DORA mută răspunderea pentru securitatea digitală de la IT în boardroom. Cum arată primul an de aplicare a regulamentului european?

La un an de la intrarea în vigoare a DORA, reziliența digitală nu mai poate fi tratată ca „anexă IT” a unei instituții financiare. Regulamentul DORA, dedicat entităților financiar-bancare din UE, a schimbat centrul de greutate al răspunderii.

Riscul cibernetic și riscul operațional digital au fost urcate explicit pe agenda executivă și în responsabilitatea board-ului, spune Cristiana Deca, expert cybersecurity, CEO&cofondator Decalex Digital.

În acest interval, primele semnale sunt clare: crește volumul raportărilor de incidente ICT, relația cu furnizorii cloud devine mai strict reglementată, iar conformarea începe să arate mai degrabă ca un program de guvernanță decât ca un proiect punctual de conformitate. Întrebarea care separă însă instituțiile „reactive” de cele „mature” nu este dacă DORA generează costuri, ci dacă aceste investiții se traduc în trasabilitate reală, capacitate de răspuns și continuitate operațională — adică în avantaj competitiv.

Boom-ul AI, susținut de acorduri de infrastructură de miliarde $

17:58

ANALIZĂ

China: Energia solară depășește în premieră energia eoliană

14:22

Digitalizare și reziliența financiară a companiilor

„Cum și-a recalibrat Europa reziliența digitală financiară și cum stă România la un an de la
adoptarea Regulamentului DORA dedicat entităților financiar-bancar din Uniune, câte
incidente majore s-au produs în acest timp, câte au fost raportate și cum s-au conformat
jucătorii din piața financiară regulilor impuse, ce costuri în plus a generat conformarea?”

Sunt doar câteva dintre întrebările pe care le analizează Cristiana Deca, expert cybersecurity,  la un an de la intrarea în vigoare a reglementării, într-o analiză pe care o redăm în continuare. Este vorba despre Regulamentul (UE) 2022/2554 Digital Operational Resilience Act (DORA), intrat în vigoare
la 17 ianuarie 2025. După un an, sunt rezultate vizibile în creșterea raportărilor incidentelor IT, relația cu
furnizorii cloud mai intensă, fiind mai strict reglementată, iar reziliența operațională digitală
a trecut din zona de conformitate formală în cea de guvernanță strategică.

Boardul companiilor, direct responsabil de implementarea tehnologiei

„DORA mută reziliența digitală din zona tehnică în sfera responsabilității executive. Pentru
investitori și autorități, capacitatea unei instituții de a gestiona riscul cibernetic devine un
indicator de guvernanță comparabil cu solvabilitatea, lichiditatea sau adecvarea
capitalului. Prin urmare, întrebarea corectă nu este dacă DORA generează costuri, ci dacă
organizațiile (bănci și alte entități financiar-bancare) folosesc acest cadru pentru a-și
consolida modelul operațional și poziția competitivă.

Regulamentul impune instituțiilor financiare să clasifice incidentele legate de tehnologia
informației și comunicațiilor (ICT) pe baza unor criterii clar definite: impactul asupra
serviciilor, durata întreruperii, pierderile economice sau impactul reputațional. De
asemenea, instituțiile trebuie să raporteze „incidente majore” către autorități și, după caz,
să notifice clienții sau publicul, dacă incidentul are un impact semnificativ — în funcție de
normele tehnice adoptate.

Riscul cibernetic, gestionat de top management

DORA este primul cadru european care tratează reziliența digitală ca element structural al
stabilității financiare. Regulamentul armonizează gestionarea riscului ICT, raportarea
incidentelor, testarea rezilienței digitale și supravegherea furnizorilor terți critici, într-un
model unitar de control și responsabilitate. Se aplică direct tuturor entităților financiare
relevante – fără transpunere națională – ceea ce elimină marja de interpretare și crește
presiunea asupra implementării efective.

Spre deosebire de reglementările anterioare, DORA nu mai tratează riscul cibernetic ca pe o
zonă tehnică izolată, ci îl poziționează în centrul stabilității financiare sistemice și îl transferă
explicit în sfera responsabilității executive și a board-ului.

Pentru instituții, implicația este clară: conformitatea DORA nu este un proiect IT, ci un
program integrat de guvernanță digitală, cu impact direct asupra continuității operaționale,
încrederii pieței și valorii pe termen lung. Deși cifrele consolidante la nivelul UE privind
numărul total de incidente raportate abia sunt coagulate, se observă o creștere a ratei de
raportare a incidentelor ICT (inclusiv cele cu impact redus).

Mai multe incidente de securitate cibernetică raportate

Instituțiile financiare raportează acum mai multe incidente decât în trecut, în special cele de
nivel operațional inferior, care anterior ar fi rămas interne. Acest lucru se datorează faptului
că DORA standardizează și mărește transparența proceselor de detectare și raportare,
aceasta fiind o tendință raportată preliminar în 2025, chiar dacă datele publice finale nu
sunt încă disponibile.

Apoi, pentru că Regulamentul permite și rapoarte voluntare privind amenințările care nu s-
au materializat ca incidente majore, dar care ar putea duce la astfel de incidente, este o
inovație față de alte regimuri de raportare a incidentelor. Ca tendință, apare și aici o
creștere de volum al datelor comunicate la nivel de UE. Tipologiile dominante raportate în
primul an include atacuri ransomware, atacuri DDoS, indisponibilitate infrastructură cloud,
breșe de date,  incidente generate de furnizori terți ICT,  erori interne de configurare.
Un capitol cu impact structural este desemnarea furnizorilor ICT critici la nivel european,
tocmai pentru a minimiza efectele în lanț ale unor posibile incidente. Printre entitățile vizate
se numără Amazon Web Services, Microsoft și Google Cloud, care, pentru prima data în
istoria lor de business, pot fi supravegheați direct, nu doar indirect, prin instituțiile
financiare-clienți.

România în context european

În România, implementarea DORA a fost coordonată prin mecanismele existente de
supraveghere ale Băncii Naționale a României (BNR) pentru sistemul bancar clasic și,
respectiv, Autoritatea de Supraveghere Financiară (ASF) pentru instituțiile financiare non-
bancare și alte entități ale pieței de capital
Datele publice consolidate privind numărul exact al incidentelor raportate nu sunt încă
publicate, însă evaluările sectoriale indică, aidoma zonei UE, o creștere a raportării

incidentelor ransomware, intensificarea notificărilor privind indisponibilitatea serviciilor
externalizate. Raportat la dimensiunea pieței financiare (active bancare ~52% din PIB),
România înregistrează o rată estimativă de incidente majore mai redusă decât statele cu
sisteme financiare foarte digitalizate (Germania, Olanda, Franța)”, se arată în analiza Cristianei Deca.