DORA explicată: impactul asupra achiziției de software în sectorul financiar
DORA intră în vigoare la 17 ianuarie 2025 și schimbă fundamental modul în care organizațiile financiare achiziționează și contractează software. Iată tot ce trebuie să știi despre cei cinci piloni, cerințele contractuale și impactul asupra managementului furnizorilor.
- 1 februarie 2025
- 5 min
- DORA – Legea privind Reziliența Operațională Digitală
DORA, Legea Rezilienței Operaționale Digitale, va fi aplicabilă în toate statele membre UE începând cu 17 ianuarie 2025. Pentru organizațiile financiare și furnizorii lor IT se produce o schimbare fundamentală: reziliența digitală nu mai este doar o problemă internă IT, ci o obligație reglementată a companiei, supusă supravegherii și sancțiunilor.
Ce este DORA?
DORA este un regulament al UE, nu o directivă, ci o legislație aplicabilă direct, care reglementează reziliența operațională digitală a sectorului financiar. Regulamentul face parte din Pachetul de Finanțe Digitale și se adresează unui număr de 20 de categorii de entități financiare, de la bănci și asigurători până la fintech-uri și furnizori de servicii cripto.
Cei cinci piloni ai DORA
DORA își structurează cerințele în jurul a cinci domenii cheie:
Gestionarea riscului IT: Un cadru cuprinzător pentru identificarea, clasificarea și controlul riscurilor IT
Raportarea incidentelor: Incidentele majore IT trebuie raportate autorităților de supraveghere în termene stricte
Testarea rezilienței digitale: Teste periodice de penetrare și scenarii de reziliență pentru sistemele critice
Gestionarea riscurilor terților: Obligații contractuale, registre de furnizori și analiza riscului de concentrare
Schimbul de informații: Partajarea proactivă a informațiilor despre amenințări în cadrul sectorului
Ce înseamnă DORA pentru achiziția de software?
Al patrulea pilon, gestionarea riscurilor terților, are un impact direct asupra modului în care organizațiile financiare achiziționează și contractează software:
Cerințe contractuale minime: Fiecare contract IT trebuie să includă clauze despre SLA, raportarea incidentelor, drepturi de audit, planuri de ieșire, locația datelor și continuitate
Registrul furnizorilor IT: Este obligatoriu un registru actualizat și complet al tuturor furnizorilor IT, disponibil autorităților de supraveghere
Riscul de concentrare: Dependența excesivă de un singur furnizor (ex. un singur furnizor cloud) trebuie evaluată și raportată
Subcontractanți: Și furnizorii subcontractați de furnizorii tăi intră sub incidența DORA
SoftVaro ajută organizațiile financiare să-și cartografieze peisajul software și să-și alinieze contractele la cerințele DORA.
Întrebări frecvente
Cele mai frecvente întrebări despre acest subiect.
Cui i se aplică DORA?
DORA se aplică băncilor, asigurătorilor, instituțiilor de investiții, instituțiilor de plată, furnizorilor de servicii cripto, fondurilor de pensii și tuturor furnizorilor IT care oferă servicii critice acestor entități.
Se aplică DORA și furnizorului meu de software?
Da. Dacă furnizezi software sau servicii IT unei instituții financiare supuse DORA, ești obligat, în calitate de furnizor IT, să respecți cerințele contractuale DORA impuse de instituția financiară. Furnizorii IT critici pot fi, de asemenea, supuși supravegherii directe a UE.
Care sunt sancțiunile pentru nerespectarea DORA?
Sancțiunile pot ajunge până la 2% din cifra de afaceri anuală globală. Pentru furnizorii IT critici care sunt supuși supravegherii directe a UE, se aplică sancțiuni suplimentare.
Gata să economisești la software?
SoftVaro negociază pentru tine cea mai bună ofertă la peste 4.000 de furnizori. Independent, transparent, în 24 de ore.