EU DORA: cui se aplica si ce instrumente ajuta
DORA este reglementarea UE privind rezilienta operationala pentru sectorul financiar. Mai jos gasiti ce obligatii concrete impune in mod continuu, o verificare rapida daca vi se aplica si o analiza independenta a instrumentelor disponibile.
DORA se aplica incepand cu 17 ianuarie 2025. Nu este un termen unic: Registrul de informatii trebuie transmis autoritatii de supraveghere in fiecare an, iar 2026 reprezinta primul ciclu complet de supraveghere in care autoritatile verifica incruciat aceste transmisii. In Romania, DORA este supravegheata de Autoritatea de Supraveghere Financiara (ASF) si de Banca Nationala a Romaniei (BNR).
Datele importante
DORA vi se aplica?
Doua intrebari, raspuns orientativ. Nu constituie consultanta juridica.
Instrumente pentru conformitatea cu DORA
Conformitatea cu DORA se gestioneaza de obicei similar cu NIS2 sau ISO 27001: o platforma care contine cadrul de risc TIC, dovezi, jurnale de incidente si registrul tertilor. Instrumentele de mai jos ofera acest suport; ultimul se concentreaza in mod specific pe Registrul de informatii anual.
| Instrument | Suport DORA | Recomandat pentru | Detalii |
|---|---|---|---|
| Vanta US | Produs dedicat DORA: teste automate, politici DORA predefinite si dovezi reutilizate din lucrarile pentru ISO 27001, SOC 2 sau NIS2 | Fintech-uri si furnizori TIC care automatizeaza deja alte cadre de conformitate | Verifica → |
| Drata US | Cadru DORA predefinit cu un modul de gestionare a riscurilor TIC si monitorizarea riscului tertilor, mapate incruciat la controalele pe care este posibil sa le aveti deja | Entitati financiare care doresc ca DORA sa fie mapata la controalele existente | Verifica → |
| Sprinto US/IN | Cadru DORA destinat entitatilor fintech si de dimensiune medie care sunt noi in aceasta reglementare, cu mapare a controalelor si monitorizare continua | Fintech-uri mai mici si firme de plati care incep implementarea DORA de la zero | Verifica → |
| Secureframe US | DORA inclusa in lista cadrelor suportate, cu mapare a controalelor si monitorizare continua a furnizorilor | Echipe care gestioneaza deja SOC 2 sau ISO 27001 intr-o platforma | Verifica → |
| ISMS.online UK | Solutie dedicata pentru cadrul DORA, cu inregistrarea incidentelor si o mapare de la ISO 27001 la DORA | Organizatii care gestioneaza conformitatea ca un SMSI documentat | Verifica → |
| Vendorica EU | Instrumente native DORA axate pe Registrul de informatii si registrul furnizorilor TIC terti; utile daca transmiterea Registrului de informatii reprezinta principala dificultate | Entitati al caror principal punct slab este Registrul de informatii anual | Verifica → |
Nota editoriala: unele linkuri sunt linkuri afiliate. Daca efectuati o achizitie prin intermediul lor, este posibil sa obtinem un comision fara costuri suplimentare pentru dumneavoastra. Evaluarea si ordinea prezentarii sunt independente de relatiile comerciale.
Intrebari frecvente
Cui i se aplica DORA?
Aproximativ 22.000 de entitati financiare din UE apartinand celor aproximativ 20 de categorii (banci, asiguratori, firme de investitii, institutii de plata si de moneda electronica, furnizori de servicii de criptoactive, administratori de fonduri) si, in mod indirect, furnizorilor TIC terti care le deservesc. Furnizorii TIC terti critici fac si ei obiectul supravegherii directe a UE.
Care sunt sanctiunile?
Autoritatile pot aplica amenzi de pana la 2 la suta din cifra de afaceri totala anuala la nivel mondial pentru entitatile financiare, pana la 1 la suta din cifra de afaceri zilnica medie la nivel mondial pe zi pentru furnizorii TIC terti critici, iar managerii persoane fizice pot fi tinuti personal raspunzatori cu pana la 1 milion EUR.
Ce este Registrul de informatii?
O lista structurata a tuturor aranjamentelor contractuale cu furnizori TIC terti, transmisa autoritatii nationale de supraveghere in fiecare an. Este unul dintre cele mai concrete si recurente livrabile DORA si un motiv frecvent pentru care organizatiile achizitioneaza instrumente dedicate.
Deja aplicam ISO 27001 sau NIS2. Trebuie sa pornim de la zero?
Nu. DORA se suprapune semnificativ cu ISO 27001 si NIS2 in ceea ce priveste gestionarea riscurilor TIC si tratarea incidentelor. Majoritatea platformelor de conformitate va permit sa reutilizati controalele si dovezile existente si sa le mapati la DORA, astfel ca efortul suplimentar se limiteaza la elementele specifice DORA, cum ar fi testarea rezilientei si Registrul de informatii.
Suntem prea mici pentru ca DORA sa conteze?
DORA aplica principiul proportionalitatii, astfel ca entitatile mai mici urmeaza un cadru simplificat de gestionare a riscurilor TIC, nu regimul complet. Reglementarea se aplica totusi. Microintreprinderile beneficiaza de cea mai usoara varianta, insa obligatiile privind registrul si raportarea incidentelor raman.
Intrati si sub incidenta NIS2? Consultati comparatia noastra principala de instrumente →
Aceasta pagina ofera orientare practica, nu consultanta juridica.