Scrie-mi

Listă de verificare DORA pentru instituții financiare (2026)

DORA De Ing. Dorin-Emilian Avram, MSc · SephiraSec

Digital Operational Resilience Act (DORA) este pe deplin aplicabilă din 17 ianuarie 2025. Pentru entitățile financiare din UE, nu mai este un proiect de planificat — este un standard minim de demonstrat. Această listă de verificare împarte DORA în cele cinci piloni ai săi și elementele concrete, auditabile din spatele fiecăruia, pentru a vedea rapid unde programul tău este solid și unde sunt lacunele.

Ce este DORA și cui i se aplică?

DORA — Regulamentul (UE) 2022/2554 — stabilește cerințe uniforme pentru securitatea rețelelor și a sistemelor informaționale care susțin procesele de afaceri ale entităților financiare. Scopul este de a se asigura că sectorul financiar al UE poate rezista, răspunde și se poate recupera din toate tipurile de perturbări și amenințări legate de TIC.

Se aplică pe scară largă — aproximativ douăzeci de categorii de entități financiare, inclusiv:

  • Instituții de credit, instituții de plată și instituții de monedă electronică
  • Firme de investiții și furnizori de servicii de criptoactive (CASP)
  • Întreprinderi de asigurare și reasigurare și intermediari
  • Depozitari centrali de valori mobiliare, contrapărți centrale și locuri de tranzacționare
  • Societăți de administrare, furnizori de servicii de finanțare participativă și altele

Important: DORA se aplică și furnizorilor terți de servicii TIC — iar Autoritățile Europene de Supraveghere (AES) pot desemna unii dintre aceștia ca furnizori terți critici de TIC (CTPP) supuși supravegherii directe. Se aplică un principiu de proporționalitate — profunzimea controalelor așteptate crește odată cu dimensiunea și profilul de risc al entității.

Cei cinci piloni DORA

Pilonul 1 — Managementul riscurilor TIC (Articolele 5–16)

Fundația. DORA solicită un cadru documentat de management al riscurilor TIC, aprobat și supravegheat de organul de conducere, care acoperă întregul ciclu de viață: identificare, protecție, detectare, răspuns și recuperare. Organul de conducere este explicit responsabil — această funcție nu poate fi delegată complet departamentului IT.

  • Organul de conducere a aprobat cadrul de management al riscurilor TIC și îl supraveghează activ
  • Un inventar curent al activelor TIC este menținut (hardware, software, fluxuri de date și dependențe față de terți)
  • Politicile de securitate acoperă controlul accesului, criptarea, patch management, securitatea rețelelor, securitatea fizică și jurnalizarea
  • Planurile de continuitate a afacerii (BCP) și de recuperare în caz de dezastru (DRP) sunt documentate și testate
  • Obiectivele de timp de recuperare (RTO) și punctul de recuperare (RPO) sunt definite pentru fiecare funcție critică sau importantă
  • Un Plan de Răspuns la Incidente (IRP) este disponibil și personalul este instruit
  • Recenziile post-incident alimentează lecțiile învățate înapoi în cadru

Pilonul 2 — Managementul și raportarea incidentelor TIC (Articolele 17–23)

Trebuie să detectezi, gestionezi și clasifici incidentele legate de TIC și să raportezi incidentele majore autorității competente în trei faze. Documentarea criteriilor de clasificare în avans este ceea ce împiedică echipele să dezbată dacă trebuie să raporteze în timp ce ceasul ticăie.

Termene de raportare pentru incidente majore:

  • Notificare inițială — fără întârziere, în termen de 4 ore de la clasificarea incidentului ca major (și cel târziu la 24 de ore de la detectare)
  • Raport intermediar — în termen de 72 de ore de la notificarea inițială
  • Raport final — cel târziu o lună după aceea
  • O matrice de clasificare a incidentelor distinge incidentele majore de cele ne-majore folosind criteriile DORA (clienți afectați, pierderi de date, durată, extindere geografică, impact economic)
  • Un registru de incidente este menținut cu toate câmpurile necesare
  • Șabloane pentru rapoartele inițiale, intermediare și finale sunt pregătite în avans
  • Autoritatea competentă și canalul de raportare sunt identificate (rutate prin regulatorul național la ABE / ESMA / EIOPA în funcție de tipul entității)
  • Există proceduri pentru notificarea clienților afectați în cazul incidentelor majore și al amenințărilor cibernetice semnificative
  • Personalul cunoaște criteriile de clasificare și calea de escaladare

Pilonul 3 — Testarea rezilienței operaționale digitale (Articolele 24–27)

DORA impune un program de testare bazat pe risc pentru fiecare entitate, plus un regim mai exigent pentru entitățile semnificative. Eșecul comun este producerea de constatări pe care nimeni nu le remediază — DORA așteaptă ciclul complet, inclusiv remedierea urmărită.

Testare de bază (toate entitățile, cel puțin anual):

  • Un program anual de testare acoperă evaluări ale vulnerabilităților, evaluări ale securității rețelelor, analize de lacune și teste de penetrare
  • Testarea acoperă sistemele și serviciile TIC care susțin funcțiile critice sau importante
  • Constatările sunt urmărite, iar remedierea este planificată, are un responsabil și este monitorizată până la închidere

Testare de penetrare bazată pe amenințări — TLPT (entități semnificative, cel puțin la fiecare 3 ani):

  • Dacă entitatea se încadrează în domeniul de aplicare al TLPT a fost evaluat cu autoritatea competentă
  • Domeniul de aplicare al TLPT acoperă funcțiile critice care rulează în producția live
  • Furnizorii de informații privind amenințările și testerii acreditați sunt identificați, iar TLPT este efectuat pe baza TIBER-EU
  • O atestare se obține de la autoritatea relevantă după finalizarea testului

Pilonul 4 — Managementul riscului terților TIC (Articolele 28–44)

Pilonul cel mai intensiv operațional — și, pentru majoritatea instituțiilor, cel mai mare backlog. DORA stabilește așteptările de due diligence, clauze contractuale obligatorii (Articolul 30) și un Registru de informații structurat care descrie toate aranjamentele contractuale pentru utilizarea serviciilor TIC.

  • O politică de management al riscului terților TIC este documentată și aprobată
  • Toate aranjamentele contractuale TIC cu terții sunt inventariate
  • Aranjamentele care susțin funcțiile critice sau importante (CIF) sunt clar identificate
  • Un Registru de informații este menținut în formatul prescris de AES și este pregătit pentru raportarea de supraveghere
  • Un proces de due diligence pre-contractual este definit și aplicat furnizorilor noi
  • Contractele sunt revizuite față de clauzele obligatorii ale Articolului 30 — drepturi de audit și acces, descrieri ale nivelurilor de servicii, securitatea datelor, limite de subcontractare, obligații de continuitate a afacerii și drepturi de reziliere
  • Riscul de concentrare față de furnizori este monitorizat
  • Strategii de ieșire documentate și planuri de tranziție există pentru furnizorii care susțin funcțiile critice
  • Furnizorii desemnați ca furnizori terți critici de TIC (CTPP) de AES sunt urmăriți

Pilonul 5 — Partajarea informațiilor (Articolul 45)

Voluntar, dar strategic valoros. Participarea la aranjamente de partajare a informațiilor privind amenințările cibernetice reduce expunerea și semnalează supraveghetorilor o postură proactivă de reziliență.

  • Organizația cunoaște rețelele relevante de partajare (ISAC-uri sectoriale, ENISA, CERT-uri naționale)
  • Există o decizie documentată privind participarea și cadrul de guvernanță și confidențialitate aplicabil

Cele cinci lacune pe care le vedem cel mai des

  1. Guvernanță doar pe hârtie. DORA face organul de conducere cu adevărat responsabil. Aprobarea fără înțelegere nu satisface intenția — membrii consiliului trebuie să dețină cu adevărat riscul TIC.
  2. Inventar de active incomplet. Fără o hartă exactă și actuală a activelor TIC și a dependențelor, evaluarea riscurilor și testarea continuității se bazează pe fundamente nesigure.
  3. Contracte cu terți vechi. Clauzele din Articolul 30 sunt specifice și rareori prezente în acordurile mai vechi. Remedierea contractelor este de obicei cea mai mare povară operațională.
  4. Nicio matrice de clasificare. Fără criterii documentate, echipele dezbat dacă un incident este „major" în loc să declanșeze ceasul de raportare.
  5. Testare fără remediere. Constatările din teste de penetrare și evaluări de vulnerabilitate care stau într-un spreadsheet nu demonstrează reziliență — DORA așteaptă ca bucla să se închidă.

Cum poate ajuta SephiraSec

SephiraSec oferă evaluări independente ale lacunelor DORA, design al cadrului de management al riscurilor TIC, programe de management al vulnerabilităților și expunerilor, planificare incident response și suport tehnic pentru scoping TLPT și pregătirea registrului de furnizori terți. Cu sediul în Viena, disponibil în toată UE, lucrând în engleză, germană și română.