Ce este regulamentul DORA?
DORA (Digital Operational Resilience Act) este Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar. A intrat în vigoare la 16 ianuarie 2023 și se aplică efectiv din 17 ianuarie 2025.
Spre deosebire de o directivă, DORA este un regulament european — ceea ce înseamnă că se aplică direct și uniform în toate statele membre, inclusiv România, fără să necesite transpunere în legislația națională.
PE SCURTDORA impune companiilor din sectorul financiar sa demonstreze ca pot rezista, raspunde si se recupera in urma oricarui tip de incident ICT (tehnologia informatiei si comunicatiilor) — de la o pana de sistem la un atac cibernetic major.
Contextul este relevant: conform datelor Comisiei Europene, numărul atacurilor cibernetice asupra sectorului financiar european s-a dublat in ultimii 3 ani. DORA nu este un exercițiu birocratic — este răspunsul reglementatorilor la o amenințare reală și în creștere.
Ce companii sunt vizate de DORA? Lista completă a celor 21 de categorii
Articolul 2(1) al regulamentului definește 21 de categorii de entități financiare care intră sub incidența DORA. Dacă organizația dumneavoastră se încadrează în oricare dintre aceste categorii, conformarea este obligatorie.
Instituții financiare traditionale
| # | Categorie | Exemple |
|---|---|---|
| 1 | Institutii de credit | Banci comerciale, banci de economii, cooperative de credit |
| 2 | Instituții de plată | Procesatori de plati, servicii de transfer de bani |
| 3 | Instituții de monedă electronica | Emitenti de e-money, portofele digitale |
| 4 | Firme de investitii | Brokeri, dealeri, firme de administrare a portofoliilor |
| 5 | Furnizori de servicii de informatii privind conturile | Agregatori de conturi bancare (open banking) |
Asigurari și pensii
| # | Categorie | Exemple |
|---|---|---|
| 6 | Societati de asigurare | Asiguratori de viata, sanatate, bunuri, RCA |
| 7 | Societati de reasigurare | Reasiguratori care acopera riscurile altor asiguratori |
| 8 | Intermediari de asigurări | Brokeri de asigurări, agenți |
| 9 | Institutii pentru pensii ocupationale | Fonduri de pensii private, scheme ocupationale |
Managementul activelor
| # | Categorie | Exemple |
|---|---|---|
| 10 | Manageri de fonduri alternative de investitii | Hedge funds, private equity, fonduri imobiliare |
| 11 | Societati de administrare a OPCVM-urilor | Administratori de fonduri mutuale |
Infrastructura pietelor
| # | Categorie | Exemple |
|---|---|---|
| 12 | Depozitari centrali de instrumente financiare | Depozitarul Central (in Romania) |
| 13 | Contraparti centrale (CCP) | Case de compensare |
| 14 | Locuri de tranzactionare | Bursa de Valori București, piețe reglementate, MTF-uri |
| 15 | Registre de tranzactii | Registre pentru derivate OTC |
| 16 | Registre de securitizare | Registre pentru operatiuni de securitizare |
| 17 | Furnizori de servicii de raportare a datelor | APA, CTP, ARM |
Servicii financiare emergente si altele
| # | Categorie | Exemple |
|---|---|---|
| 18 | Furnizori de servicii cripto | Exchange-uri de criptomonede, custozi de active digitale |
| 19 | Furnizori de servicii de crowdfunding | Platforme de finanțare participativa |
| 20 | Agentii de rating de credit | Agentii de evaluare a riscului de credit |
| 21 | Administratori de indici de referinta critici | Administratori EURIBOR, ROBOR |
IMPORTANT: FURNIZORII ICT SUNT SI EI VIZATI
DORA nu se oprește la entitățile financiare. Furnizorii terți de servicii ICT — inclusiv furnizori de cloud, hosting, software, securitate cibernetică și externalizare IT — intră sub supravegherea directă a autorităților europene dacă sunt clasificați drept „critici". Furnizorii din afara UE care deservesc entități financiare europene trebuie să înființeze o filială în UE.
Exceptia pentru microintreprinderi
Companiile cu mai puțin de 10 angajați și o cifră de afaceri sub 2 milioane EUR beneficiază de un cadru simplificat de gestionare a riscurilor ICT (Articolul 16). Cu toate acestea, rămân obligate să raporteze incidentele și să gestioneze riscurile legate de furnizorii terți.
Cele 5 cerinte principale ale DORA
Regulamentul este structurat pe 5 piloni, fiecare cu cerinte specifice:
Gestionarea riscurilor ICT (Art. 5–16)
Fiecare entitate trebuie să implementeze un cadru solid de gestionare a riscurilor informatice. Aceasta presupune desemnarea unor responsabili clari pentru riscul ICT, implicarea directă a conducerii în deciziile privind riscul tehnologic, definirea apetitului de risc și a pragurilor de toleranță și stabilirea unor linii de raportare și responsabilitate la nivel de management.
Raportarea incidentelor ICT (Art. 17–23)
Toate entitățile vizate trebuie să dispună de procese de detecție, gestionare și raportare a incidentelor ICT majore. Raportarea se face catre autoritatile nationale competente (in Romania: BNR, ASF) in termenele stabilite de regulament.
Testarea rezilientei digitale (Art. 24–27)
DORA impune teste periodice de reziliență operațională digitală, inclusiv evaluări de vulnerabilitate și teste bazate pe scenarii. Entitățile financiare semnificative trebuie să efectueze și teste de penetrare ghidate de amenințări (TLPT), cel puțin o dată la 3 ani, realizate de testori externi calificați.
Gestionarea riscurilor legate de furnizori terti ICT (Art. 28–30)
Aceasta este cerința cu cel mai mare impact operațional. Fiecare entitate trebuie să mențină un registru actualizat al tuturor aranjamentelor cu furnizori ICT terți, să efectueze due diligence înainte de semnarea contractelor, să includă clauze specifice DORA în contracte (drepturi de audit, notificare breșeuri, planuri de ieșire) și să monitorizeze continuu performanța și riscurile furnizorilor.
Schimbul de informatii (Art. 45–49)
DORA încurajează entitățile financiare să participe la aranjamente voluntare de schimb de informații privind amenințările cibernetice, în scopul consolidării rezilienței la nivel de sector.
Ce se întâmplă în 2026: de la documentație la dovezi concrete
Autoritățile naționale competente (NCA), împreună cu Autoritățile Europene de Supraveghere (ESA), au trecut în 2026 de la faza de evaluare documentară la verificarea concretă a rezilienței.
Registrul de informații (ROI): acoperă aranjamentele ICT cu terți la data de referință 31 decembrie 2025. Termenul de depunere variaza pe tari — autoritatile europene au consolidat termenul la 30 aprilie 2026.
Autoritățile verifică acum automat datele din Registrul de informații și emit scrisori de supraveghere pentru registrele incomplete sau inexacte — aceasta fiind principala cauză a acțiunilor de supraveghere în primul ciclu de aplicare.
Concret, in 2026 autoritatile solicita:
Dovezi în timp real ale rezilienței operaționale, nu doar politici scrise. Raportare automatizată a incidentelor ICT. Control demonstrabil asupra furnizorilor terti de servicii ICT, inclusiv subcontractorii acestora.
Sanctiuni: ce riscati in caz de neconformare
AMENZI SI PENALITATI
Pentru organizații: până la 20 de milioane EUR sau 10% din cifra de afaceri anuală globală — se aplică valoarea mai mare.
Pentru persoane fizice din conducere: până la 5 milioane EUR.
Pentru furnizorii ICT critici: penalități zilnice de până la 1% din cifra de afaceri globală zilnică, până la remedierea neconformității.
Ce trebuie sa faceti concret: parcurs de conformare in 7 pasi
- Evaluarea incadrarii
Verificati daca organizatia se incadreaza in una dintre cele 21 de categorii de entitati vizate. Dacă sunteți furnizor ICT pentru entități financiare, verificați dacă sunteți clasificat drept „critic".
- Analiza de gap față de cerinte
Evaluează nivelul actual de conformitate pe fiecare dintre cei 5 piloni DORA. Identifică diferențele între starea actuală și cerințele regulamentului.
- Desemnarea responsabilitatilor
Numiți un responsabil pentru riscul ICT la nivel de conducere. Asigurați-vă că managementul este implicat activ în deciziile privind riscurile tehnologice — DORA impune această responsabilitate la nivel de board.
- Inventarierea si evaluarea furnizorilor ICT terti
Creați și mențineți un registru complet al tuturor furnizorilor ICT, inclusiv subcontractorii acestora. Clasificați fiecare furnizor în funcție de criticitate și evaluați riscul asociat.
- Actualizarea contractelor
Includeți clauze specifice DORA în toate contractele cu furnizori ICT: drepturi de audit, obligații de notificare a breșelor, planuri de continuitate și strategii de ieșire documentate.
- Implementarea cadrului de testare
Stabiliți un program de testare a rezilienței digitale: evaluări periodice de vulnerabilitate, teste bazate pe scenarii și, pentru entitățile semnificative, teste TLPT la fiecare 3 ani.
- Automatizarea raportarii si monitorizarii
Implementați procese și sisteme care permit detecția, clasificarea și raportarea incidentelor ICT în termenele impuse de regulament. In 2026, autoritatile asteapta dovezi automatizate, nu rapoarte manuale.




