DORA mută răspunderea pentru securitatea digitală de la IT în boardroom. Cum arată primul an de aplicare a regulamentului european?

La un an de la intrarea în vigoare a DORA, reziliența digitală nu mai poate fi tratată ca „anexă IT” a unei instituții financiare. Regulamentul DORA, dedicat entităților financiar-bancare din UE, a schimbat centrul de greutate al răspunderii.

Riscul cibernetic și riscul operațional digital au fost urcate explicit pe agenda executivă și în responsabilitatea board-ului, spune Cristiana Deca, expert cybersecurity, CEO&cofondator Decalex Digital.

În acest interval, primele semnale sunt clare: crește volumul raportărilor de incidente ICT, relația cu furnizorii cloud devine mai strict reglementată, iar conformarea începe să arate mai degrabă ca un program de guvernanță decât ca un proiect punctual de conformitate. Întrebarea care separă însă instituțiile „reactive” de cele „mature” nu este dacă DORA generează costuri, ci dacă aceste investiții se traduc în trasabilitate reală, capacitate de răspuns și continuitate operațională — adică în avantaj competitiv.

Industria românească pierde teren la început de an. Scăderi pe linie în principalele sectoare

20:03

Salariile cresc, dar nu țin pasul cu inflația. Datele oficiale arată realitatea din buzunarele românilor

17:54

Digitalizare și reziliența financiară a companiilor

„Cum și-a recalibrat Europa reziliența digitală financiară și cum stă România la un an de la adoptarea Regulamentului DORA dedicat entităților financiar-bancar din Uniune, câte incidente majore s-au produs în acest timp, câte au fost raportate și cum s-au conformat jucătorii din piața financiară regulilor impuse, ce costuri în plus a generat conformarea?”

Sunt doar câteva dintre întrebările pe care le analizează Cristiana Deca, expert cybersecurity,  la un an de la intrarea în vigoare a reglementării, într-o analiză pe care o redăm în continuare. Este vorba despre Regulamentul (UE) 2022/2554 Digital Operational Resilience Act (DORA), intrat în vigoare la 17 ianuarie 2025. După un an, sunt rezultate vizibile în creșterea raportărilor incidentelor IT, relația cu furnizorii cloud mai intensă, fiind mai strict reglementată, iar reziliența operațională digitală a trecut din zona de conformitate formală în cea de guvernanță strategică.

Boardul companiilor, direct responsabil de implementarea tehnologiei

„DORA mută reziliența digitală din zona tehnică în sfera responsabilității executive. Pentru investitori și autorități, capacitatea unei instituții de a gestiona riscul cibernetic devine un indicator de guvernanță comparabil cu solvabilitatea, lichiditatea sau adecvarea capitalului. Prin urmare, întrebarea corectă nu este dacă DORA generează costuri, ci dacă organizațiile (bănci și alte entități financiar-bancare) folosesc acest cadru pentru a-și consolida modelul operațional și poziția competitivă.

Regulamentul impune instituțiilor financiare să clasifice incidentele legate de tehnologia informației și comunicațiilor (ICT) pe baza unor criterii clar definite: impactul asupra serviciilor, durata întreruperii, pierderile economice sau impactul reputațional. De asemenea, instituțiile trebuie să raporteze „incidente majore” către autorități și, după caz, să notifice clienții sau publicul, dacă incidentul are un impact semnificativ — în funcție de normele tehnice adoptate.

Riscul cibernetic, gestionat de top management

DORA este primul cadru european care tratează reziliența digitală ca element structural al stabilității financiare. Regulamentul armonizează gestionarea riscului ICT, raportarea incidentelor, testarea rezilienței digitale și supravegherea furnizorilor terți critici, într-un model unitar de control și responsabilitate. Se aplică direct tuturor entităților financiare relevante – fără transpunere națională – ceea ce elimină marja de interpretare și crește presiunea asupra implementării efective.

Spre deosebire de reglementările anterioare, DORA nu mai tratează riscul cibernetic ca pe o zonă tehnică izolată, ci îl poziționează în centrul stabilității financiare sistemice și îl transferă explicit în sfera responsabilității executive și a board-ului.

Pentru instituții, implicația este clară: conformitatea DORA nu este un proiect IT, ci un program integrat de guvernanță digitală, cu impact direct asupra continuității operaționale, încrederii pieței și valorii pe termen lung. Deși cifrele consolidante la nivelul UE privind numărul total de incidente raportate abia sunt coagulate, se observă o creștere a ratei de raportare a incidentelor ICT (inclusiv cele cu impact redus).

Mai multe incidente de securitate cibernetică raportate

Instituțiile financiare raportează acum mai multe incidente decât în trecut, în special cele de nivel operațional inferior, care anterior ar fi rămas interne. Acest lucru se datorează faptului că DORA standardizează și mărește transparența proceselor de detectare și raportare, aceasta fiind o tendință raportată preliminar în 2025, chiar dacă datele publice finale nu sunt încă disponibile.

Apoi, pentru că Regulamentul permite și rapoarte voluntare privind amenințările care nu s- au materializat ca incidente majore, dar care ar putea duce la astfel de incidente, este o inovație față de alte regimuri de raportare a incidentelor. Ca tendință, apare și aici o creștere de volum al datelor comunicate la nivel de UE. Tipologiile dominante raportate în primul an include atacuri ransomware, atacuri DDoS, indisponibilitate infrastructură cloud, breșe de date,  incidente generate de furnizori terți ICT,  erori interne de configurare.
Un capitol cu impact structural este desemnarea furnizorilor ICT critici la nivel european, tocmai pentru a minimiza efectele în lanț ale unor posibile incidente. Printre entitățile vizate se numără Amazon Web Services, Microsoft și Google Cloud, care, pentru prima data în istoria lor de business, pot fi supravegheați direct, nu doar indirect, prin instituțiile financiare-clienți.

România în context european

În România, implementarea DORA a fost coordonată prin mecanismele existente de supraveghere ale Băncii Naționale a României (BNR) pentru sistemul bancar clasic și, respectiv, Autoritatea de Supraveghere Financiară (ASF) pentru instituțiile financiare non- bancare și alte entități ale pieței de capital
Datele publice consolidate privind numărul exact al incidentelor raportate nu sunt încă publicate, însă evaluările sectoriale indică, aidoma zonei UE, o creștere a raportării incidentelor ransomware, intensificarea notificărilor privind indisponibilitatea serviciilor externalizate. Raportat la dimensiunea pieței financiare (active bancare ~52% din PIB), România înregistrează o rată estimativă de incidente majore mai redusă decât statele cu sisteme financiare foarte digitalizate (Germania, Olanda, Franța)”, se arată în analiza Cristianei Deca.