DORA IKT rizici

DORA - Digital Operational Resilience Act je europski regulatorni okvir koji definira kako financijske institucije upravljaju IKT rizicima, osiguravaju kontinuitet poslovanja i otpornost na kibernetičke incidente. Za razliku od klasične usklađenosti, DORA stavlja fokus na operativnu otpornost i sposobnost organizacije da nastavi poslovati i u uvjetima incidenta.

DORA se odnosi na širok spektar financijskih subjekata, uključujući: banke i kreditne institucije, investicijska društva i brokere, društva za upravljanje imovinom, osiguravajuća društva, pružatelje kripto i fintech usluga.

Obuhvat uključuje i ključne IKT dobavljače, što dodatno proširuje odgovornosti organizacija.

DORA zahtijeva uspostavu strukturiranog okvira za:

upravljanje IKT rizicima (ICT Risk Management Framework),
klasifikaciju i izvještavanje o incidentima, testiranje otpornosti sustava, te upravljanje trećim stranama (ICT third-party risk). Poseban naglasak stavljen je na odgovornost uprave, koja mora aktivno nadzirati, odobravati i razumjeti IKT rizike.

DORA je stupila na snagu na razini EU, a puna primjena započela je 2025. godine, uz obvezu kontinuiranog održavanja i dokazivanja usklađenosti. To znači da organizacije već sada moraju imati operativno primjenjive mjere, a ne samo formalnu dokumentaciju.

Nadzorna tijela očekuju da organizacije mogu:

dokazati uspostavljen sustav upravljanja IKT rizicima,
pokazati evidencije, kontrole i izvještaje, te demonstrirati spremnost na incident. Fokus nadzora nije samo na dokumentima, već na stvarnoj provedbi i učinkovitosti mjera.​

U praksi, najveći izazov nije razumijevanje DORA zahtjeva, već njihova implementacija u postojeće procese, strukturu i svakodnevno poslovanje. Organizacije koje na vrijeme definiraju prioritete i postave jasan okvir upravljanja, značajno smanjuju operativne i regulatorne rizike.