DORA explicată: impactul asupra achiziției de software în sectorul financiar
DORA intră în vigoare la 17 ianuarie 2025 și schimbă fundamental modul în care organizațiile financiare achiziționează și contractează software. Iată tot ce trebuie să știi despre cele cinci piloni, cerințele contractuale și impactul asupra gestionării furnizorilor.
- 1 februarie 2025
- 5 min
- DORA – Legea privind Reziliența Operațională Digitală
DORA, Digital Operational Resilience Act, intră în vigoare la 17 ianuarie 2025 în toate statele membre ale UE. Pentru organizațiile financiare și furnizorii lor ICT, ceva fundamental se schimbă: reziliența digitală nu mai este o problemă internă de IT, ci o obligație de afaceri reglementată cu supraveghere și sancțiuni.
Ce este DORA?
DORA este un regulament al UE, nu o directivă, ci o legislație aplicabilă direct, care reglementează reziliența operațională digitală a sectorului financiar. Regulamentul face parte din Digital Finance Package și se aplică pentru 20 de categorii de entități financiare, de la bănci și asigurători la fintech-uri și furnizori de servicii cripto.
Cei cinci piloni ai DORA
DORA structurează cerințele sale în jurul a cinci domenii cheie:
Gestionarea riscurilor ICT: un cadru cuprinzător pentru identificarea, clasificarea și controlul riscurilor ICT
Raportarea incidentelor: incidentele ICT majore trebuie raportate autorităților de supraveghere în termene stricte
Testarea rezilienței digitale: teste periodice de penetrare și scenarii de reziliență pentru sistemele critice
Gestionarea riscurilor terților: obligații contractuale, registre cu furnizori și analiza riscului de concentrare
Schimbul de informații: partajarea proactivă a informațiilor privind amenințările în sector
Ce înseamnă DORA pentru achiziția de software?
Pilonul patru, gestionarea riscurilor terților, are impact direct asupra modului în care organizațiile financiare achiziționează și contractează software:
Cerințe contractuale minime: fiecare contract ICT trebuie să includă clauze privind SLA, raportarea incidentelor, drepturile de audit, planul de exit, locația datelor și continuitatea
Registrul furnizorilor ICT: este obligatoriu un registru actualizat și complet al tuturor furnizorilor ICT și trebuie să fie accesibil autorităților de supraveghere
Riscul de concentrare: dependența excesivă de un singur furnizor (ex. un singur furnizor cloud) trebuie evaluată și raportată
Subcontractanți: și furnizorii furnizorilor tăi intră în sfera de aplicare DORA
SoftVaro ajută organizațiile financiare să-și cartografieze peisajul software și să facă contractele conforme cu DORA.
Întrebări frecvente
Cele mai frecvente întrebări despre acest subiect.
Pentru cine se aplică DORA?
DORA se aplică băncilor, asigurătorilor, fondurilor de investiții, instituțiilor de plată, furnizorilor de servicii cripto, fondurilor de pensii și tuturor furnizorilor ICT care oferă servicii critice acestor instituții.
Se aplică DORA și furnizorului meu de software?
Da. Dacă furnizezi software sau servicii ICT către o instituție financiară supusă DORA, ești obligat ca furnizor ICT să respecți cerințele contractuale DORA impuse de instituția financiară. Furnizorii ICT critici pot fi, de asemenea, supuși supravegherii directe a UE.
Care sunt sancțiunile pentru neconformitatea cu DORA?
Sancțiunile pot ajunge până la 2% din cifra de afaceri anuală globală. Pentru furnizorii ICT critici, aflați sub supravegherea directă a UE, se aplică sancțiuni suplimentare.
Gata să economisești la software?
SoftVaro negociază pentru tine cea mai avantajoasă ofertă de la peste 4.000 de furnizori. Independent, transparent, în 24 de ore.