Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog DORA - sažetak obveza- što, kako, gdje i kada?

DORA - sažetak obveza- što, kako, gdje i kada?

Svi članci
18.03.2025.

Akt o digitalnoj operativnoj otpornosti (The Digital Operational Resilience Act, DORA), koji je Europska unija usvojila u studenom 2022., ima za cilj poboljšati operativnu otpornost financijskih subjekata uspostavom čvrstih okvira za upravljanje ICT rizikom. Ovaj se akt primjenjuje na subjekte unutar bankarskog, investicijskog i osiguravajućeg sektora i njihove pružatelje ICT usluga. Od 17. siječnja 2025. svi subjekti u njegovom djelokrugu moraju se pridržavati posebnih obveza kako bi osigurali svoju digitalnu otpornost i doprinijeli financijskoj stabilnosti EU-a.

Djelokrug DORA-e

DORA se, između ostalih, odnosi na širok raspon financijskih subjekata, uključujući kreditne institucije, institucije za platni promet, investicijske tvrtke, pružatelje usluga kripto imovine i posrednike u osiguranju. Pružatelji ICT usluga trećih strana kao što su usluge u oblaku i pružatelji usluga analize podataka također su obuhvaćeni DORA-om ako nude ključne ICT usluge financijskim subjektima. Europska nadzorna tijela (European Supervisory Authorities, ESA) do kraja 2025. dovršit će određivanje kritičnih ICT pružatelja usluga, što će dodati daljnje zahtjeve usklađenosti za te pružatelje. 

Ključne obveze za financijske subjekte

Osnovne obveze DORA-e kategorizirane su u pet stupova:

  1. Upravljanje ICT rizikom: Financijski subjekti moraju uspostaviti okvire upravljanja kako bi osigurali dostupnost podataka, integritet, povjerljivost i tehnološku otpornost. To uključuje temeljitu dokumentaciju ICT funkcija i redovite procjene rizika.
  2. Upravljanje i izvješćivanje o ICT incidentima: obveznici moraju primijeniti mjere za otkrivanje, upravljanje i prijavljivanje incidenata povezanih s ICT-om. Izvješćivanje se mora odvijati unutar strogih vremenskih okvira, osiguravajući transparentnost i odgovornost.
  3. Testiranje digitalne operativne otpornosti: obveznici moraju redovito testirati svoje ICT sustave kako bi otkrili ranjivosti. Veći subjekti moraju proći napredno testiranje svake tri godine na temelju testiranja penetracije predvođenog prijetnjama (TLPT).
  4. Upravljanje ICT rizikom treće strane: Financijski subjekti moraju sklopiti ugovorne sporazume s pružateljima ICT usluga kako bi definirali prava, odgovornosti i uvjete usluga. To uključuje usklađenost s GDPR-om kada je primjenjivo.
  5. Dijeljenje informacija: Financijski subjekti se potiču na razmjenu informacija o cyber prijetnjama unutar pouzdanih mreža radi jačanja otpornosti.

Nadležna tijela i provedba

Nadležna tijela, uz europska nadzorna tijela, imaju ovlasti provoditi usklađenost, izricati kazne i pružati smjernice za upravljanje ICT rizikom. Europska komisija će revidirati uredbu do 17. siječnja 2028. godine. Nadležna tijela za provedbu DORA-e i Zakona o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor su Hrvatska agencija za nadzor financijskih usluga i Hrvatska narodna banka.

Odnos prema NIS2 i GDPR-u

Direktiva NIS2, čiji je cilj također poboljšati kibernetičku sigurnost, preklapa se s DORA-om za određene financijske subjekte. Međutim, DORA se smatra primarnim propisom za te subjekte, koji pokriva izvješćivanje, upravljanje rizikom i postupke provedbe.

DORA, NIS2 i GDPR zajedno čine širu strategiju EU-a za poboljšanje kibernetičke sigurnosti i otpornosti u kritičnim sektorima, osiguravajući da se financijski subjekti mogu nositi i učinkovito oporaviti od digitalnih poremećaja.

DORA i GDPR naglašavaju potrebu brzog obavještavanja o incidentima kako bi se smanjio utjecaj na ispitanike i organizacije. Tvrtke moraju uvesti mehanizme kako bi osigurale učinkovito prijavljivanje povreda podataka i sigurnosnih incidenata. Obje regulative nalažu sustavno upravljanje rizicima koje uključuje identifikaciju i procjenu rizika, uključujući one koji utječu na osobne podatke. Također, zahtijevaju provedbu odgovarajućih mjera za osiguranje sigurnosti i zaštite IT sustava i podataka te redovite preglede i revizije kako bi se osigurala učinkovitost provedenih mjera.

Uz sve obveze koje egzistiraju radi mnoštva regulative zaista treba biti spreman na vrijeme kako ne biste imali rizik neusklađenosti. 

Ako želite znati više, pripremili smo sažetak DORA-e kojeg možete dobiti besplatno popunjavanjem obrasca niže. O DORA-i smo već pisali u našem blogu.

Želim DORA sažetak (brief)!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Provedba regulative vezane za Europski prostor zdravstvenih podataka
Europski prostor zdravstvenih podataka i tzv. wellness aplikacije
Snimka edukacije "Kako uspješno odgovoriti na pitanja AZOP-a?"
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.