DORA u Hrvatskoj: digitalna otpornost financijskog sektora
DORA se primjenjuje od siječnja 2025. Tko je obveznik u Hrvatskoj, pet stupova, rizik ICT dobavljača i što to znači ako gradite financijski softver.
Za hrvatske banke, osiguravatelje, institucije za platni promet i fintech tvrtke kibernetička otpornost sada je zaseban propis. Uredba o digitalnoj operativnoj otpornosti (DORA) primjenjuje se u cijelom EU-u od 17. siječnja 2025., a 2026. godina je ona u kojoj supervizori prelaze s provjere papira na traženje dokaza. Evo režima jednostavno - i zašto doseže i Vaše dobavljače softvera.
Jeste li obveznik?
DORA ima jedan od najširih opsega u financijskom pravu EU-a - članak 2. navodi 21 kategoriju subjekata:
- banke, kreditne institucije i institucije za platni promet, izdavatelje e-novca;
- investicijska društva, društva za upravljanje fondovima i imovinom, osiguravatelje i posrednike;
- pružatelje usluga povezanih s kriptoimovinom i mirovinske fondove;
- te kritične ICT dobavljače koji ih opslužuju.
U Hrvatskoj je Vaš supervizor HNB ili Hanfa, ovisno o licenciji. Mikropoduzeća (ispod 10 zaposlenih, ispod 2M EUR) dobivaju pojednostavljeni okvir - ali nisu izuzeta: i dalje prijavljuju velike incidente i upravljaju ICT ugovorima.
Pet stupova
DORA sve organizira u pet područja. Prva četiri su obvezna:
- upravljanje ICT rizikom - upravljanje, kontrole, odgovornost uprave;
- prijava incidenata - klasifikacija i prijava velikih ICT incidenata supervizoru;
- testiranje otpornosti - godišnje testiranje za sve; testiranje penetracije vođeno prijetnjama (TLPT) svake tri godine za značajne subjekte;
- rizik ICT trećih strana - nadzor svakog dobavljača o kojem ovise Vaše kritične funkcije;
- razmjena informacija - dobrovoljna razmjena obavještajnih podataka o prijetnjama.
Velik dio prvog stupa preklapa se s temeljima iz našeg vodiča o kibernetičkoj sigurnosti i kontrolama iza softvera za reguliranu industriju.
Zašto doseže Vaše dobavljače softvera
Ovo je najoštriji rub DORA-e. Vaši ugovori s ICT dobavljačima moraju sadržavati određene odredbe - prava revizije, suradnju kod incidenata, izlazne planove, ograničenja podugovaranja - a vodite i Registar informacija sa svakim aranžmanom. Ako gradite ili hostate softver korišten u kritičnoj funkciji, te obveze na Vas prelaze ugovorom. DORA je lex specialis financijskog sektora pa ima prednost pred općim režimom NIS2 za te subjekte.
Kako izgleda 2026.
Prvi popis kritičnih ICT dobavljača objavljen je u studenome 2025. - 19 imena, među njima AWS, Microsoft, Google Cloud i IBM - a Registri informacija konsolidirani su kod supervizora tijekom proljeća 2026. Očekujte novi ritam nadzora utemeljen na dokazima uživo, a ne na godišnjim fasciklima.
Ovaj članak je opća informacija, a ne pravni savjet. DORA se oslanja na tehničke standarde koji se razvijaju; točne obveze i opseg potvrdite s kvalificiranim pravnikom i svojim supervizorom.
Često postavljana pitanja
Primjenjuje li se DORA na male fintech tvrtke? Da. Opseg ovisi o djelatnosti, ne o veličini. Mikropoduzeća slijede pojednostavljeni okvir, ali i dalje prijavljuju velike incidente i upravljaju ICT ugovorima.
Po čemu se DORA razlikuje od NIS2? DORA je specifična za financijski sektor i ima prednost pred NIS2 za subjekte koje pokriva. NIS2 ostaje temelj za druge kritične sektore.
Što je Registar informacija? Strukturirana evidencija svakog aranžmana s ICT trećim stranama koji podupire Vaše funkcije, koja se dostavlja supervizoru na zahtjev.
Što je testiranje penetracije vođeno prijetnjama? Prikrivena simulacija napada vođena obavještajnim podacima kroz cijelu organizaciju, koja se od značajnih subjekata traži otprilike svake tri godine.
Povezani članci
- NIS2 u Hrvatskoj: tko je obveznik i što mora
- Kibernetička sigurnost za male i srednje tvrtke
- Softver za reguliranu industriju
Trebate pomoć s usklađivanjem s DORA-om?
Mapiramo Vaše sustave i ugovore s dobavljačima na stupove DORA-e, gradimo zapisivanje, kontrolu pristupa i tijek prijave incidenata koji supervizori očekuju te pomažemo održavati Registar informacija ažurnim - da otpornost bude ugrađena u Vaš softver, a ne naknadno dodana.
Javite nam se na [email protected] ili putem obrasca na našoj stranici.