DORA regulativa i upravljanje ICT rizicima povezanim sa trećim stranama

Evropska unija se nalazi u regulatornoj trci s ciljem jačanja svojih digitalnih odbrambenih kapaciteta. Uz Direktivu NIS2, Akt o sajber otpornosti (Cyber Resilience Act), Akt o veštačkoj inteligenciji (EU AI Act)  i Direktiva o otpornosti ključnih subjekata (Critical Entities Resilience Act), Akt o digitalnoj operativnoj otpornosti (Digital Operational Resilience Act – u daljem tekstu: DORA)[1] predstavlja deo sveobuhvatnog okvira usmerenog ka jačanju sajber bezbednosti Evrope. Ovi propisi odražavaju shvatanje da otpornost više nije stvar izbora, već neophodnost. Sajber rizici danas predstavljaju pitanje sistemske stabilnosti.

Važno je istaći da se delokrug primene DORA-e ne zaustavlja na granicama Evropske unije.

Pružaoci ICT usluga van EU, uključujući i one iz Srbije, mogu potpasti pod primenu ove regulative ukoliko pružaju usluge finansijskim institucijama Evropske unije – EU. Čak i ako takvi pružaoci nisu formalno označeni kao „ključni“, DORA može imati uticaj na njihovo poslovanje. Razlog za to leži u činjenici da su finansijski subjeki u EU u obavezi da u ugovore sa svim svojim ICT dobavljačima unesu odredbe propisane DORA regulativom. U praksi, ovaj ugovorni mehanizam omogućava da uticaj DORA regulative bude dubok, kroz čitav lanac snabdevanja. Čak će i manji, odnosno pružaoci koji se klasifikuju kao „oni koji nisu ključni“ ICT pružaoci van EU, biti pod pritiskom da usklade svoje poslovanje sa DORA regulativom, budući da finansijske institucije ne mogu sebi priuštiti rizik saradnje sa partnerima koji se ne pridržavaju ove regulative.

S druge strane, za srpske banke koje su deo međunarodnih finansijskih grupa, implikacije primene DORA regulative su posebno značajne. Iako Srbija nije država članica Evropske unije, filijale i podružnice .

To znači da će se od srpskih entiteta unutar takvih grupa očekivati usklađivanje sa DORA standardima u oblastima upravljanja ICT rizicima, prijave incidenata i nadzora nad trećim stranama. U praksi, politike koje se primenjuju na nivou grupe, ugovorni obrasci i zahtevi za testiranje otpornosti biće prenošeni na srpske ogranke i podružnice, čime se obezbeđuje da se obaveze u pogledu digitalne otpornosti dosledno primenjuju u svim jurisdikcijama u kojima grupa posluje.

Zašto je DORA važna u 2025. godini?

Usvajanjem DORA regulative 2023. godine, omogućen je dvogodišnji period za implementaciju, tokom kojeg su finansijske institucije i njihovi ICT (informaciono-komunikacioni) provajderi mogli da se pripreme. Od 17. januara 2025. godine, njene odredbe se u potpunosti primenjuju širom Evropske unije.

Nekoliko ključnih faktora pokreće globalni talas regulativa o sajber otpornosti:

• Sve veća učestalost i sofisticiranost sajber napada usmerenih na finansijske institucije.
• Potreba da se zaštiti ključna infrastruktura i ključne usluge.
• Povećana očekivanja u pogledu zaštite podataka o ličnosti i privatnosti.
• Nastojanje da se standardizuju prakse sajber bezbednosti među različitim jurisdikcijama.
• Želja da se očuva ekonomska stabilnost i poverenje u finansijske sisteme.

Ukratko, sajber otpornost je evoluirala iz uskog, isključivo IT pitanja, u ključni poslovni imperativ o kome se odlučuje na nivou upravnog odbora.

DORA ima za cilj da obezbedi da svi finansijski subjekti mogu da izdrže, odgovore i oporave se od tehnoloških poremećaja. Njeni osnovni ciljevi uključuju:

• Usklađivanje zahteva za digitalnu otpornost na nivou cele EU.
• Unapređenje bezbednosti i integriteta finansijskog sektora.
• Poboljšanje sistema izveštavanja o incidentima i okvira za upravljanje rizicima.

Postavljanjem odgovornosti na najviše nivoe, DORA transformiše koncept otpornosti od nivoa regulatorne usklađenosti do suštinske poslovne sposobnosti.

DORA i NIS 2: koji propis ima prvenstvo primene?

DORA akt usvojen je 16. januara 2023. godine, na isti dan kada i revidirana Direktiva NIS2. Dok Direktiva NIS2 predstavlja širok regulatorni okvir usmeren na jačanje sajber bezbednosti i otpornosti u velikom broju ključnih i važnih sektora, kao što su energetika, saobraćaj, zdravstvo, digitalna infrastruktura i javna uprava, DORA se konkretno fokusira na finansijski sektor i njegovu zavisnost od ICT sistema.

To prirodno postavlja pitanje: koji od ova dva okvira ima prvenstvo primene u oblasti digitalnih finansija? Odgovor se nalazi u načelu lex specialis, prema kojem poseban propis ima prednost nad opštim kada se oba primenjuju na isti slučaj. U praksi, to znači da DORA predstavlja ključni okvir za finansijske institucije, dok NIS2 uspostavlja širi regulatorni okvir za druge sektore od ključnog značaja. Umesto da zamenjuje NIS2, DORA ga dopunjuje, prilagođavajući obaveze u pogledu otpornosti specifičnim rizicima i međusobnom zavisnosti elemenata unutar finansijskog ekosistema.[2]

U poređenju sa Direktivom NIS2, koja uvodi jasno definisane i kvantifikovane strukture novčanih kazni, DORA primenjuje fleksibilniji model sprovođenja. Umesto da propisuje unapred određene sankcije na nivou EU, DORA ovlašćuje nacionalna nadzorna tela da, u okviru svoje nadležnosti, odluče o najprimerenijim korektivnim merama. Takvo rešenje državama članicama ostavlja prostor da sprovođenje prilagode sopstvenim pravnim tradicijama i regulatornoj praksi.

Ipak, izostanak unapred utvrđenih novčanih kazni ne treba tumačiti kao blag pristup. DORA nadležnim organima daje široka ovlašćenja: mogu izreći novčane sankcije, naložiti preduzimanje korektivnih mera ili čak javno imenovati subjekte koji su odgovorni za povrede propisa. U pojedinim slučajevima, reputaciona šteta može imati veći efekat od samih finansijskih kazni, delujući kao snažan podsticaj za subjekte da ostanu u skladu sa propisima.

DORA u kontekstu globalnog regulatornog trenda

Iako je DORA vodeća regulativa Evropske unije, ona predstavlja deo mnogo šireg globalnog pokreta:

• Sjedinjene Američke Države: Pravila Komisije za hartije od vrednosti (SEC) o upravljanju sajber bezbednošću i obavezama prijavljivanja incidenata (2023)
• Singapur: Izmene Zakona o sajber bezbednosti.
• Brazil: Nova regulativa o sajber bezbednosti i nacrt zakona o osnivanju nadležnog organa (2024).
• Indija: Zakon o digitalnoj Indiji koji propisuje obaveze u oblasti sajber bezbednosti.
• Australija: Završna faza donošenja propisa o otpornosti.
• Kanada: Smernice o operativnom riziku i otpornosti, kao i Zakon o zaštiti kritičnih sajber sistema.
• Japan: Novi nacrt propisa o postupanju u slučaju sajber incidenata.
• Srbija: Kretanje ka većem usklađivanju sa standardima Evropske unije u oblasti sajber bezbednosti i finansijske regulative, usled prekogranične integracije bankarskog sektora.

Jasno je da operativna otpornost više nije isključivo evropsko pitanje. Ona poprima karakter globalnog regulatornog standarda.

Ko je obuhvaćen DORA regulativom?

Jedna od čestih zabluda jeste da se DORA primenjuje isključivo na banke. U stvarnosti, ova regulativa ima znatno širi delokrug primene. DORA propisuje zatvorenu listu od 20 tipova finansijskih subjekata koji direktno potpadaju pod njen okvir primene, među kojima su:

• Kreditne institucije,
• Društva za osiguranje i reosiguranje,
• Investiciona društva i društva za upravljanje investicionim fondovima,
• Institucije za platni promet i institucije elektronskog novca,
• Pružaoci usluga u vezi sa kripto-imovinom,
• Subjekti koji upravljaju tržišnom infrastrukturom, poput tržišta kapitala i centralno pozicioniranih subjekata .[3]

Pored ovih finansijskih institucija, DORA se primenjuje i na pružaoce ICT usluga trećih strana koji isporučuju digitalne usluge koje su označene kao „ključne” subjektima iz finansijskog sektora. Na taj način se obezbeđuje da i jezgro finansijskog sistema i tehnološki partneri na koje se on oslanja budu podvrgnuti istim, visokim standardima digitalne otpornosti.

Posredno, DORA stvara talasne efekte koji se odražavaju na čitav niz organizacija:

• Manji ICT dobavljači i podizvođači koji pružaju podršku pružaocima usluga koji su ocenjeni kao „ključni”, moraće, takođe, da se prilagode, budući da će se ugovorne obaveze prenositi niz lanac snabdevanja.
• Profesionalni pružaoci usluga (konsultanti, revizori, pružaoci usluga bezbednosti) koji sarađuju sa finansijskim subjektima, biće u obavezi da ispunjavaju strože ugovorne obaveze.
• Čak i kompanije koje nisu deo finansijskog sektora, ali pružaju važne digitalne usluge finansijskim institucijama (poput telekomunikacionih kompanija, analitičkih platformi ili specijalizovanih softverskih rešenja (SaaS)).

Šta podrazumeva pojam „Digitalne оperativne otpornosti”?

Ono što DORA uvodi nije samo promena u terminologiji, već fundamentalna promena u načinu razmišljanja finansijskog sektora. Tradicionalno, sajber bezbednost je bila usmerena na izgradnju odbrambenih mehanizama i reagovanje tek nakon što se incident dogodi. DORA, međutim, podstiče institucije da odu korak dalje, da izgrade strukture i procese koji im omogućavaju da nastave sa radom čak i usred prekida ili sajber napada. Upravo u tome leži suština otpornosti: ne samo sprečiti neuspeh, već obezbediti kontinuitet uprkos njemu.

Pravi fokus DORA regulative jeste očuvanje pouzdanosti i integriteta finansijskih usluga u nepovoljnim okolnostima. Zaštita digitalnih resursa kao što su podaci, softver i hardver ostaje od vitalnog značaja, ali nije krajnji cilj. U skladu sa DORA regulativom, zaštita je sredstvo za postizanje višeg cilja, obezbeđivanje otpornosti, odnosno sposobnosti da organizacija održi ključne funkcije i brzo se oporavi kada stvari pođu po zlu.

Iako regulativa ne propisuje punu primenu principa „prilagođene bezbednosti“, jasno da evropski regulatorni organi usmeravaju industriju u tom smeru, a otpornost ima ulogu mosta na putu do cilja.

Pet osnovnih stubova na kojima se zasniva DORA regulativa

DORA uspostavlja pet međusobno povezanih stubova s ciljem jačanja digitalne operativne otpornosti u finansijskom sektoru:

1. Upravljanje ICT rizicima – ugradnja otpornosti u tehnološko upravljanje i strategiju.
2. Prijavljivanje ICT incidenata – obezbeđivanje strukturisanog sistema za detekciju, reagovanje i obaveštavanje nadležnih organa.
3. Testiranje digitalne operativne otpornosti – provera sistema kroz penetracione testove i simulacije stvarnih scenarija.
4. Upravljanje ICT rizicima trećih strana – postavljanje pravila za ugovaranje, nadzor i upravljanje rizikom koncentracije.
5. Razmena informacija i bezbednosnih obaveštajnih podataka – podsticanje saradnje među institucijama radi jačanja zajedničke odbrane.

Navedeni stubovi se primenjuju i na finansijske subjekte i na njihove ICT partnere, čime se obezbeđuje otpornost duž čitavog lanca vrednosti.

U nastavku teksta detaljnije razmatramo četvrti stub – upravljanje ICT rizicima trećih strana.

ICT rizici povezani sa trećim stranama: Suština DORA regulative

Od pet stubova koji su uspostavljeni Dora regulativom, upravljanje ICT rizikom trećih strana zauzima posebno mesto. Cilj DORA regulative jeste da spreči sistemske ranjivosti koje bi mogle nastati ako bi neki ključni tehnološki provajder prestao da funkcioniše. Važno je napomenuti da je ovaj segment pojednako važan kako za stručnjake za informacionu bezbednost (CISO), tako i za pravne službe.

Ključni zahtevi obuhvataju sledeće:

a. Izrada Politike o korišćenju ICT usluga koje podržavaju ključne ili važne funkcije, a koje pružaju eksterni ICT dobavljači.[4]

b. Formiranje i redovno ažuriranje registra informacija, sveobuhvatnog pregleda vaših ICT dobavljača. Registar bi trebalo da pruži precizan pregled o tome koji provajderi učestvuju u pružanju ključnih ili važnih funkcija, a koji ne učestvuju. Regulatorna tela imaju pravo da u svakom trenutku zatraže uvid u ovaj registar, te on mora biti tačan, ažuriran i lako dostupan. Pored toga, finansijske institucije su dužne da najmanje jednom godišnje dostave izveštaj nadležnim organima koji sadrži broj novih ugovora o korišćenju ICT usluga, kategorije ICT provajdera trećih lica, vrste ugovornih aranžmana, kao i pregled ICT usluga i funkcija koje se pružaju.[5]

c. Pre uspostavljanja bilo kakve saradnje, finansijske institucije moraju sprovesti identifikaciju i procenu svih potencijalnih rizika koji proizilaze iz ugovornog odnosa, kao i sveobuhvatanu proveru poslovanja (due diligence) potencijalnog dobavljača. Procena treba da obuhvati ne samo tehničke kapacitete, već i finansijsku stabilnost, nivo bezbednosti, evidenciju usklađenosti sa propisima i sposobnost dobavljača da obezbedi kontinuitet poslovanja. U okviru ovog procesa potrebno je sagledati ne samo tehničke sposobnosti dobavljača, već i njegovu finansijsku stabilnost, nivo bezbednosti, usklađenost sa propisima i sposobnost da obezbedi kontinuitet poslovanja.[6]

d. Uspostaviti jasno definisane ugovorne obaveze: ugovori moraju sadržati opise usluga, SLA sporazume (ugovore o nivou usluga), odredbe o bezbednosti podataka, planove kontinuiteta poslovanja, ograničenja u pogledu podugovaranja, kao I navedene lokacije pružanja usluga.[7]

e. Uspostaviti dodatne mere zaštite za ključne usluge: prava nadzora, obavezno učešće u testiranju otpornosti, strategije izlaska i pružanje podrške u prelaznom periodu.

f. Finansijske institucije moraju da idu dalje od samog ispitivanja pojedinačnih ICT pružalaca usluga. Takođe, moraju da procene rizik koncentracije, odnosno opasnost koji nastaje kada se veći broj subjekata oslanja na istog ICT pružaoca za pružanje ključnih ili važnih usluga. Ova obaveza osigurava da se sistemske ranjivosti ne akumuliraju u sektoru u slučaju poremećaja kod jednog pružaoca usluga.[8]

g. U skladu sa DORA regulativom, određeni ICT pružaoci usluga mogu biti označeni kao „ključni treći pružaoci usluga“. Nakon takvog označavanja, oni potpadaju pod neposredni nadzor Evropskih nadzornih tela (ESA), koja vrše nadzor preko „glavnog nadzornika“. ESA ima ovlašćenja da sprovodi inspekcije, zahteva informacije i izdaje preporuke radi obezbeđenja adekvatnih standarda otpornosti. Evropska nadzorna tela (ESA) ovlašćena su da sprovode inspekcijske nadzore, zahtevaju dostavljanje informacija i izdaju preporuke radi obezbeđenja da navedeni pružaoci održavaju odgovarajuće standarde otpornosti.[9]

Generalni cilj je jednostavan, ali ambiciozan: obezbediti da angažovanje eksternih ICT pružaoca usluga ne stvara sistemske rizike za finansijski sektor.

Stroži zahtevi po principu „upoznaj svog podugovarača“

DORA regulativa prepoznaje da se pružanje ICT usluga finansijskim institucijama često zasniva na složenim lancima podugovaranja, što stvara izazove u pogledu identifikovanja i upravljanja rizicima. Važno je napomenuti da finansijske institucije ostaju u potpunosti odgovorne za otpornost, čak i u slučajevima kada su u pružanje usluga uključeni podugovarači.

Nakon usvajanja Delegirane uredbe Komisije (EU) 2025/532[10], kojom se utvrđuju obavezujući Regulatorni tehnički standardi (RTS) u vezi sa podugovaranjem, pravila sada pružaju jasnija uputstva o praktičnoj primeni DORA regulative. Prema ovim RTS standardima, finansijske institucije su dužne da:

• Obezbede da ugovori sa pružaocima ICT usluga jasno definišu opis usluga, uključujući da li je podugovaranje ključnih ili važnih funkcija dozvoljeno i pod kojim uslovima.
• Zadrže uvid u aranžmane podugovaranja i procenjuju s tim povezane rizike, čak i kada u pružanju ključnih usluga učestvuje više pružalaca.
• Uspostave strukturirani okvir za praćenje i upravljanje rizicima podugovaranja, uz podršku nadzornih mehanizama koji osiguravaju da otpornost sistema ne bude oslabljena duž lanca podugovarača.
• Zahtevaju od pružaoca ICT usluga da sprovode due diligence prema svojim podugovaračima i, gde je to primereno, prenesu ključne ugovorne obaveze.

Iako je Evropska komisija uklonila pojedine odredbe iz prvobitnog nacrta (poput zahteva da se u potpunosti nadzire ceo lanac podugovarača), konačna verzija RTS standarda i dalje uvodi strože obaveze prema principu „upoznaj svog podugovarača” (know-your-subcontractor). Shodno tome, finansijske institucije i pružaoci ICT usluga moraju dodatno ojačati ugovorne odredbe, procese nadzora i prakse upravljanja rizicima, kako bi se obezbedilo da uključivanje podugovarača u pružanje ključnih ICT usluga ne dovodi do stvaranja ranjivosti u operativnoj otpornosti.

Zahtevi DORA regulative i pravo Republike Srbije

Kako Akt o digitalnoj operativnoj otpornosti Evropske unije (DORA) uvodi u novu eru otpornosti finansijskog sektora, njen uticaj već postaje vidljiv i van granica Evropske unije. Srbija postepeno modernizuje svoj regulatorni okvir kroz propise Narodne banke Srbije, u oblasti upravljanja ICT sistemima, bezbedne autentifikacije i eksternalizacije (outsourcing).

Pored Predloga novog Zakona o informacionoj bezbednosti i Zakona o zaštiti podataka o ličnosti, koji je usklađen sa GDPR-om, Narodna banka Srbije je donela više ključnih propisa koji se primenjuju na ICT sisteme u finansijskom sektoru[11]. Iako srpske institucije nisu formalno obavezane primenom DORA regulative, ove mere se u velikoj meri poklapaju sa njenim temeljnim stubovima: upravljanje ICT rizicima, izveštavanje o incidentima, testiranje operativne otpornosti, i nadzor nad trećim pružaocima usluga.

Konačni Regulatorni tehnički standardi (RTS) o testiranju penetracije zasnovanom na pretnjama (Threat-Led Penetration Testing – TLPT), koji se oslanjaju na TIBER-EU metodologiju, pokazuju kako Evropa postavlja visoke standarde za proaktivno, scenarijski zasnovano testiranje otpornosti.

Za finansijske institucije u Srbiji, usklađivanje ne predstavlja samo pitanje formalne usaglašenosti, već priliku da usklade svoje prakse sa najvišim standardima, ojačaju poverenje na tržištu i da se pozicioniraju konkurentno u regionu koji je sve tešnje povezan sa evropskim finansijskim sistemom. U praksi, biti „DORA-spreman“ danas znači biti spreman za budućnost sutra.

[1] Uredba (EU) 2022/2554 Evropskog parlamenta i Saveta od 14. decembra 2022. godine o digitalnoj operativnoj otpornosti finansijskog sektora i o izmenama Uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011.

[2] Tačka 16 Preambule DORA regulative glasi: „Ova Uredba predstavlja lex specialis u odnosu na Direktivu (EU) 2022/2555. Istovremeno, od ključnog je značaja održati snažnu povezanost između finansijskog sektora i horizontalnog okvira sajber bezbednosti Unije, kako je trenutno utvrđen Direktivom (EU) 2022/2555.“

[3] Celokupan spisak propisan je članom 2. stav 1. DORA regulative.

[4] Član 28, stav 2. DORA regulative.

[5] Član 28, stav 3. DORA regulative.

[6] Član 28, stav 4. DORA regulative.

[7] Član 30. DORA regulative.

[8] Član 28, stav 2 i član 30 stav 2 (e) DORA regulative.

[9] Članovi 31-34 DORA regulative.

[10] Delegirana uredba Komisije (EU) 2025/532 od 24. marta 2025. godine kojom se dopunjuje Uredba (EU) 2022/2554 (DORA) u pogledu regulatornih tehničkih standarda koji preciziraju uslove pod kojima finansijski subjekti mogu poveravati ICT usluge koje podržavaju ključne ili važne funkcije pružaocima ICT usluga trećih strana. Objavljena u Službenom listu L dana 2. jula 2025. godine, a stupa na snagu 22. jula 2025. godine.

[11] Ključni propisi Republike Srbije relevantni za usklađenost s principima sličnim DORA obuhvataju:

• Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije (Službeni glasnik 102/2024)

• Odluka o tehničkim standardima za pouzdanu autentifikaciju korisnika i zajedničkim bezbednim i otvorenim standardima komunikacije (Službeni glasnik 102/2024)

• Odluka o uslovima i načinu utvrđivanja i provere identiteta fizičkog lica korišćenjem sredstava elektronske komunikacije (Službeni glasnik 100/2023).