnih za finančne subjekte.
• CDR 2024/1505 – Znesek nadomestil za nadzor, ki jih zaračunava glavni nadzornik ključnim tretjim ponudnikom storitev IKT, in način plačila teh nadomestil.
• CDR 2024/1772 – Merila za razvrstitev incidentov IKT in kibernetskih groženj ter določanje materialnih pragov in specifikacij za poročanje o večjih incidentih.
• CDR 2024/1773 – Tehnični standardi, ki določajo vsebino politik o pogodbenih dogovorih za uporabo storitev IKT, ki podpirajo kritične ali pomembne funkcije, ki jih zagotavljajo tretji ponudniki storitev IKT.
• CDR 2024/1774 – Tehnični standardi za orodja, metode, procese in politike za upravljanje tveganj IKT ter poenostavljen okvir za upravljanje tveganj IKT.

Proces implementacije uredbe DORA

Ker se DORA osredotoča na upravljanje tveganj kibernetske varnosti, je proces njene implementacije podoben drugim standardom in okvirjem za varnost. Tukaj so predlagani koraki za implementacijo:

1. Začnite z analizo vrzeli.
2. Zagotovite podporo višjega vodstva.
3. Vzpostavite projektno upravljanje.
4. Izvedite začetno usposabljanje.
5. Določite upravljanje in vlogo višjega vodstva.
6. Vzpostavite okvir za upravljanje tveganj IKT.
7. Izvedite identifikacijo sredstev, oceno tveganj in obravnavo tveganj.
8. Napišite in odobrite strategijo za digitalno operativno odpornost.
9. Implementirajte ukrepe kibernetske varnosti.
10. Implementirajte ukrepe za odpornost.
11. Vzpostavite upravljanje tveganj za tveganja tretjih ponudnikov storitev IKT.
12. Vzpostavite redno usposabljanje na področju kibernetske varnosti.
13. Vzpostavite razvrščanje in poročanje o incidentih in grožnjah.
14. Vzpostavite redno preizkušanje digitalne operativne odpornosti.
15. Vzpostavite merjenje, spremljanje in preglede.
16. Izvedite redne interne revizije.
17. Izvedite redne preglede upravljanja.
18. Izvajajte nadaljnje ukrepe in korektivne ukrepe.

Kazni in uveljavljanje

Kazni za finančne subjekte

Za razliko od NIS 2 DORA ne določa minimalnih glob za finančne subjekte. Namesto tega omogoča državam članicam, da same določijo višino glob.

DORA pa določa druge kazni, ki jih lahko uvedejo pristojni organi:

• Finančnim subjektom lahko odredijo prenehanje dejavnosti, ki niso skladne z uredbo DORA.
• Določijo lahko katerikoli ukrep (vključno z globami), da zagotovijo skladnost finančnih subjektov z uredbo DORA.
• Izdajo lahko javna obvestila, ki lahko razkrijejo imena neskladnih finančnih subjektov ter oseb, odgovornih za neskladje.

Kazni za ključne tretje ponudnike storitev IKT

DORA določa specifične kazni za ključne tretje ponudnike storitev IKT, ki niso skladni: kazen lahko znaša do 1 % njihovega globalnega letnega prometa, višina kazni pa je odvisna od števila dni, ko ponudnik storitev ni bil skladen.

Glavni nadzornik (organ, ki nadzira ključne ponudnike storitev) mora izdati javno obvestilo z imenom ponudnika, ki je bil kaznovan. Pristojni organ lahko zahteva od finančne organizacije, ki je stranka neskladnega ponudnika storitev, da preneha uporabljati njihove storitve.

Kateri organi uveljavljajo uredbo DORA?

Uredba DORA ne uvaja novosti glede uveljavljanja – v členu 46 se sklicuje na obstoječe predpise, ki določajo pristojne organe za nadzor določenih vrst finančnih subjektov.

V skladu s predpisi, navedenimi v členu 46, države članice EU imenujejo pristojne organe za nadzor in uveljavljanje finančnih predpisov.

Obstajajo pa izjeme, pri katerih EU neposredno nadzira in uveljavlja finančne predpise:

• Za kreditne institucije, razvrščene kot pomembne – Evropska centralna banka (ECB).
• Za registre sekuritizacij – Evropski organ za vrednostne papirje in trge (ESMA).

Vloga evropskih nadzornih organov (ESA)

Evropski bančni organ (EBA), Evropski organ za vrednostne papirje in trge (ESMA) in Evropski organ za zavarovanja in poklicne pokojnine (EIOPA) imajo po uredbi DORA več nalog, vključno z:

• določanjem smernic in regulativnih tehničnih standardov (ki bodo objavljeni kot delegirane uredbe Komisije),
• določanjem, kateri tretji ponudniki storitev IKT so ključni,
• imenovanjem glavnih nadzornikov za ključne ponudnike storitev.

ESA na svojih spletnih straneh objavljajo različne materiale v zvezi z uredbo DORA in drugimi dejavnostmi; najdete jih tukaj:

• Evropski bančni organ (EBA)
• Evropski organ za vrednostne papirje in trge (ESMA)
• Evropski organ za zavarovanja in poklicne pokojnine (EIOPA).

Povezava med uredbo DORA in drugimi standardi ter regulativami

Kako je DORA povezana z ISO 27001 in ISO 22301?

DORA ne omenja standardov kibernetske varnosti, kot je ISO 27001 (niti drugih standardov iz serije ISO27k), niti standardov za neprekinjeno poslovanje, kot je ISO 22301.

Vendar pa iz določb poglavja II uredbe DORA o upravljanju tveganj IKT in uredbe CDR 2024-1774, kjer so določeni tehnični standardi za orodja, metode, procese in politike za upravljanje tveganj IKT, izhaja, da so številni koncepti vzeti iz standardov ISO 27001, ISO 27002, ISO 27005 in ISO 22301. Zato bo finančnim subjektom koristno uporabiti te standarde za izpolnjevanje zahtev DORA glede upravljanja tveganj.

Za ponudnike IT-storitev člen 28 uredbe DORA določa, da lahko finančni subjekti sklepajo pogodbena razmerja s tretjimi ponudniki storitev IKT le, če ti upoštevajo ustrezne standarde informacijske varnosti. Ker je ISO 27001 najbolj razširjen standard informacijske varnosti na svetu, bo certificiranje po tem standardu verjetno še bolj pridobilo na pomenu.

Kako je DORA povezana z direktivo NIS 2?

Polni naziv direktive NIS 2 je Direktiva (EU) 2022/2555 o ukrepih za dosego visoke skupne ravni kibernetske varnosti v Uniji.

Čeprav sta bila DORA in NIS 2 objavljena istega dne (27. decembra 2022), med njima obstajajo pomembne razlike:

DORA	NIS 2
Uredba (neposredno veljavna za finančne institucije)	Direktiva (podjetja se morajo držati lokalne zakonodaje, ki bo objavljena)
Nanaša se na finančne institucije	Nanaša se na organizacije, ki so opredeljene kot bistvene in pomembne entitete
Poleg ukrepov kibernetske varnosti je poudarek tudi na splošni odpornosti finančnih institucij	Poudarek na ukrepih kibernetske varnosti
Učinkovita od 17. januarja 2025	Učinkovita od 18. oktobra 2024

Ali morajo finančne organizacije upoštevati direktivo NIS 2?

Direktiva NIS 2 vključuje bančništvo in infrastrukture finančnih trgov med sektorje, ki morajo biti skladni z njo. Vendar pa člen 4 NIS 2 določa, da imajo DORA in druge sektorske regulative prednost pred NIS 2.

Praktično to pomeni, da finančni subjekti, ki spadajo pod uredbo DORA, niso dolžni upoštevati direktive NIS 2.

Razlog, da sta bančništvo in infrastrukture finančnih trgov vključeni v NIS 2, je v tem, da omogočata lažjo izmenjavo informacij med pristojnimi organi za NIS 2 o teh finančnih subjektih.

Kakšna je razlika med DORA in uredbo GDPR?

Polni naziv uredbe GDPR je Uredba (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov).

Čeprav se tako DORA kot GDPR osredotočata na zaščito podatkov, imata različni pristop:

DORA	GDPR
Uredba (neposredno veljavna za finančne institucije)	Uredba (neposredno veljavna za vsa podjetja)
Nanaša se na finančne institucije	Nanaša se na katerokoli organizacijo, ki obdeluje osebne podatke, vključno s finančnimi institucijami
Poudarek je na zaščiti vseh podatkov v sistemih IKT in doseganju digitalne odpornosti	Ukrepi kibernetske varnosti se nanašajo zgolj na osebne podatke; vključuje tudi pravni vidik zaščite osebnih podatkov
Učinkovita od 17. januarja 2025	Učinkovita od 25. maja 2018

Kakšna je razlika med DORA in direktivo CER?

Polni naziv direktive CER je Direktiva (EU) 2022/2557 o odpornosti ključnih entitet.

Čeprav so bile DORA, CER in NIS 2 objavljene istega dne (27. decembra 2022), ima vsaka od teh regulativ drugačen obseg:

DORA	CER
Uredba (neposredno veljavna za finančne institucije)	Direktiva (podjetja se morajo držati lokalne zakonodaje, ki bo objavljena)
Nanaša se na finančne institucije	Nanaša se na organizacije, ki so opredeljene kot ključne, glede na odločitev države članice
Poleg odpornosti je poudarek tudi na ukrepih kibernetske varnosti	Poudarek je na odpornosti in neprekinjenem poslovanju
Učinkovita od 17. januarja 2025	Učinkovita od 18. oktobra 2024; ključne entitete morajo biti skladne v roku 10 mesecev od dneva, ko so bile določene kot ključne

---

Če vas zanima pridobitev standarda DORA in potrebujete pomoč pri tem procesu, se lahko obrnete na Advisero, ki je strokovnjak na tem področju in vam lahko zagotovi celovito podporo.

Mi, Actioma, smo poslovni partner Advisere in z veseljem delimo njihovo strokovno vsebino. Če želite izvedeti več o standardu DORA ali imate dodatna vprašanja, nas kontaktirajte in usmerili vas bomo k pravim virom.