Regulamentul DORA: ce companii sunt vizate, din ce industrii si ce trebuie sa faca

15 iul. 2026 15 iul. 2026
Ghid complet pentru companiile din Romania: cine intra sub incidenta regulamentului european de rezilienta digitala, care sunt cerintele si cum arata un parcurs realist de conformare.
Regulamentul DORA: ce companii sunt vizate, din ce industrii si ce trebuie sa faca

Ce este regulamentul DORA?

DORA (Digital Operational Resilience Act) este Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar. A intrat în vigoare la 16 ianuarie 2023 și se aplică efectiv din 17 ianuarie 2025.

Spre deosebire de o directivă, DORA este un regulament european — ceea ce înseamnă că se aplică direct și uniform în toate statele membre, inclusiv România, fără să necesite transpunere în legislația națională.

PE SCURT

DORA impune companiilor din sectorul financiar sa demonstreze ca pot rezista, raspunde si se recupera in urma oricarui tip de incident ICT (tehnologia informatiei si comunicatiilor) — de la o pana de sistem la un atac cibernetic major.

Contextul este relevant: conform datelor Comisiei Europene, numărul atacurilor cibernetice asupra sectorului financiar european s-a dublat in ultimii 3 ani. DORA nu este un exercițiu birocratic — este răspunsul reglementatorilor la o amenințare reală și în creștere.

Ce companii sunt vizate de DORA? Lista completă a celor 21 de categorii

Articolul 2(1) al regulamentului definește 21 de categorii de entități financiare care intră sub incidența DORA. Dacă organizația dumneavoastră se încadrează în oricare dintre aceste categorii, conformarea este obligatorie.

Instituții financiare traditionale

# Categorie Exemple
1 Institutii de credit Banci comerciale, banci de economii, cooperative de credit
2 Instituții de plată Procesatori de plati, servicii de transfer de bani
3 Instituții de monedă electronica Emitenti de e-money, portofele digitale
4 Firme de investitii Brokeri, dealeri, firme de administrare a portofoliilor
5 Furnizori de servicii de informatii privind conturile Agregatori de conturi bancare (open banking)

Asigurari și pensii

# Categorie Exemple
6 Societati de asigurare Asiguratori de viata, sanatate, bunuri, RCA
7 Societati de reasigurare Reasiguratori care acopera riscurile altor asiguratori
8 Intermediari de asigurări Brokeri de asigurări, agenți
9 Institutii pentru pensii ocupationale Fonduri de pensii private, scheme ocupationale

Managementul activelor

# Categorie Exemple
10 Manageri de fonduri alternative de investitii Hedge funds, private equity, fonduri imobiliare
11 Societati de administrare a OPCVM-urilor Administratori de fonduri mutuale

Infrastructura pietelor

# Categorie Exemple
12 Depozitari centrali de instrumente financiare Depozitarul Central (in Romania)
13 Contraparti centrale (CCP) Case de compensare
14 Locuri de tranzactionare Bursa de Valori București, piețe reglementate, MTF-uri
15 Registre de tranzactii Registre pentru derivate OTC
16 Registre de securitizare Registre pentru operatiuni de securitizare
17 Furnizori de servicii de raportare a datelor APA, CTP, ARM

Servicii financiare emergente si altele

# Categorie Exemple
18 Furnizori de servicii cripto Exchange-uri de criptomonede, custozi de active digitale
19 Furnizori de servicii de crowdfunding Platforme de finanțare participativa
20 Agentii de rating de credit Agentii de evaluare a riscului de credit
21 Administratori de indici de referinta critici Administratori EURIBOR, ROBOR

IMPORTANT: FURNIZORII ICT SUNT SI EI VIZATI

DORA nu se oprește la entitățile financiare. Furnizorii terți de servicii ICT — inclusiv furnizori de cloud, hosting, software, securitate cibernetică și externalizare IT — intră sub supravegherea directă a autorităților europene dacă sunt clasificați drept „critici". Furnizorii din afara UE care deservesc entități financiare europene trebuie să înființeze o filială în UE.

Exceptia pentru microintreprinderi

Companiile cu mai puțin de 10 angajați și o cifră de afaceri sub 2 milioane EUR beneficiază de un cadru simplificat de gestionare a riscurilor ICT (Articolul 16). Cu toate acestea, rămân obligate să raporteze incidentele și să gestioneze riscurile legate de furnizorii terți.

Cele 5 cerinte principale ale DORA

Regulamentul este structurat pe 5 piloni, fiecare cu cerinte specifice:

Gestionarea riscurilor ICT (Art. 5–16)

Fiecare entitate trebuie să implementeze un cadru solid de gestionare a riscurilor informatice. Aceasta presupune desemnarea unor responsabili clari pentru riscul ICT, implicarea directă a conducerii în deciziile privind riscul tehnologic, definirea apetitului de risc și a pragurilor de toleranță și stabilirea unor linii de raportare și responsabilitate la nivel de management.

Raportarea incidentelor ICT (Art. 17–23)

Toate entitățile vizate trebuie să dispună de procese de detecție, gestionare și raportare a incidentelor ICT majore. Raportarea se face catre autoritatile nationale competente (in Romania: BNR, ASF) in termenele stabilite de regulament.

Testarea rezilientei digitale (Art. 24–27)

DORA impune teste periodice de reziliență operațională digitală, inclusiv evaluări de vulnerabilitate și teste bazate pe scenarii. Entitățile financiare semnificative trebuie să efectueze și teste de penetrare ghidate de amenințări (TLPT), cel puțin o dată la 3 ani, realizate de testori externi calificați.

Gestionarea riscurilor legate de furnizori terti ICT (Art. 28–30)

Aceasta este cerința cu cel mai mare impact operațional. Fiecare entitate trebuie să mențină un registru actualizat al tuturor aranjamentelor cu furnizori ICT terți, să efectueze due diligence înainte de semnarea contractelor, să includă clauze specifice DORA în contracte (drepturi de audit, notificare breșeuri, planuri de ieșire) și să monitorizeze continuu performanța și riscurile furnizorilor.

Schimbul de informatii (Art. 45–49)

DORA încurajează entitățile financiare să participe la aranjamente voluntare de schimb de informații privind amenințările cibernetice, în scopul consolidării rezilienței la nivel de sector.

Ce se întâmplă în 2026: de la documentație la dovezi concrete

Autoritățile naționale competente (NCA), împreună cu Autoritățile Europene de Supraveghere (ESA), au trecut în 2026 de la faza de evaluare documentară la verificarea concretă a rezilienței.

Registrul de informații (ROI): acoperă aranjamentele ICT cu terți la data de referință 31 decembrie 2025. Termenul de depunere variaza pe tari — autoritatile europene au consolidat termenul la 30 aprilie 2026.

Autoritățile verifică acum automat datele din Registrul de informații și emit scrisori de supraveghere pentru registrele incomplete sau inexacte — aceasta fiind principala cauză a acțiunilor de supraveghere în primul ciclu de aplicare.

Concret, in 2026 autoritatile solicita:

Dovezi în timp real ale rezilienței operaționale, nu doar politici scrise. Raportare automatizată a incidentelor ICT. Control demonstrabil asupra furnizorilor terti de servicii ICT, inclusiv subcontractorii acestora.

Sanctiuni: ce riscati in caz de neconformare

AMENZI SI PENALITATI

Pentru organizații: până la 20 de milioane EUR sau 10% din cifra de afaceri anuală globală — se aplică valoarea mai mare.

Pentru persoane fizice din conducere: până la 5 milioane EUR.

Pentru furnizorii ICT critici: penalități zilnice de până la 1% din cifra de afaceri globală zilnică, până la remedierea neconformității.

Ce trebuie sa faceti concret: parcurs de conformare in 7 pasi

  • Evaluarea incadrarii

Verificati daca organizatia se incadreaza in una dintre cele 21 de categorii de entitati vizate. Dacă sunteți furnizor ICT pentru entități financiare, verificați dacă sunteți clasificat drept „critic".

  • Analiza de gap față de cerinte

Evaluează nivelul actual de conformitate pe fiecare dintre cei 5 piloni DORA. Identifică diferențele între starea actuală și cerințele regulamentului.

  • Desemnarea responsabilitatilor

Numiți un responsabil pentru riscul ICT la nivel de conducere. Asigurați-vă că managementul este implicat activ în deciziile privind riscurile tehnologice — DORA impune această responsabilitate la nivel de board.

  • Inventarierea si evaluarea furnizorilor ICT terti

Creați și mențineți un registru complet al tuturor furnizorilor ICT, inclusiv subcontractorii acestora. Clasificați fiecare furnizor în funcție de criticitate și evaluați riscul asociat.

  • Actualizarea contractelor

Includeți clauze specifice DORA în toate contractele cu furnizori ICT: drepturi de audit, obligații de notificare a breșelor, planuri de continuitate și strategii de ieșire documentate.

  • Implementarea cadrului de testare

Stabiliți un program de testare a rezilienței digitale: evaluări periodice de vulnerabilitate, teste bazate pe scenarii și, pentru entitățile semnificative, teste TLPT la fiecare 3 ani.

  • Automatizarea raportarii si monitorizarii

Implementați procese și sisteme care permit detecția, clasificarea și raportarea incidentelor ICT în termenele impuse de regulament. In 2026, autoritatile asteapta dovezi automatizate, nu rapoarte manuale.

Cauți o aplicație software?

Completează formularul și vei fi contactat de unul din consultanții noștri!