За кого се отнася ДОРА?
ДОРА обхваща 21 вида финансови субекти, включително доставчиците на ИКТ услуги — облачни доставчици, центрове за данни и критични технологични партньори.
Прилага ли се ДОРА за вас?
Отговорете на няколко въпроса за вашата организация и ще получите ориентировъчна оценка дали попадате в обхвата на Регламент (ЕС) 2022/2554.
Какъв вид организация сте?
Изберете най-точното описание на вашата дейност.
Петте стълба на ДОРА
ДОРА е организиран около пет оперативни области. Кликнете за да разгледате всеки стълб подробно.
Ръководството носи персонална отговорност за ИКТ рамката. Организациите трябва да картографират системите, да класифицират критичните активи и да поддържат документация. Задължителни са планове за непрекъснатост (BCP) и възстановяване (DRP).
Значимите ИКТ инциденти се докладват в три стъпки: първоначален доклад (24 ч), среден доклад (72 ч) и финален доклад (1 месец). Задължителна е таксономия за класификация на инцидентите и праг за значимост.
Задължителна програма за тестване, включваща vulnerability assessments, penetration tests и — за значими субекти — TLPT (Threat-Led Penetration Testing). Тестовете трябва да се извършват от независими страни с пълна документация и планове за отстраняване.
Задължителен регистър на всички договорни отношения с ИКТ доставчици. Договорите трябва да съдържат клаузи за одит, стратегии за изход и цели за сигурност. Критичните доставчици (CTPP) са под пряк надзор на ESAs.
Финансовите субекти могат доброволно да споделят информация за киберзаплахи в доверени общности, при спазване на GDPR и изискванията за поверителност. Целта е подобряване на колективната устойчивост на сектора.
Интерактивен чеклист за съответствие
Маркирайте изпълнените изисквания. Прогресът се показва в реално време.
| Изискване | Стълб | Статус | |
|---|---|---|---|
| ИКТ рискова рамка, одобрена от ръководството | Стълб 1 | Задължително | |
| Картографирани ИКТ системи и критични функции | Стълб 1 | Задължително | |
| Персонална отговорност на ръководния орган за ИКТ риска | Стълб 1 | Задължително | |
| План за непрекъснатост (BCP) и възстановяване (DRP) | Стълб 1 | Задължително | |
| Таксономия за класификация на ИКТ инциденти | Стълб 2 | Задължително | |
| Процедури за докладване в 24/72 часа до регулатора | Стълб 2 | Задължително | |
| Шаблони за първоначален, среден и финален доклад | Стълб 2 | Задължително | |
| Програма за тестване на дигиталната устойчивост | Стълб 3 | Задължително | |
| Penetration tests от независим изпълнител | Стълб 3 | Задължително | |
| TLPT програма (за значими субекти) | Стълб 3 | Значими субекти | |
| Регистър на всички ИКТ договорни отношения | Стълб 4 | Задължително | |
| Due diligence за критичните ИКТ доставчици | Стълб 4 | Задължително | |
| ДОРА-съвместими клаузи в договорите с доставчици | Стълб 4 | Задължително | |
| Стратегия за изход (exit strategy) за критични услуги | Стълб 4 | Задължително |
Ключови дати и срокове
Предложение на Европейската комисия
ДОРА е предложен като част от пакета за дигитални финанси заедно с MiCA и DLT Pilot Regime.
Официално приемане от ЕП и Съвета
Регламент (ЕС) 2022/2554 е официално приет и публикуван в Официален вестник на ЕС.
Влизане в сила
Регламентът влиза в сила. Стартира двугодишен преходен период за прилагане.
Публикуване на RTS / ITS
EBA, ESMA и EIOPA публикуват финалните технически стандарти по всички стълбове.
Начало на прилагане
ДОРА е напълно приложим. Финансовите субекти трябваше да бъдат в съответствие от тази дата.
Определяне на критични ИКТ доставчици (CTPP)
ESAs завършват оценката и определят критичните трети страни за пряк надзор.
Активен надзор и правоприлагане
Регулаторите провеждат проверки. Очакват се първите санкции за неспазване.
Актуализации по ДОРА
ESAs публикуват наръчник за надзорна дейност по ДОРА
Ръководството описва процесите на Joint Examination Teams (JET) при надзора над критичните ИКТ доставчици (CTPP).
Събиране на ДОРА регистри от компетентните органи
ESAs събраха регистрите за информация от националните регулатори на всички държави-членки.
Пътна карта за определяне на критичните трети страни (CTPP)
EBA, EIOPA и ESMA публикуваха пътна карта за процеса по определяне на CTPPs до края на 2025 г.
ДОРА влезе в пълна сила — 17 януари 2025 г.
Всички субекти в обхвата трябваше да са в съответствие. Националните регулатори стартираха надзорните програми.
Документация и полезни връзки
Официални нормативни актове, технически стандарти и насоки от надзорните органи.
Нормативна база
Надзорни органи
Безплатни ресурси
Услуги за съответствие с ДОРА
Комбинираме регулаторна експертиза с практически опит в киберсигурността, за да ви помогнем да постигнете и поддържате съответствие.
Gap Assessment
Детайлен анализ на текущото ви ниво спрямо всеки от петте стълба. Получавате приоритизирана пътна карта.
Научете повече →Penetration Testing / TLPT
ДОРА изрично изисква независимо тестване. TLPT-съвместими тестове с пълна документация за регулатора.
Поискайте оферта →Политики и документация
Разработване на ИКТ рискова рамка, политики, регистри и всички задължителни ДОРА документи.
Научете повече →Обучения и уъркшопи
Специализирани обучения за ръководство и технически екипи — роли, отговорности и практически сценарии.
Научете повече →