EU DORA: cui se aplica si ce instrumente ajuta

DORA este reglementarea UE privind rezilienta operationala pentru sectorul financiar. Mai jos gasiti ce obligatii concrete impune in mod continuu, o verificare rapida daca vi se aplica si o analiza independenta a instrumentelor disponibile.

DORA se aplica incepand cu 17 ianuarie 2025. Nu este un termen unic: Registrul de informatii trebuie transmis autoritatii de supraveghere in fiecare an, iar 2026 reprezinta primul ciclu complet de supraveghere in care autoritatile verifica incruciat aceste transmisii. In Romania, DORA este supravegheata de Autoritatea de Supraveghere Financiara (ASF) si de Banca Nationala a Romaniei (BNR).

Datele importante

17 ianuarie 2025
DORA se aplica: obligatiile privind gestionarea riscurilor TIC, raportarea incidentelor, testarea rezilientei si riscul tertilor sunt in vigoare
31 martie 2026
Registrul de informatii anual: lista tuturor contractelor cu terti furnizori TIC trebuie transmisa autoritatii de supraveghere (se repeta in fiecare an)
30 iunie 2026
Primul ciclu complet de supraveghere: autoritatile verifica incruciat transmiterile si emit ordine de remediere

DORA vi se aplica?

Doua intrebari, raspuns orientativ. Nu constituie consultanta juridica.

Ce descrie cel mai bine organizatia dumneavoastra?
Sunteti o microintreprindere (sub 10 angajati si sub 2 milioane EUR cifra de afaceri)?

Instrumente pentru conformitatea cu DORA

Conformitatea cu DORA se gestioneaza de obicei similar cu NIS2 sau ISO 27001: o platforma care contine cadrul de risc TIC, dovezi, jurnale de incidente si registrul tertilor. Instrumentele de mai jos ofera acest suport; ultimul se concentreaza in mod specific pe Registrul de informatii anual.

InstrumentSuport DORA Recomandat pentruDetalii
Vanta
US
Produs dedicat DORA: teste automate, politici DORA predefinite si dovezi reutilizate din lucrarile pentru ISO 27001, SOC 2 sau NIS2Fintech-uri si furnizori TIC care automatizeaza deja alte cadre de conformitateVerifica →
Drata
US
Cadru DORA predefinit cu un modul de gestionare a riscurilor TIC si monitorizarea riscului tertilor, mapate incruciat la controalele pe care este posibil sa le aveti dejaEntitati financiare care doresc ca DORA sa fie mapata la controalele existenteVerifica →
Sprinto
US/IN
Cadru DORA destinat entitatilor fintech si de dimensiune medie care sunt noi in aceasta reglementare, cu mapare a controalelor si monitorizare continuaFintech-uri mai mici si firme de plati care incep implementarea DORA de la zeroVerifica →
Secureframe
US
DORA inclusa in lista cadrelor suportate, cu mapare a controalelor si monitorizare continua a furnizorilorEchipe care gestioneaza deja SOC 2 sau ISO 27001 intr-o platformaVerifica →
ISMS.online
UK
Solutie dedicata pentru cadrul DORA, cu inregistrarea incidentelor si o mapare de la ISO 27001 la DORAOrganizatii care gestioneaza conformitatea ca un SMSI documentatVerifica →
Vendorica
EU
Instrumente native DORA axate pe Registrul de informatii si registrul furnizorilor TIC terti; utile daca transmiterea Registrului de informatii reprezinta principala dificultateEntitati al caror principal punct slab este Registrul de informatii anualVerifica →

Nota editoriala: unele linkuri sunt linkuri afiliate. Daca efectuati o achizitie prin intermediul lor, este posibil sa obtinem un comision fara costuri suplimentare pentru dumneavoastra. Evaluarea si ordinea prezentarii sunt independente de relatiile comerciale.

Intrebari frecvente

Cui i se aplica DORA?

Aproximativ 22.000 de entitati financiare din UE apartinand celor aproximativ 20 de categorii (banci, asiguratori, firme de investitii, institutii de plata si de moneda electronica, furnizori de servicii de criptoactive, administratori de fonduri) si, in mod indirect, furnizorilor TIC terti care le deservesc. Furnizorii TIC terti critici fac si ei obiectul supravegherii directe a UE.

Care sunt sanctiunile?

Autoritatile pot aplica amenzi de pana la 2 la suta din cifra de afaceri totala anuala la nivel mondial pentru entitatile financiare, pana la 1 la suta din cifra de afaceri zilnica medie la nivel mondial pe zi pentru furnizorii TIC terti critici, iar managerii persoane fizice pot fi tinuti personal raspunzatori cu pana la 1 milion EUR.

Ce este Registrul de informatii?

O lista structurata a tuturor aranjamentelor contractuale cu furnizori TIC terti, transmisa autoritatii nationale de supraveghere in fiecare an. Este unul dintre cele mai concrete si recurente livrabile DORA si un motiv frecvent pentru care organizatiile achizitioneaza instrumente dedicate.

Deja aplicam ISO 27001 sau NIS2. Trebuie sa pornim de la zero?

Nu. DORA se suprapune semnificativ cu ISO 27001 si NIS2 in ceea ce priveste gestionarea riscurilor TIC si tratarea incidentelor. Majoritatea platformelor de conformitate va permit sa reutilizati controalele si dovezile existente si sa le mapati la DORA, astfel ca efortul suplimentar se limiteaza la elementele specifice DORA, cum ar fi testarea rezilientei si Registrul de informatii.

Suntem prea mici pentru ca DORA sa conteze?

DORA aplica principiul proportionalitatii, astfel ca entitatile mai mici urmeaza un cadru simplificat de gestionare a riscurilor TIC, nu regimul complet. Reglementarea se aplica totusi. Microintreprinderile beneficiaza de cea mai usoara varianta, insa obligatiile privind registrul si raportarea incidentelor raman.

Intrati si sub incidenta NIS2? Consultati comparatia noastra principala de instrumente →

Aceasta pagina ofera orientare practica, nu consultanta juridica.

Nu știi dacă firma ta este operator CSC? Quiz gratuit durează 2 minute.

Fă quiz-ul →

Descarcă ghidul gratuit NIS2

Află exact ce trebuie să faci până la 1 octombrie 2026. Ghid pas cu pas pentru firme din România.

Fără spam. Poți să te dezabonezi oricând.

NIS2 v dalších zemích EU / NIS2 in other EU markets: