Sari la conținut
Toate resursele
DORAActualizat 3 iulie 2026 · 11 min de citit

Ghid DORA: reziliența digitală a sectorului financiar, de la registrul informațiilor la ceasul de raportare

DORA este legea europeană care obligă sectorul financiar să reziste digital: bănci, asigurători, firme de investiții, furnizori de servicii cripto și pensii private răspund după aceleași reguli pentru riscul IT, incidentele majore și furnizorii de tehnologie. Regulamentul se aplică integral din 17 ianuarie 2025 — ghidul de față îți explică cine intră sub el, ce cere concret pe cele cinci arii și cum funcționează ceasul de raportare a incidentelor.

01Ce este DORA — și de ce e regulament, nu directivă

DORA (Digital Operational Resilience Act) este Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar. Spre deosebire de NIS2, care e directivă și a avut nevoie de o lege românească de transpunere, DORA e regulament: se aplică direct și identic în toată Uniunea, fără variații naționale. A intrat în vigoare în ianuarie 2023, iar obligațiile se aplică efectiv din 17 ianuarie 2025.

Logica lui: sectorul financiar depinde complet de tehnologie, iar un incident IT major la o bancă sau la un furnizor cloud comun poate destabiliza piața. DORA mută accentul de la „ai capital suficient?” la „îți funcționează sistemele și când sunt atacate?”.

02Cine intră sub DORA în România

DORA acoperă aproape tot sectorul financiar reglementat: bănci și instituții de credit, firme de investiții, instituții de plată și de monedă electronică, societăți de asigurare și reasigurare, intermediari de asigurări, administratori de fonduri, contrapărți centrale, furnizori de servicii de criptoactive, instituții de pensii ocupaționale și altele — plus, indirect, furnizorii ICT care îi deservesc. Există proporționalitate: microîntreprinderile și unele entități mici au cerințe simplificate, iar anumiți intermediari foarte mici sunt exceptați.

În România, supravegherea o fac autoritățile competente sectoriale: BNR pentru instituțiile de credit, de plată și de monedă electronică, respectiv ASF pentru piața de capital, asigurări și pensii private.

03Cele cinci arii de cerințe

  • Guvernanța și managementul riscului ICT (art. 5–16): conducerea răspunde direct; cadru documentat de gestionare a riscului IT, strategie de reziliență, politici pe acces, continuitate, backup și recuperare.
  • Raportarea incidentelor ICT majore (art. 17–23): clasificare după criterii comune, raportare către autoritatea competentă pe trei pași cu termene stricte (tabelul de mai jos).
  • Testarea rezilienței operaționale digitale (art. 24–27): program de testare proporțional cu riscurile; pentru entitățile semnificative, teste avansate de penetrare bazate pe amenințări (TLPT) cel puțin o dată la 3 ani.
  • Riscul terților ICT (art. 28–44): due diligence pe furnizori, clauze contractuale obligatorii, registrul informațiilor cu toate acordurile contractuale ICT (art. 28(3)) — iar furnizorii ICT critici la nivel UE intră sub supravegherea directă a autorităților europene.
  • Schimbul de informații (art. 45): entitățile financiare pot face schimb voluntar de informații despre amenințări cibernetice, în cadre protejate.

04Registrul informațiilor, pas cu pas

Registrul informațiilor e evidența completă a tuturor acordurilor contractuale cu furnizori ICT — de la cloud și core banking până la SaaS-uri mărunte. Pentru fiecare furnizor documentezi: ce servicii îți livrează, ce funcții ale afacerii susțin, dacă funcția e critică sau importantă, ce date atinge, ce clauze de reziliență are contractul și ce plan de ieșire ai. Autoritatea competentă îl poate cere oricând — iar la primele colectări, calitatea registrelor a fost principala problemă semnalată de autoritățile europene. Începe cu inventarul furnizorilor și clasificarea funcțiilor critice: e fundația întregii conformități DORA.

05Ceasul de raportare a incidentelor majore

Termenele exacte vin din standardul tehnic de raportare — Regulamentul delegat (UE) 2025/301. Raportarea are trei pași înlănțuiți, iar ceasul pornește de la clasificarea incidentului ca major:

PasulTermenulCe conține
Notificarea inițială4 ore de la clasificarea ca major, cel târziu 24 de ore de la detectarece s-a întâmplat, când, impactul preliminar
Raportul intermediar72 de ore de la trimiterea notificării inițialeactualizare de status, indicatori de impact, măsurile luate
Raportul final1 lună de la trimiterea raportului intermediaranaliza cauzei-rădăcină, impactul real, măsurile de remediere

06Relația DORA–NIS2: lex specialis

Multe entități financiare ar intra, pe hârtie, și sub NIS2 (sectorul bancar e în Anexa I). Regula de coliziune e clară: DORA e lex specialis — legea specială are prioritate. Pentru riscul ICT și raportarea incidentelor, entitățile financiare aplică DORA, nu NIS2; un incident se raportează pe UN singur ceas, către autoritatea competentă financiară, nu către DNSC. Asta simplifică viața: un cadru, o autoritate, un set de termene.

07Sancțiuni și supraveghere

Spre deosebire de NIS2 și GDPR, DORA nu fixează un plafon de amendă unic la nivel european pentru entitățile financiare: autoritățile competente (BNR/ASF) au puteri de supraveghere, investigare și sancționare conform cadrului național — de la măsuri corective obligatorii până la amenzi administrative și publicarea încălcării. Pentru furnizorii ICT critici supravegheați la nivel UE există însă penalități explicite: până la 1% din cifra de afaceri zilnică medie mondială, aplicabilă zilnic până la conformare. Pentru o entitate reglementată, costul real al neconformității e adesea relația cu supraveghetorul — care îți poate restricționa activitatea.

08De unde începi: 5 pași practici

  • Confirmă că intri sub DORA și cine e autoritatea ta competentă (BNR sau ASF).
  • Fă inventarul furnizorilor ICT și clasifică funcțiile critice sau importante — fundația registrului informațiilor.
  • Evaluează-ți cadrul de risc ICT față de cerințele art. 5–16: guvernanță, politici, backup, continuitate, acces.
  • Pune pe picioare procedura de clasificare și raportare a incidentelor, cu roluri și șabloane pregătite pe cei trei pași.
  • Planifică testarea: program anual proporțional, iar dacă ești entitate semnificativă, pregătește-te de TLPT.

09Cum te ajută Normward

În Normward, DORA e un catalog complet de 43 de controale evaluabile, organizate pe cele cinci arii, cu referințele exacte la articolele regulamentului — evaluezi politică + implementare, vezi scorul și lacunele, primești plan de remediere. Registrul informațiilor (art. 28(3)) se generează cu AI direct din lista ta reală de furnizori, cu câmpurile lipsă marcate onest „[de completat]”. Iar în modulul de incidente, ceasul de raportare DORA e implementat cu termenele exacte din RTS 2025/301 — cu ghidaj AI pentru fiecare pas, adresat autorității tale competente.

DORA, în cifre

Actul de bază
Regulamentul (UE) 2022/2554 — aplicabil direct, fără transpunere
Se aplică din
17 ianuarie 2025
Termenele de raportare
4h/24h → 72h → 1 lună (RTS 2025/301)
Autoritățile în România
BNR și ASF, pe sectoare
Ariile de cerințe
5: risc ICT, incidente, testare, terți ICT, schimb de informații

Surse și texte oficiale

Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit de eligibilitate — sector, mărime, servicii → verdictul și nivelul tău de clasificare.

Citește și