Sari la conținut
ReglementareDisponibil în Normward

DORA

Regulamentul (UE) 2022/2554 — reziliența operațională digitală

Regulamentul UE pentru sectorul financiar: bănci, asigurători, firme de investiții, cripto și furnizorii lor ICT — aplicabil direct din 17 ianuarie 2025.

Ce este

DORA impune entităților financiare un cadru complet de reziliență operațională digitală, pe cinci piloni: managementul riscului ICT, raportarea incidentelor majore, testarea rezilienței (inclusiv teste de penetrare), managementul riscului furnizorilor ICT (cu Register of Information) și schimbul de informații despre amenințări. Fiind regulament, se aplică direct, fără transpunere.

Pe cine vizează

Circa 20 de categorii de entități financiare — bănci, asigurători, firme de investiții, instituții de plată, furnizori de servicii cripto — plus furnizorii ICT critici ai acestora, care intră în supravegherea directă a autorităților europene.

Obligații-cheie

  • Cadru de management al riscului ICT aprobat de conducere
  • Raportarea incidentelor ICT majore către autoritatea competentă
  • Program de testare a rezilienței digitale (până la TLPT/pentest avansat)
  • Register of Information cu toate contractele ICT și evaluarea riscului terților
  • Clauze contractuale obligatorii cu furnizorii ICT

Sancțiuni

DORA nu fixează un plafon de amendă unic la nivel european pentru entitățile financiare: sancțiunile le stabilesc autoritățile naționale (BNR/ASF), care trebuie să fie efective, proporționale și disuasive — de la măsuri corective până la amenzi administrative și publicarea încălcării. Pentru furnizorii ICT critici supravegheați la nivel UE există penalități de până la 1% din cifra de afaceri zilnică medie mondială, aplicabile zilnic până la conformare (max. 6 luni).

Cum te ajută Normward

Catalogul DORA (43 de controale pe cei cinci piloni: risc ICT, incidente, testare, terți ICT, schimb de informații) e evaluabil în platformă: auto-evaluare cu scor, gap analysis, plan de remediere și dovezi legabile — inclusiv fundația registrului informațiilor prin modulul Furnizori. Politica de gestionare a riscului ICT și registrul informațiilor se generează cu AI din datele tale reale. Modulul Incidente urmărește termenele DORA de raportare (notificare inițială în cel mult 24 de ore de la detectare — recomandat 4 ore de la clasificare, raport intermediar la 72 de ore de la notificare, raport final într-o lună) și pre-completează conținutul rapoartelor cu AI — tu le verifici și le transmiți autorității competente.

Ghidul nostruGhid DORA: reziliența digitală a sectorului financiar, de la registrul informațiilor la ceasul de raportare

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit, fără card — primul pas indiferent de reglementarea care te interesează.