Namai
/
Gidai
/
What is the Digital Operational Resilience Act (DORA)?
Teksto nuoroda
March 19, 2026
4 min read
Arūnas Vrubliauskas

What is the Digital Operational Resilience Act (DORA)?

DORA: a regulation that has become central to the European financial market.

As technological development continues spurring the financial sector, the regulatory framework must adapt to ensure the robustness and security of digital operations. Therefore, the Digital Operational Resilience Act (DORA), approved by the European Parliament, stands as a groundbreaking initiative for all financial institutions in the EU. Understanding DORA compliance is essential for financial institutions operating in the European market.

This blog explains the crucial points of DORA regulations and offers practical insights on how financial institutions can prepare for DORA compliance. We provide a straightforward guide to help you navigate the DORA requirements efficiently.

Ką reiškia skaitmeninio operacinio atsparumo įstatymas (DORA)?

Suskaidykime Skaitmeninio operacinio atsparumo įstatymą (DORA), oficialiai vadinamą Reglamentu (ES) 2022/2554. Šiuo reglamentu pašalinama labai svarbi ES finansinio reguliavimo spraga, nes finansų įstaigoms nustatomos išsamios veiklos atsparumo strategijos.

Prieš DORA finansų subjektai pirmiausia valdė operacinę riziką paskirstydami kapitalą, tačiau DORA reglamentas išplečia taikymo sritį, apimdamas apsaugos, aptikimo, izoliavimo, atkūrimo ir remonto pajėgumus nuo su informacinėmis ir ryšių technologijomis (IRT) susijusių incidentų. Reglamente aiškiai daugiausia dėmesio skiriama IRT rizikai, nustatant rizikos valdymo taisykles, pranešimus apie incidentus, veiklos atsparumo testavimui ir trečiųjų šalių IRT rizikos stebėsenai.

DORA ir Tinklų ir informacijos saugumo (NIS) direktyvos 2 ryšys patikslintas Komisijos gairėmis. DORA laikoma konkrečiam sektoriui skirtu Sąjungos teisės aktu apie finansinius subjektus, dėl kurio jis yra viršesnis už NIS 2 direktyvos reikalavimus.

Kurios finansų įstaigos turi taikyti DORA reglamentą?

Užtikrinant išsamią reguliavimo sistemą, DORA taikoma įvairioms finansų įstaigoms. Šie subjektai yra įpareigoti laikytis DORA taisyklių:

  • Tradiciniai finansiniai subjektai. Tai apima bankus, investicines įmones ir kredito įstaigas.
  • Netradiciniai finansiniai subjektai. DORA plečia savo taikymą netradiciniams subjektams, tokiems kaip kriptovaliutų paslaugų teikėjai ir sutelktinio finansavimo platformos.
  • Trečiųjų šalių paslaugų teikėjai. DORA taikymo sritis apima trečiųjų šalių paslaugų teikėjus, siūlančius finansų įmonėms IRT sistemas ir paslaugas, pavyzdžiui, debesų paslaugų teikėjus ir duomenų centrus. Ji taip pat apima įmones, teikiančias svarbiausias trečiųjų šalių informacines paslaugas, pvz., kredito reitingų paslaugas ir duomenų analizės teikėjus.

Siekiant skatinti atsparią ir saugią finansinę ekosistemą, būtina laikytis DORA.

Kodėl DORA reguliavimas yra labai svarbus?

Įgyvendindama naują reguliavimo standartų erą, DORA suteikia išskirtinių pranašumų finansų institucijoms, priešakyje pateikdama veiklos atsparumą. Susipažinkite su pagrindiniais privalumais, kuriuos suteikia DORA reglamentas:

  • Holistinis rizikos valdymas. DORA išplečia rizikos valdymo sritį už kapitalo paskirstymo ribų, pabrėždama visapusišką požiūrį, apimantį apsaugos, aptikimo, izoliavimo, atkūrimo ir remonto pajėgumus nuo su IRT susijusių incidentų.
  • Strateginis skaitmeninio atsparumo planas. Finansų subjektai raginami apibrėžti tvirtą skaitmeninio atsparumo strategiją, suderindama IT viziją su rizikos mažinimo metodais. Šis strateginis planas užtikrina aktyvią poziciją sprendžiant galimus sutrikimus.
  • Skaidrumas ir pranešimai apie incidentus. DORA reikalauja struktūrizuoto požiūrio į IRT incidentų valdymą ir pranešimus apie juos, skatinant skaidrumą. Šis iniciatyvus ataskaitų teikimo mechanizmas užtikrina, kad sutrikimai būtų nedelsiant šalinami ir pranešama apie juos.
  • Atsparumo testavimas operaciniam įtvirtinimui. Reglamentu skatinamas reguliarus atsparumo testavimas, leidžiantis finansų įstaigoms nustatyti pažeidžiamumą ir sustiprinti skaitmenines operacijas. Tokios paslaugos kaip skverbties testavimas, verslo tęstinumo planavimas ir grėsmių modeliavimas padidina veiklos atsparumą.
  • Trečiųjų šalių rizikos mažinimas. Pripažindama tarpusavyje susijusį finansų ekosistemos pobūdį, DORA įpareigoja nuodugniai įvertinti ir sumažinti riziką, susijusią su trečiųjų šalių teikėjais. Šis metodas apsaugo finansines institucijas bendradarbiaujančių finansinių paslaugų eroje.

Paprasčiau tariant, skaitmeninio operacinio atsparumo įstatymas (DORA) nustato finansų institucijas sėkmei skaitmeniniame amžiuje, stiprinant jų gebėjimą susidoroti su iššūkiais, gerinant rizikos valdymą ir skatinant atvirumą pranešant apie incidentus.

Turite klausimų apie DORA ar pasirengimą DORA atitikčiai? Mūsų IT konsultantai pasiruošę įvertinti Jūsų situaciją ir rekomenduoti optimalų sprendimą Jūsų finansų įstaigai.

Kas yra DORA reguliavimo domenai?

Skaitmeninio operacinio atsparumo įstatymo (DORA) atitikties srityje finansų įstaigos turi atsižvelgti į keturias sritis, kurios pertvarko operacinės rizikos valdymo kraštovaizdį:

  • IRT rizikos valdymas ir valdymas
  • Reagavimas į incidentus ir pranešimai
  • Atsparumo testavimas
  • Trečiųjų šalių rizikos valdymas

Kiekvienas domenas turi specifinius reikalavimus, kuriuos finansiniai subjektai turi įterpti į savo žmones, procesus ir produktus. Leiskite mums ištirti kiekvieną sritį, jo specialybes ir galimus veiksmus, kurių galite imtis, kad užtikrintumėte skaitmeninį atsparumą finansinėms paslaugoms.

IRT rizikos valdymas ir valdymas

Pirma, sritis, apibrėžianti IRT rizikos valdymą ir valdymą. Šioje srityje C lygio vadovai ir vykdomieji komitetai yra atsakingi už tvirtos skaitmeninio atsparumo strategijos apibrėžimą. Tai labai svarbus žingsnis finansų įstaigoms, todėl skaitmeninis atsparumas tampa pagrindiniu strateginių planų akcentu ir užtikrinamas pasirengimas DORA laikymuisi.

Šioje srityje itin svarbus vaidmuo tenka tokioms paslaugoms kaip IT vizijos kūrimas, pagrindinės rizikos vertinimas, poveikio mažinimo strategijų kūrimas, saugumo ir rizikos vertinimai, procesų ir rizikos vertinimas bei skaitmeninių kanalų pasitraukimo planų rengimas. Šios paslaugos sudaro pagrindą tvirtai skaitmeninio atsparumo strategijai, užtikrinant, kad IT vizija atitiktų protingą, riziką suvokiantį požiūrį.

Reagavimas į incidentus ir pranešimai

Pasinerkime į antrąją sritį: reagavimas į incidentus ir ataskaitų teikimas. Čia daugiausia dėmesio skiriama su IRT susijusių incidentų stebėjimo, valdymo, registravimo, klasifikavimo ir ataskaitų teikimo sistemų sukūrimui. Šis požiūris suteikia naują aiškumo sluoksnį, užtikrinant, kad bet kokie klausimai būtų greitai sprendžiami ir pranešami.

Reagavimo į incidentus ir pranešimų tvarkymui reikia specialių konsultacijų ir nurodymų iš vyriausiųjų informacijos saugumo pareigūnų (CISO). CISO-as-a-Service užtikrina nuolatinį budrumą, garantuodamas greitą reagavimą į incidentus ir tvirtas ataskaitų teikimo sistemas, atitinkančias DORA taisykles.

Atsparumo testavimas

Atsparumo testavimas yra trečioji sritis, raginanti finansinius subjektus reguliariai atlikti testus, kad sustiprintų savo skaitmenines operacijas. Šis iniciatyvus metodas yra labai svarbus ieškant trūkumų ir gerinant bendrą veiklos jėgą.

Dideliems finansų subjektams, turintiems svarbų vaidmenį finansų pramonėje, kas trejus metus turi būti atliekami grėsmių pagrindu veikiantys įsiskverbimo testai (TLPT), o jų svarbiausi IRT teikėjai taip pat dalyvauja. Techniniai TLPT standartai yra suderinti su TIBER-ES sistema dėl informacijos apie grėsmes grindžiamo etinio raudonojo bendradarbiavimo.

Šiai sričiai taip pat reikalingos tokios paslaugos kaip skaitmeninio atsparumo proceso įgyvendinimas, verslo tęstinumo ir atsparumo planavimas bei grėsmių modeliavimas. Šios paslaugos nustato pažeidžiamumus, sustiprina skaitmenines operacijas ir paruošia nenumatytiems sutrikimams.

Trečiųjų šalių rizikos valdymas

Ketvirtoji svarbi sritis yra trečiųjų šalių rizikos valdymas, pripažįstant tarpusavyje susijusį finansų ekosistemos pobūdį. Ji įpareigoja finansų institucijas valdyti riziką, susijusią su trečiųjų šalių teikėjais, o tai yra kritinis aspektas bendradarbiaujančių finansinių paslaugų eroje.

Trečiųjų šalių rizikos valdymo srityje tokios paslaugos, kaip pagrindinių tiekėjų rizikos vertinimas ir mažinimas bei tiekėjų išsamus patikrinimas, yra svarbiausi dalyviai. Jie užtikrina, kad rizika, susijusi su darbu su kitais, būtų kruopščiai tikrinama ir sprendžiama, suprantant glaudžius finansų sektoriaus pobūdį.

Pagrindinius trečiųjų šalių IRT paslaugų teikėjus tiesiogiai prižiūri atitinkami EPI, o jų reikšmingumo kriterijus nustato Europos Komisija. Jei jie atitinka standartus, vienas EKA skiriamas pagrindiniu prižiūrėtoju. Šios pagrindinės priežiūros institucijos vykdo DORA reikalavimus, suteikdamos įgaliojimus uždrausti neatitinkančias sutartis su finansų įmonėmis ar kitais IRT teikėjais.

Galimas domenas ateityje: dalijimasis informacija

Dalijimasis informacija šiuo metu nėra privalomas, tačiau finansiniai subjektai raginami tai daryti. Vykdydamos informacijos dalijimosi sritį, finansų įstaigos turi nustatyti mokymosi procesus iš vidinių ir išorinių su IRT susijusių incidentų. DORA reglamentas skatina subjektus užsiimti savanorišku informacijos apie grėsmes dalijimusi informacija. Bendrai naudojamoje informacijoje turėtų būti laikomasi gairių, saugant tokius duomenis kaip asmenį identifikuojanti informacija (PII) laikantis BDAR taisyklių.

Norite pradėti savo DORA reglamento įgyvendinimą? Mūsų patyrę fintech ekspertai yra pasirengę padėti jums per DORA atitikties be jokių rūpesčių. Finansiniams subjektams reikia struktūrizuoto požiūrio, kad būtų pasiekta ir palaikoma DORA atitiktis. Tinkamas pasirengimas yra būtinas norint įvykdyti visus norminius reikalavimus.

Čia pateikiamas pagrindinių sėkmingo DORA įgyvendinimo etapų ir veiksmų planas:

1 etapas: vertinimas ir planavimas

  • Trūko vertinimas. Inicijuokite procesą atlikdami išsamų spragų įvertinimą, analizuodami savo įmonės profilį, dabartinį brandos lygį ir esamų gairių bei IT rizikos valdymo standartų laikymąsi.
  • Gairės kūrimas. Apibrėžkite planą su pagrindiniais rezultatais, kad įgyvendintumėte skaitmeninio atsparumo strategiją. Apsvarstykite DORA nustatytus techninius reguliavimo standartus (RTS).
  • Suderinimas su ESA lūkesčiais. Įstaigos turi suderinti savo sistemas ir valdymą su Europos priežiūros institucijų (EPI) lūkesčiais, kad būtų įtraukta visa apimanti rizikos valdymo praktika.
  • Judrumas. Atsižvelgiant į besikeičiantį reguliavimo standartų pobūdį, užtikrinti, kad strategija ir sistema būtų pakankamai judrios, kad būtų įtraukti nauji techniniai reguliavimo standartai (RTS) ir įgyvendinimo techniniai standartai (ITSS).
  • Bendradarbiavimas su IT partneriais. Apsvarstykite galimybę bendradarbiauti su patyrusiais IT partneriais. Jie gali padėti jums per sudėtingą DORA reguliavimo procesą, suteikdami vertingų įžvalgų ir paramos, kad užtikrintų sklandesnę atitikties kelionę.

2 etapas: Įgyvendinimas ir testavimas

  • Pasirengimas įsiskverbimo bandymams. Kadangi DORA reikalauja skverbties testavimo reikalavimus, pradėkite pasiruošimą gerokai iš anksto. Patikrinkite ir patobulinkite savo kibernetinio saugumo priemones, kad galėtumėte atlikti griežtus testavimus, rasti ir ištaisyti bet kokius trūkumus, galinčius kelti grėsmę jūsų skaitmeninėms operacijoms.
  • Pasirengimas sertifikavimui. Pasiruoškite sertifikavimo procesams, kurių reikalauja ESA. Įsitikinkite, kad jūsų įstaiga yra pasirengusi reguliariems vertinimams, testavimui ir ataskaitoms teikti. Tai reiškia, kad registruojate savo pastangas laikytis DORA taisyklių ir savo veiklos duomenis, kad galėtumėte parodyti, kaip gerai laikotės taisyklių.

3 etapas: nuolatinis laikymasis

  • Privalomo įsiskverbimo bandymo užbaigimas. Atlikite privalomą įsiskverbimo testavimą, kad dar labiau sustiprintumėte savo skaitmenines operacijas. Šis žingsnis užtikrina, kad jūsų įstaiga aktyviai identifikuotų ir šalintų galimus pažeidžiamumus, padidindama bendrą veiklos atsparumą kibernetinėms grėsmėms.
  • ESA atitikties vertinimas. Užbaikite DORA priėmimą įvertindami savo organizacijos padėtį ir laikydamiesi EPI nustatytų procesų. Tai apima jūsų įstaigos atitikties DORA reglamentams demonstravimą ir jūsų skaitmeninio atsparumo ir rizikos valdymo strategijų veiksmingumo demonstravimą.
  • Nuolatinis stebėjimas. Sukurti patikimus nuolatinės stebėsenos mechanizmus, siekiant užtikrinti nuolatinį laikymąsi ir atsparumą su IRT susijusiems incidentams. Reguliariai vertinkite ir atnaujinkite savo strategijas, sistemas ir saugumo priemones, kad išliktumėte iniciatyvūs kylančių grėsmių ir besikeičiančių reguliavimo reikalavimų akivaizdoje.

Laikydamiesi šio struktūrizuoto plano, jūsų finansų įstaiga ne tik nustato, ar laikomasi DORA, bet ir skatinama atspari veiklos aplinka, kuri gali prisitaikyti prie dinamiško skaitmeninių finansinių paslaugų kraštovaizdžio.

Pasiruošę pasiekti DORA atitikimą?

Norint pasiekti DORA atitikimą, reikia tvirto plano. Labai svarbu atlikti išsamų spragų vertinimą, suderinti su dabartinėmis gairėmis ir laikytis judrios mąstysenos, kad prisitaikytų prie besikeičiančių standartų.

Mūsų fintech komanda, kuri yra išmananti reglamentus, yra jūsų pasirinkimas. Dama ilgametę finansinę veiklą, mūsų komanda bus rūpesčių naršys jus per DORA atitikties.

Prisijunkite prie konsultacijų. Persipirksime Your case and me the best information for Your finance.

DUK

Kaip bankui užtikrinti atitiktį DORA reikalavimams ir sustiprtinti skaitmeninį atsparumą?

DORA reikalauja stipraus IRT rizikų valdymo, aiškių reagavimo į incidentus procesų, atsparumo testavimo ir trečiųjų šalių rizikų kontrolės. Padedame atlikti spragų analizę, įdiegti reikalingas kontrolės priemones ir užtikrinti nuolatinę atitiktį.

Kaip susiję MiCA ir DORA reikalavimai?

MiCA reglamentuoja licencijavimo ir veiklos reikalavimus kriptoturto veiklai, o DORA orientuotas į IRT riziką ir veiklos atsparumą. MiCA apibrėžia, kas turi būti įdiegta, o DORA stiprina, kaip rizikos valdomos laikui bėgant. Praktikoje daug IRT kontrolės priemonių, rizikų valdymo procesų ir incidentų valdymo sprendimų padeda atitikti abu reglamentus.

How much does DORA compliance support typically cost?

It depends on where you are starting from. Some organisations only need a short readiness review, while others need help with implementation or ongoing support. We usually start by understanding your setup and then suggest a scope that fits your needs and budget.

Related Guides

Galutinis NIS2 vadovas Baltijos šalyse: Lietuva, Latvija ir Estija
Jūsų galutinis Europos prieinamumo akto atitikties 2025 m. Vadovas