Регламентът DORA — Експертни консултантски услуги за финансови субекти в цяла Европа
Регламентът относно цифровата оперативна устойчивост (DORA) вече се прилага изцяло. Нашите консултантски услуги помагат на финансовите субекти да изпълнят своите задължения — от рамки за управление на ИКТ риска до надзор на трети страни и тестване на устойчивостта.
Цифровата оперативна устойчивост вече е законово задължение за финансовите субекти
Финансовият сектор функционира чрез технологиите. Всяка трансакция, всяко взаимодействие с клиент и всяко изчисление на риска зависи от системите за информационни и комуникационни технологии (ИКТ), много от които се управляват от малък брой външни доставчици. Един-единствен срив в голяма облачна платформа би могъл едновременно да прекъсне работата на банки, инвестиционни посредници и застрахователи в целия ЕС.
Преди DORA подходът на ЕС към управлението на този риск беше фрагментиран. Правилата варираха според държавата членка и сектора, създавайки празноти в надзора и непоследователност в начина, по който финансовите субекти управляваха ИКТ риска. Фокусът беше предимно върху капиталовата адекватност — гарантиране, че компаниите разполагат с достатъчно средства, за да поемат загубите след инцидент, а не върху способността им да предотвратяват прекъсвания и да поддържат непрекъсваемост на дейността.
DORA променя това. Регламентът измества регулаторния фокус от финансовата платежоспособност към оперативната непрекъснатост: способността да се устоява, реагира и възстановява от ИКТ инциденти. И прави това чрез единен, пряко приложим регламент, който не изисква транспониране в националното законодателство и не оставя вратички за държавите членки да смекчават изискванията.
За финансовите субекти, които все още не са привели своите ИКТ рамки в съответствие с DORA, рискът вече не е теоретичен. Регламентът се прилага от януари 2025 г. и надзорните органи в целия ЕС (като БНБ и КФН в България) вече имат правомощията да разследват, да налагат възстановителни мерки и да глобяват при липса на регулаторно съответствие.
Какво реално изисква DORA и за кого се отнася
Регламентът относно цифровата оперативна устойчивост (Регламент (ЕС) 2022/2554) е правнообвързващ регламент на ЕС, който установява единен набор от изисквания за сигурността и устойчивостта на ИКТ системите в целия финансов сектор. Той влезе в сила на 16 януари 2023 г. и се прилага изцяло от 17 януари 2025 г.
За разлика от директивите, DORA се прилага пряко във всички 27 държави членки на ЕС. Финансовите субекти не могат да чакат национално транспониране, а изискванията вече са в сила.
За кого се отнася DORA
DORA обхваща над 20 категории финансови субекти, включително:
Банково дело и плащания
- Кредитни институции
- Платежни институции
- Доставчици на услуги за информация за сметки
- Институции за електронни пари
Застраховане и пенсионно осигуряване
- Застрахователни и презастрахователни дружества
- Застрахователни посредници и посредници, предлагащи застрахователни продукти като допълнителна дейност
- Институции за професионално пенсионно осигуряване
Инвестиции и капиталови пазари
- Инвестиционни посредници
- Доставчици на услуги за криптоактиви и издатели на токени, обезпечени с активи
- Централни депозитари на ценни книжа
- Централни контрагенти
- Места на търговия
- Регистри за търговия
- Лица, управляващи алтернативни инвестиционни фондове
- Управляващи дружества
Пазарна инфраструктура и услуги
- Доставчици на услуги за докладване на данни
- Агенции за кредитен рейтинг
- Администратори на критични бенчмаркове
- Доставчици на услуги за колективно финансиране
- Регистри за секюритизация
Регламентът се разпростира пряко и върху ИКТ доставчиците трети страни, които обслужват тези субекти — прецедент за финансовата регулация в ЕС. Доставчиците, определени като „критични" от Европейските надзорни органи (ЕНО), вече подлежат на пряк надзор, включително проверки на място и правомощия за налагане на ежедневни имуществени санкции.
Пропорционалност
DORA не прилага универсален стандарт за всички. Изискванията трябва да се прилагат пропорционално на размера, рисковия профил, както и естеството и сложността на дейността на всеки субект. Микропредприятията, дефинирани като фирми с по-малко от 10 служители и годишен оборот или балансово число под 2 млн. евро, са обект на опростена рамка, която ги освобождава от по-сложните изисквания за корпоративно управление на ИКТ и тестване.
Някои субекти са напълно освободени, включително лица, управляващи алтернативни инвестиционни фондове под определени прагове на активите, и малки застрахователни дружества.
Как DORA се съотнася към NIS 2 и GDPR
За финансовия сектор DORA е специален закон (lex specialis) по отношение на Директивата NIS 2. Въпреки че финансовите субекти попадат в обхвата на NIS 2, те трябва да спазват по-строгите изисквания на DORA, вместо общите задължения по NIS 2.
DORA и Общият регламент относно защитата на данните (GDPR) се допълват взаимно, вместо да си противоречат. DORA урежда оперативната устойчивост на мрежовите и информационните системи; GDPR урежда защитата на личните данни. Един-единствен ИКТ инцидент може да задейства задължения за докладване и по двата регламента, но с различни срокове и към различни компетентни органи.
Петте стълба, които определят регулаторното съответствие с DORA
DORA е изградена върху пет взаимосвързани изисквания. Слабост в което и да е от тях компрометира цялостната рамка.
Управление на ИКТ риска
Това е основата. DORA изисква финансовите субекти да установят и поддържат всеобхватна рамка за управление на ИКТ риска, която обхваща идентифициране, защита, откриване, реагиране и възстановяване. Изключително важно е, че DORA възлага пряка отговорност на управителния орган. Вашият борд на директорите и висшият мениджмънт носят лична отговорност за дефинирането, одобряването и надзора на рамката. Това не може да бъде делегирано на ИТ отдела. Рамката трябва да се преразглежда поне веднъж годишно и да се актуализира след всеки значим ИКТ инцидент.
Докладване на ИКТ инциденти
Когато настъпи значим ИКТ инцидент, DORA налага строг, хармонизиран процес на докладване. Финансовите субекти трябва да класифицират инцидентите, използвайки критерии, определени от ЕНО, и да подадат първоначално уведомление до своя компетентен орган, последвано от междинен и финален доклад. Сроковете са кратки, а критериите за класификация са стандартизирани в целия ЕС, заменяйки непоследователните национални процеси, съществували преди това. Значителните киберзаплахи също трябва да бъдат докладвани, макар и на доброволни начала.
Тестване на цифровата оперативна устойчивост
DORA изисква финансовите субекти да поддържат всеобхватна програма за тестване на устойчивостта. Като минимум тя включва ежегодно тестване на ИКТ системите и инструментите, управление на уязвимостите, анализ на софтуер с отворен код, оценки на мрежовата сигурност и тестване въз основа на сценарии. За субектите, определени като значими, DORA задължава и провеждането на целенасочено пен тестване (TLPT) поне веднъж на три години. TLPT трябва да се извършва от квалифицирани външни тестери върху реални продукционни системи, симулирайки тактиките на реални кибернападатели.
Управление на ИКТ риска от трети страни
Вашата оперативна устойчивост е толкова силна, колкото е най-критичният ви доставчик. DORA изисква финансовите субекти да управляват пълния жизнен цикъл на ИКТ риска от трети страни — от предварителната проверка (due diligence) преди сключване на договор до непрекъснатия мониторинг и документираните стратегии за изход. Договорите с ИКТ доставчиците трябва да включват задължителни клаузи, покриващи нивата на обслужване (SLA), одитни права, местоположението на данните, поддръжката при инциденти и условията за възлагане на подизпълнители. Финансовите субекти трябва да поддържат Регистър на информацията, документиращ всички договорни споразумения с ИКТ доставчици трети страни, и да го предоставят на своя компетентен орган.
Обмен на информация и разузнавателни данни
DORA насърчава (но не задължава) финансовите субекти да участват в договорености за обмен на доверена информация, за да споделят разузнавателни данни за киберзаплахи (Threat Intelligence). Регламентът предоставя правна рамка за споделяне на индикатори за компрометиране, тактики, техники и процедури, помагайки на сектора да подобри колективните си защити. Всяко споделяне трябва да е в пълно съответствие със съществуващите правила за защита на данните.
Структуриран път от GAP анализ до оперативно съответствие
Всеки финансов субект стартира от различна позиция. Някои вече имат зрели рамки за управление на ИКТ риска, които се нуждаят от целенасочено съгласуване със специфичните изисквания на DORA. Други трябва да изградят базови способности от нулата. Нашата роля е да оценим къде се намирате, да идентифицираме какво трябва да се промени и да ви преведем през структуриран процес, който интегрира регулаторното съответствие с DORA във вашите оперативни процеси.
Ето как работим:
Фаза 1 — Определяне на обхвата и GAP анализ
Започваме с разбиране на вашата регулаторна класификация, ИКТ услугите, от които зависите, и текущото състояние на вашите практики за управление на риска. След това извършваме детайлен анализ на пропуските (gap анализ) по всички пет стълба на DORA, съпоставяйки съществуващите ви контроли, политики и договорни споразумения с изискванията на регламента. Това ви дава ясна и приоритизирана картина за това кое отговаря на стандарта и по кое трябва да се работи.
Фаза 2 — Отстраняване на слабости и разработване на рамка
С анализа на пропуските (GAP) като наша пътна карта, ние работим с вашите екипи, за да затворим идентифицираните пропуски. Това обикновено включва разработване или подобряване на вашата рамка за управление на ИКТ риска, формализиране на процедурите за класификация и докладване на инциденти, преглед и предоговаряне на договорите с ИКТ доставчици трети страни и установяване на структурите за корпоративно управление, изисквани от DORA, включително дефинирани отговорности за управителния орган.
Фаза 3 — Програма за тестване на устойчивостта
Ние ви помагаме да проектирате и внедрите съвместима с DORA програма за тестване — от изискванията за ежегодно базово тестване (управление на уязвимостите, прегледи на мрежовата сигурност, тестване въз основа на сценарии) до подготовката за напреднало целенасочено пен тестване (TLPT), когато е приложимо. Работим с квалифицирани външни тестери и ви помагаме да интегрирате резултатите от тестовете в текущия цикъл за управление на ИКТ риска.
Фаза 4 — Непрекъснато подобрение
DORA не е еднократен проект. Регламентът изисква постоянен мониторинг, редовни прегледи на рамката и извличане на поуки от инциденти и резултати от тестове. Ние ви помагаме да установите процесите и структурите за корпоративно управление, необходими за поддържане на регулаторно съответствие във времето, включително периодични преоценки с развитието на регулаторните технически стандарти.
Защо финансовите субекти избират нас за DORA
Често задавани въпроси за Регламента DORA
Регламентът относно цифровата оперативна устойчивост (DORA), Регламент (ЕС) 2022/2554, е правнообвързващ регламент на ЕС, който установява единни изисквания за сигурността и устойчивостта на ИКТ системите в целия финансов сектор. Целта му е да гарантира, че финансовите субекти и техните критични технологични партньори могат да устоят, да реагират и да се възстановят от ИКТ инциденти, включително кибератаки и системни сривове. Тъй като е регламент (а не директива), той се прилага пряко във всички 27 държави членки на ЕС, без да се изисква транспониране в националното законодателство.
DORA обхваща над 20 категории финансови субекти, включително банки, инвестиционни посредници, платежни институции, дружества за електронни пари, застрахователни и презастрахователни дружества, доставчици на услуги за криптоактиви, централни депозитари на ценни книжа, централни контрагенти, места на търговия, агенции за кредитен рейтинг и доставчици на услуги за колективно финансиране. Регламентът се прилага и за ИКТ доставчиците трети страни, които обслужват тези субекти. DORA има екстратериториален обхват: прилага се въз основа на това къде се предоставят услугите на финансовите субекти в ЕС, независимо от това къде е седалището на доставчика.
DORA влезе в сила на 16 януари 2023 г. и се прилага изцяло от 17 януари 2025 г. Всички обхванати субекти са задължени да бъдат в съответствие от тази дата. Европейските надзорни органи (ЕНО) публикуваха регулаторните технически стандарти (RTS) и техническите стандарти за изпълнение (ITS), които конкретизират детайлните изисквания за регулаторно съответствие.
Рамката за санкции на DORA функционира на две нива. За финансовите субекти член 50 изисква всяка държава членка да установи свои собствени административни санкции за нарушения на DORA. Те варират значително в рамките на ЕС. Анализ на DLA Piper от октомври 2025 г. установи, че таваните на санкциите, базирани на оборота, варират от 5% от годишния оборот (Испания) до 10% (Швеция), докато абсолютните тавани варират от 2 млн. евро (Чехия) до 20 млн. евро (Италия). Могат да бъдат налагани и санкции на отделни членове на управителния орган, като таваните варират от 100 000 евро (Финландия) до 5 млн. евро (Германия). За критичните ИКТ доставчици трети страни (CTPP) санкциите се определят директно от самата DORA: член 35 овластява Водещия надзорен орган (един от трите ЕНО) да налага периодични имуществени санкции в размер до 1% от средния дневен световен оборот на доставчика, прилагани ежедневно за период до шест месеца, до постигане на съответствие. Освен финансовите санкции, регулаторите могат да издават задължителни препоръки, да изискват възстановителни действия, да възлагат одити за сметка на субекта и, в тежки случаи, да изискват от финансовите субекти да преустановят или прекратят договори с ИКТ доставчици, които не отговарят на изискванията.
ИКТ доставчиците са засегнати по два начина. Непряко — всички доставчици, обслужващи финансовия сектор, са изправени пред засилен договорен контрол, тъй като техните клиенти (финансовите субекти) са задължени по DORA да включват специфични задължителни клаузи в договорите си, да провеждат задълбочена предварителна проверка (due diligence) и да упражняват одитни права. Пряко — доставчиците, определени като „критични" от ЕНО, са обект на Рамката за надзор на DORA, която дава на Водещия надзорен орган правомощия да изисква информация, да провежда разследвания и проверки на място, да издава препоръки и да налага имуществени санкции. През ноември 2025 г. ЕНО публикуваха първия списък с 19 определени критични ИКТ доставчици трети страни (CTPP). Доставчиците извън ЕС, определени като критични, трябва да създадат дъщерно дружество в ЕС в рамките на 12 месеца след определянето им.
За финансовия сектор DORA е специален закон (lex specialis) по отношение на Директивата NIS 2. Това означава, че макар финансовите субекти технически да попадат в обхвата на NIS 2, те трябва да спазват по-специфичните и по-строги изисквания на DORA. В областите, където разпоредбите на NIS 2 са по-специфични от тези на DORA, NIS 2 се прилага допълващо.
DORA и ISO 27001 служат за различни цели, но се допълват изключително добре. ISO 27001 предоставя рамка за изграждане на Система за управление на сигурността на информацията (ISMS), докато DORA определя правнообвързващи изисквания конкретно за цифровата оперативна устойчивост във финансовия сектор. Една организация, която вече притежава сертификат по ISO 27001, ще установи, че голяма част от основополагащите контроли за управление на риска, управление на инциденти и корпоративно управление се припокриват с изискванията на DORA, което може значително да намали усилията, необходими за постигане на регулаторно съответствие. Въпреки това, DORA въвежда изисквания, които надхвърлят ISO 27001, особено по отношение на TLPT, надзора на трети страни със задължителни договорни клаузи, специфични срокове за докладване на ИКТ инциденти и пряката отговорност на управителния орган.
Целенасоченото тестване за проникване — пентестване (TLPT) е напреднала форма на тестване на сигурността, изисквана от DORA за финансовите субекти, определени като значими от техните компетентни органи. За разлика от стандартното тестване за проникване, TLPT симулира тактиките, техниките и процедурите на реални кибернападатели срещу живи продукционни системи. То трябва да се провежда поне веднъж на три години от квалифицирани външни тестери, следвайки рамката TIBER-EU. Обхватът и провеждането на всяко TLPT упражнение трябва да бъдат координирани със съответния компетентен орган.
Да. DORA включва принцип на пропорционалност, което означава, че изискванията трябва да се прилагат пропорционално на размера, рисковия профил и сложността на дейността на субекта. Микропредприятията (по-малко от 10 служители, оборот или балансово число под 2 млн. евро) са обект на опростена рамка. Някои субекти са напълно освободени, включително лица, управляващи алтернативни инвестиционни фондове под определени прагове на активите, и малки застрахователни дружества. Въпреки това, дори освободените субекти или тези с опростена рамка трябва внимателно да оценят позицията си, тъй като техните договорни отношения с по-големи финансови субекти все пак могат да бъдат засегнати от изискванията на DORA за ИКТ риск от трети страни.
Започнете с оценка на обхвата, за да потвърдите дали и как DORA се отнася за вашата организация, като вземете предвид принципа на пропорционалност. След това осигурете официална подкрепа от борда на директорите и съответния бюджет. DORA изрично изисква участието на управителния орган, така че това не е по избор. Направете детайлен анализ на пропуските (gap анализ), сравнявайки вашата съществуваща рамка за управление на ИКТ риска, процедурите за докладване на инциденти, програмата за тестване и договорите с трети страни срещу всичките пет стълба на DORA. Разработете приоритизиран план за отстраняване на уязвимостите с ясни отговорности и срокове. Прегледайте и предоговорете договорите с трети страни, за да включите задължителните клаузи на DORA. Накрая, формализирайте структурите за корпоративно управление за текущ надзор на ИКТ риска и планирайте непрекъснатото подобрение, което DORA изисква.
Готови ли сте да приведете организацията си в съответствие с DORA?
Обсъдете ситуацията си с някой от нашите експерти. Ще ви дадем обективна оценка за това къде се намирате в момента и какво ще е необходимо за постигане на пълно регулаторно съответствие.
Свържете се с експертСвържете се с експерт
Ще се свържем с Вас в рамките на един работен ден.