Preskoči na sadržaj
Vi-Di.me
SIGURNOST12 min čitanja

DORA, NIS2 i Zakon o kibernetičkoj sigurnosti: što financijske tvrtke i ICT dobavljači moraju znati

DORA nije isto što i ZKS/NIS2 i ne vrijedi automatski za svaku tvrtku. Objašnjavamo što DORA znači za financijski sektor, ICT dobavljače i tehničku pripremu kontrola u Hrvatskoj.

12. lipnja 2026.|Vi-Di.me Security Division|Ažurirano: 12. lipnja 2026.

TL;DR / KRATKO

DORA je EU uredba o digitalnoj operativnoj otpornosti financijskog sektora. Primjenjuje se od 17. siječnja 2025. i pokriva IKT rizike, incidente, testiranje otpornosti, informacijsko dijeljenje i rizik trećih strana. U Hrvatskoj provedbu uređuje NN 136/2024, uz HNB i HANFA nadležnosti. Vi-Di.me ne certificira DORA usklađenost, nego pomaže tehnički pripremiti email, M365/cloud, backup, incident procedure, dobavljače i dokazivu dokumentaciju.

SADRŽAJ

  1. 01Što je DORA i zašto je bitna
  2. 02Točni datumi i hrvatski kontekst
  3. 03Na koga se DORA odnosi
  4. 04DORA nije obveza za svaku malu tvrtku
  5. 05DORA vs NIS2/ZKS: kratka razlika
  6. 06Što se traži u praksi
  7. 07Kako Vi-Di.me može pomoći bez lažnog obećanja compliancea
  8. 08Checklist za prvi DORA readiness audit
01

Što je DORA i zašto je bitna

DORA je skraćenica za Digital Operational Resilience Act, odnosno Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti financijskog sektora. Cilj nije samo spriječiti napade, nego osigurati da financijski subjekt može izdržati IKT poremećaj, reagirati, oporaviti se i dokazati kako upravlja rizikom.

U praksi, DORA spaja sigurnost, kontinuitet, dobavljače, incidente, testiranje i upravljanje. Zato nije dovoljno napisati politiku ili kupiti jedan alat. Treba imati sustav kontrola koji se može pokazati.

02

Točni datumi i hrvatski kontekst

DORA je donesena 14. prosinca 2022., stupila je na snagu 16. siječnja 2023., a primjenjuje se od 17. siječnja 2025. U Hrvatskoj je provedbeni okvir uređen Zakonom o provedbi Uredbe (EU) 2022/2554, objavljenim u Narodnim novinama 136/2024.

Zato DORA ne smije biti predstavljena kao regulativa koja tek počinje 2026. Točan 2026. kontekst postoji samo za specifične prijelazne situacije navedene u hrvatskom provedbenom zakonu, a ne kao opći početak primjene.

03

Na koga se DORA odnosi

DORA cilja financijski sektor: banke i kreditne institucije, platne institucije, institucije za elektronički novac, investicijska društva, dio kripto sektora, tržišne infrastrukture, fondove, osiguratelje, mirovinski sektor, kreditne rejting agencije, crowdfunding pružatelje i druge regulirane financijske subjekte.

Važan dio su i IKT treće strane. Nisu svi dobavljači automatski pod izravnim EU nadzorom, ali financijski subjekti moraju upravljati rizikom svojih IKT dobavljača. To znači da IT tvrtka, cloud dobavljač, hosting partner, MSP ili sigurnosna agencija može dobiti strože ugovorne i dokazne zahtjeve od financijskog klijenta.

04

DORA nije obveza za svaku malu tvrtku

Jedna od najopasnijih SEO grešaka je pisati da DORA vrijedi za sve tvrtke. To nije točno. Za običnu malu tvrtku izvan financijskog sektora obično je relevantniji ZKS/NIS2 kontekst, GDPR, ugovorni zahtjevi partnera i realni poslovni rizik.

Ipak, mala IT ili digitalna tvrtka može postati dio DORA razgovora ako radi za banku, osiguravatelja, platnu instituciju, fintech ili drugi financijski subjekt. Tada pitanje nije samo "jesmo li obveznik", nego "možemo li dokazati kontrole koje financijski klijent traži".

05

DORA vs NIS2/ZKS: kratka razlika

DORA je izravno primjenjiva EU uredba za digitalnu operativnu otpornost financijskog sektora. ZKS je hrvatski Zakon o kibernetičkoj sigurnosti kojim se u nacionalno pravo prenosi NIS2 direktiva i uređuje širi sustav ključnih i važnih subjekata.

Preklapanje postoji jer oba okvira govore o upravljanju rizicima, incidentima, kontinuitetu i dobavljačima. Ali DORA je specifična za financijski sektor i detaljno uređuje IKT rizik, digitalnu otpornost i treće strane u tom sektoru.

06

Što se traži u praksi

DORA u praksi otvara pet operativnih tema:

  • IKT risk management - znati koji sustavi, računi, podaci i dobavljači nose rizik,
  • IKT incidenti - imati proces za klasifikaciju, eskalaciju, prijavu i dokazni trag,
  • testiranje otpornosti - provjeravati može li sustav izdržati i oporaviti se,
  • treće strane - mapirati dobavljače, kritičnost, ugovore i sigurnosne zahtjeve,
  • informacijska razmjena - strukturirano učiti iz prijetnji, ranjivosti i incidenata.
07

Kako Vi-Di.me može pomoći bez lažnog obećanja compliancea

Vi-Di.me pomaže u tehničkom i operativnom dijelu DORA pripreme. To uključuje:

  • audit emaila, domene, Microsoft 365 ili Google Workspace okruženja,
  • MFA/passkeys, admin hardening i provjeru rizičnih pristupa,
  • SPF, DKIM, DMARC, MTA-STS, TLS-RPT i monitoring pošiljatelja,
  • backup/restore testove za Exchange, OneDrive, SharePoint, Teams i ključne podatke,
  • incident playbook za phishing, BEC, kompromitaciju računa i ransomware sumnju,
  • evidenciju IKT dobavljača, tehničkih kontrola, izuzetaka i mjesečnih provjera.

Ne tvrdimo da time sami potvrđujemo DORA usklađenost. Pravnu kvalifikaciju, konačan scope i formalnu usklađenost klijent potvrđuje sa svojim compliance ili pravnim savjetnikom.

08

Checklist za prvi DORA readiness audit

  • Popis financijskih usluga, kritičnih procesa i IKT sustava koji ih podržavaju.
  • Popis IKT dobavljača: email, cloud, hosting, backup, aplikacije, sigurnost, vanjski administratori.
  • Stanje Microsoft 365/Google Workspace sigurnosti, admin računa i MFA/passkeys zaštite.
  • Stanje SPF, DKIM, DMARC, MTA-STS i TLS-RPT kontrole domene.
  • Backup opseg, restore testovi, odgovorne osobe i dokaz oporavka.
  • Incident postupak: prijava, triage, eskalacija, komunikacija, čuvanje dokaza.
  • Mjesečni izvještaj koji upravi pokazuje što je provjereno i što ostaje otvoreno.

Zatražite DORA readiness audit →

FAQ

Vrijedi li DORA za svaku tvrtku u Hrvatskoj?

Ne. DORA je sektorski financijski okvir. Izravno cilja regulirane financijske subjekte i relevantne IKT treće strane, dok ostale tvrtke mogu biti zahvaćene ugovorno ako pružaju IKT usluge financijskim klijentima.

Od kada se DORA primjenjuje?

DORA se primjenjuje od 17. siječnja 2025. U Hrvatskoj je provedbeni zakon objavljen kao NN 136/2024. Ne treba je predstavljati kao novu obvezu koja tek počinje 2026.

Koja je razlika između DORA-e i ZKS/NIS2?

DORA je EU uredba i sektorski okvir za financijski sektor. ZKS je hrvatski zakon koji prenosi NIS2 i pokriva širi horizontalni okvir za ključne i važne subjekte.

Može li Vi-Di.me potvrditi DORA usklađenost?

Ne. Vi-Di.me ne izdaje pravnu potvrdu ni certifikat DORA usklađenosti. Pomažemo pripremiti i dokumentirati tehničke i operativne kontrole koje se koriste u širem compliance programu.

IZVORI I PROVJERE

Regulation (EU) 2022/2554 on digital operational resilience for the financial sectorEUR-LexZakon o provedbi Uredbe (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor, NN 136/2024Narodne novineDigitalna operativna otpornostHrvatska narodna bankaDigitalna otpornostHANFADigital Operational Resilience ActEuropean Banking AuthorityZakon o kibernetičkoj sigurnosti, NN 14/2024Narodne novine
DORAdigitalna operativna otpornostNIS2ZKSHNBHANFAfinancijski sektorICT rizikcompliance
BESPLATNO

Trebate konkretnu pomoć?

Besplatna analiza Vašeg biznisa — pogledamo web, SEO poziciju i konkurenciju. Dobijete izvještaj s konkretnim preporukama. 48 sati, bez obveze.

Besplatna analizaWhatsApp

POVEZANI ČLANCI

SIGURNOST

Zakon o kibernetičkoj sigurnosti (NN 14/2024): što tvrtke u Hrvatskoj moraju znati

Zakon o kibernetičkoj sigurnosti nije samo tema za velike sustave. Objašnjavamo što NN 14/2024 i NIS2 znače za hrvatske tvrtke, kako se radi prvi audit i zašto je email sigurnost praktičan početak.

Čitaj više
SIGURNOST

Microsoft 365 sigurnost za tvrtke: email, backup, phishing i dozvole bez slijepih točaka

Microsoft 365 nije automatski siguran samo zato što je Microsoft. Treba postaviti email autentikaciju, backup, dozvole, awareness, admin pristupe i incident postupke.

Čitaj više
SIGURNOST

Microsoft 365 backup i ransomware oporavak: što tvrtke moraju znati prije incidenta

Microsoft 365 ima snažnu infrastrukturu, ali to ne znači da tvrtka ima svoj testiran plan oporavka. Backup, retencija, arhiva i continuity nisu ista stvar.

Čitaj više
SIGURNOST

BEC prijevara i lažni računi: kako napadači mijenjaju IBAN bez hakiranja Vaše tvrtke

Lažni račun, promjena IBAN-a i poruka direktora često ne traže malware. Dovoljan je uvjerljiv email, slab proces plaćanja i domena bez jasne autentikacije.

Čitaj više
Natrag na blog