DORA priprema za financijski sektor i ICT dobavljače.
Tehnička i operativna podrška za DORA readiness: IKT rizici, incident postupci, backup/restore, dobavljači, Microsoft 365/email kontrole i dokumentacija koja se može pokazati u širem compliance programu.
DORA nije još jedan generički security checklist.
DORA je Uredba (EU) 2022/2554 za digitalnu operativnu otpornost financijskog sektora. Primjenjuje se od 17. siječnja 2025. i traži da financijski subjekti mogu upravljati IKT rizicima, prijavljivati značajne IKT incidente, testirati otpornost i nadzirati IKT dobavljače.
Vi-Di.me ne certificira DORA usklađenost i ne daje pravni savjet. Pomažemo u tehničkoj pripremi: email i Microsoft 365 kontrole, identiteti, backup/restore, incident playbook, evidencija dobavljača i dokumentacija koju klijent može uključiti u širi compliance program.
Gdje DORA najčešće postane operativni problem
Scope nije jasno odvojen od ZKS/NIS2
DORA je sektorski financijski okvir. Nije automatska obveza za svaku hrvatsku tvrtku, ali može snažno utjecati na ICT dobavljače financijskog sektora kroz ugovore i procjene rizika.
Dobavljači postoje u računima, ali ne u evidenciji rizika
Cloud, email, backup, hosting, aplikacije i vanjski administratori moraju biti mapirani kao IKT ovisnosti, osobito kada podržavaju ključne ili važne funkcije.
Incident postupak nije dovoljno konkretan
DORA traži upravljanje IKT incidentima. U praksi to znači jasan kanal prijave, klasifikaciju, eskalaciju, čuvanje dokaza i komunikaciju s odgovornim osobama.
Backup postoji, ali oporavak nije dokazan
Digitalna otpornost nije samo kopija podataka. Potreban je dokaz da se Exchange, SharePoint, OneDrive, Teams ili ključne aplikacije mogu vratiti u realnom scenariju.
Što Vi-Di.me može pripremiti
DORA readiness audit
Mapiranje IKT sustava, emaila, Microsoft 365/Google Workspace okruženja, backup-a, pristupa, dobavljača i incident postupka.
Tehničke kontrole
MFA/passkeys, admin hardening, SPF/DKIM/DMARC, MTA-STS/TLS-RPT, backup/restore testovi, logging i sigurnosne edukacije.
Treće strane i dokazi
Popis IKT dobavljača, uloga, rizika, kritičnosti, ugovornih sigurnosnih zahtjeva i dokaza o postavljenim kontrolama.
Incident i oporavak
Operativni playbook za phishing, BEC, kompromitaciju računa, ransomware sumnju, gubitak pristupa i provjeru oporavka.
Kako radimo DORA pripremu bez overclaimova
Prvo razdvajamo obveznika, ICT dobavljača i neobveznika s ugovornim zahtjevima; pravnu kvalifikaciju klijent potvrđuje s compliance/pravnim savjetnikom.
Radimo tehnički audit IKT ovisnosti: email, identiteti, cloud, backup, dobavljači, incidenti i pristupi.
Uvodimo kontrole koje smanjuju stvarni rizik i proizvode dokaze: konfiguracije, izvještaje, restore testove i evidenciju izuzetaka.
Predajemo dokumentiran plan poboljšanja koji se može uklopiti u širi DORA, ZKS/NIS2, GDPR ili ugovorni program.
Kontrole i tehnologije koje najčešće povezujemo
Nastavite prema povezanim vodičima.
Glavni hub kibernetičke sigurnosti
Širi pregled rizika, kontrola, partnera i provjerenih izvora za hrvatske tvrtke.
OtvoriEmail sigurnost i DMARC
SPF, DKIM, DMARC, spoofing, MTA-STS, TLS-RPT i sigurnost poslovne domene.
OtvoriDMARC vodič za Hrvatsku
Praktično objašnjenje DMARC-a i postupnog prelaska prema strožoj politici.
OtvoriDORA, NIS2 i ZKS vodič
Detaljan blog vodič o razlikama, scopeu, obveznicima i praktičnim kontrolama.
OtvoriZKS/NIS2 priprema
Širi hrvatski kibernetički okvir za ključne i važne subjekte i tehničke kontrole.
OtvoriMicrosoft 365 backup i ransomware oporavak
Kako razlikovati retenciju, Microsoft 365 Backup i treće backup module u praksi.
OtvoriProvjerljive informacije.
Regulation (EU) 2022/2554 on digital operational resilience for the financial sector
Zakon o provedbi Uredbe (EU) 2022/2554, NN 136/2024
Digitalna operativna otpornost
Digitalna otpornost
Digital Operational Resilience Act
Zakon o kibernetičkoj sigurnosti, NN 14/2024
Zakon o kibernetičkoj sigurnosti
Email sender guidelines
Česta pitanja.
Vrijedi li DORA za svaku tvrtku u Hrvatskoj?
Ne. DORA cilja regulirane financijske subjekte i IKT treće strane u financijskom sektoru. Druge tvrtke mogu biti zahvaćene ugovorno ako rade za financijske klijente.
Je li DORA isto što i ZKS/NIS2?
Ne. DORA je EU uredba za digitalnu operativnu otpornost financijskog sektora. ZKS je hrvatski zakon koji prenosi NIS2 i pokriva širi skup ključnih i važnih subjekata.
Može li Vi-Di.me potvrditi DORA usklađenost?
Ne dajemo pravnu potvrdu ni certifikaciju usklađenosti. Pomažemo tehnički pripremiti i dokumentirati kontrole, dok opseg obveza klijent potvrđuje s pravnim ili compliance savjetnikom.
DORA priprema mora biti dokaziva, ne deklarativna.
Krenimo od scopea, IKT ovisnosti i kontrola koje se mogu stvarno provjeriti: email, identitet, backup, incident, dobavljači i izvještaji.