DORA Regulation 2022/2554 — cele cinci pillar-uri pentru banking, fintech și asigurări (cu timeline implementation)
Digital Operational Resilience Act: ICT risk management, incident reporting, resilience testing, third-party risk și information sharing. Checklist și deadline-uri 2025-2027.
DORA Regulation 2022/2554 — cele cinci pillar-uri pentru banking, fintech și asigurări (cu timeline implementation)
DORA, Regulamentul (UE) 2022/2554, a intrat în vigoare la 16 ianuarie 2023 cu aplicare directă obligatorie de la 17 ianuarie 2025. Spre deosebire de NIS2, DORA este regulament — nu directivă — astfel încât se aplică direct entităților fără a aștepta transpunerea națională. Asta a fost o surpriză pentru câteva fintech-uri europene care au crezut că au timp până la transpunere prin lege națională.
În România, BNR și ASF sunt autoritățile competente, iar primele evaluări on-site DORA au început în Q2 2025. Acest articol explică cele cinci pillar-uri și timeline-ul real de implementation.
TL;DR
- DORA acoperă 21 categorii de entități financiare: bănci, asigurări, IFN, SOIF, instituții electronic money, cripto-active, market data providers.
- Cele cinci pillar-uri: ICT risk management, incident reporting, digital operational resilience testing, third-party risk, information sharing.
- TLPT (Threat-Led Penetration Testing) e obligatoriu o dată la 3 ani pentru entitățile semnificative.
- Sancțiunile pot ajunge la 1% din cifra de afaceri zilnică pentru încălcări.
- Timeline real: RTS și ITS finale publicate iulie 2024, on-site reviews BNR/ASF începute Q2 2025.
Pillar 1 — ICT Risk Management Framework (Art. 5-16)
Articolele 5-16 cer ca entitatea să mențină un cadru de management al riscurilor TIC care să fie:
- Proporțional cu mărimea, complexitatea, profilul de risc al entității.
- Documentat într-o politică aprobată de organul de conducere.
- Revizuit anual și după orice incident major.
Cadrul trebuie să acopere identificarea, protecția, detecția, răspunsul și recuperarea — pattern-ul NIST CSF aplicat pe sectorul financiar. Pentru entitățile cu cifră de afaceri sub 100 milioane EUR, se aplică un regim simplificat (“micro entities”) cu cerințe reduse, însă pillar-urile rămân aceleași.
Punct cheie operațional: organul de conducere aprobă strategia de reziliență digitală și răspunde personal pentru lipsa conformității. Membrii board trebuie să urmeze training regulat pe ICT risk, similar cu cerința NIS2 (vezi articolul nostru pe NIS2).
Pillar 2 — ICT-related Incident Reporting (Art. 17-23)
DORA introduce o procedură de raportare în trei etape similară cu NIS2, dar cu praguri și definiții specifice sectorului financiar:
- Notificare inițială — în maxim 4 ore după clasificarea incidentului ca “major”.
- Raport intermediar — în 72 de ore dacă situația evoluează semnificativ.
- Raport final — în maxim o lună de la notificarea inițială.
Definiția “incident major TIC” (Art. 18) include praguri cuantificate prin RTS: număr de clienți afectați, durata indisponibilității, pierderi financiare, impact reputațional. RTS-ul final adoptat de Comisia Europeană în iunie 2024 stabilește metodologia de clasificare.
Pentru România, raportarea se face către BNR (entități bancare) sau ASF (asigurări, piețe de capital). Lexnomia automatizează completarea formularelor cu datele extrase din SIEM și sistemul de incident management — vezi SIEM on-premise cu LLM local.
Pillar 3 — Digital Operational Resilience Testing (Art. 24-27)
Pillar-ul cel mai costisitor pentru entitățile mari. Articolul 24 cere un program anual de testare care include:
- Vulnerability assessments, scenario-based tests, end-to-end testing.
- Open source software analysis, network security tests, penetration testing.
- Source code reviews, performance testing, compatibility testing.
Articolul 26 introduce TLPT (Threat-Led Penetration Testing) ca cerință obligatorie pentru entitățile “semnificative” (instituții bancare cu peste 30 miliarde activ, asigurători cu peste 1 miliard primă brută anuală). TLPT trebuie:
- Realizat o dată la cel puțin 3 ani.
- Bazat pe scenarii de threat intelligence reale, nu generice.
- Coordonat de o autoritate națională (BNR pentru România, conform metodologiei TIBER-EU).
- Realizat de furnizori certificați conform RTS DORA on TLPT (publicat iulie 2024).
Costul tipic al unui TLPT pentru o instituție bancară medie: 200-400 000 EUR pe exercițiu. Echivalent cu 0,003-0,007% din activul total.
Pillar 4 — ICT Third-Party Risk Management (Art. 28-44)
Articolele 28-44 reprezintă cea mai detaliată parte a regulamentului. Cerințele cheie:
Registrul ICT-third-party (Art. 28). Entitatea trebuie să mențină un registru al tuturor furnizorilor TIC cu informații despre: identitate juridică, servicii prestate, sub-contractori, dependențe critice, locația prelucrării datelor, jurisdicție aplicabilă.
Strategia third-party (Art. 28(2)). Politică aprobată de board care include criterii de selecție, due diligence, monitorizare continuă, plan de exit.
Clauze contractuale obligatorii (Art. 30). Lista exhaustivă de elemente care trebuie incluse în orice contract cu un furnizor TIC critic: descrierea serviciilor, locații prelucrare, niveluri serviciu, termeni de notificare incident, dreptul de audit, asistență la testare, plan de exit, raportare la autoritate.
Critical ICT Third-Party Providers (CTPP) — Art. 31-44. Comisia Europeană a stabilit prin Decizia 2025/420 prima listă oficială de CTPP la 26 martie 2025. Pe listă se află nume așteptate (Microsoft, AWS, Google Cloud, Oracle, IBM) plus câțiva furnizori europeni de plăți și custody. CTPP-urile sunt supravegheate direct de o joint EBA/EIOPA/ESMA Lead Overseer.
Pentru SMB-urile care livrează servicii către bănci, asta înseamnă că vor trece printr-un audit indirect — banca trebuie să probeze că tu, ca furnizor, respecți clauzele Art. 30. Fără SBOM, fără supply chain transparent, fără audit pack documentat, accesul la sectorul bancar european devine dificil.
Pillar 5 — Information Sharing (Art. 45)
Articolul 45 încurajează (nu impune) participarea la mecanisme de information sharing privind amenințările cibernetice. În practică, asta înseamnă FS-ISAC, ECCG, sau participarea la grupuri de lucru ENISA. E o cerință “soft” comparativ cu celelalte patru, dar autoritățile o monitorizează la inspecții ca semn de maturitate.
Timeline real de implementation
| Data | Eveniment |
|---|---|
| 16 ian 2023 | Intrare în vigoare DORA. |
| 17 iul 2024 | Adoptarea RTS-urilor și ITS-urilor finale (incident reporting, TLPT, third-party register). |
| 17 ian 2025 | Aplicare directă a regulamentului. Toate entitățile trebuie să fie compliant. |
| 30 apr 2025 | Termen pentru prima depunere a registrului ICT third-party către autoritate. |
| Q2 2025 | Primele on-site reviews BNR/ASF. |
| 26 mar 2025 | Prima listă CTPP publicată oficial. |
| 17 ian 2026 | Sfârșitul perioadei de toleranță, sancțiunile devin agresive. |
| 17 ian 2028 | Prima rundă obligatorie TLPT pentru entități semnificative. |
Sancțiuni — până la 1% din cifra de afaceri zilnică
Articolul 50 stabilește sancțiunile maxime aplicabile de autoritățile naționale. Pentru încălcări persistente, autoritatea poate aplica o amendă administrativă de până la 1% din cifra de afaceri zilnică globală, recurentă pe durata încălcării. Pentru o bancă cu 5 miliarde EUR cifră de afaceri anuală, asta înseamnă 137 000 EUR pe zi.
În plus, Art. 35 permite Lead Overseer-ului european să aplice către CTPP-uri amenzi periodice de penalitate de până la 1% din cifra de afaceri zilnică globală, plafonată la 6 luni.
Cum ajută Lexnomia
Lexnomia include un modul DORA care:
- Generează automat registrul ICT third-party în formatul ITS-2024/79 al EBA.
- Mapează clauzele contractuale Art. 30 la inventarul de contracte existente.
- Notification 4h/72h/30days cu template-uri pre-completate către BNR și ASF.
- TLPT readiness checklist cu evidence collection automatizat.
- Cross-mapping cu NIS2 și ISO 27001:2022 pentru entitățile dual-regulated.
Vezi și pagina CAI-AUTH pentru webhook DORA Art. 19 live integrat în IdP.
Articole conexe
- Implementation NIS2 — checklist operațional pentru entități esențiale și importante
- ISO/IEC 27001:2022 — migrarea de la ediția 2013 cu cele 93 controale reorganizate
- Cyber Resilience Act (Regulamentul 2024/2847) — obligații pentru produse cu element digital
- De ce un cabinet de avocatură românesc nu poate folosi Auth0 — Schrems II
- Pillar Lexnomia — platforma EU de compliance suveran
Pași următori
Pentru o evaluare DORA readiness adaptată sectorului dvs. — pe pagina Lexnomia găsiți modulul DORA și planul de implementation. Sau scrieți la contact pentru o discuție tehnică.