Na panelu posvećenom DORA-i (Digital Operational Resilience Act) ključni stručnjaci iz regulatornih tijela i industrije podijelili su svoja iskustva i viđenja nakon prvih šest mjeseci pune primjene tog propisa.
Na panelu su sudjelovali Mladen Gavrančić, direktor Ureda za informacijsku sigurnost iz Hanfe, Melita Markovinović, direktorica Direkcije pravne podrške Hrvatskog mirovinskog osiguravajućeg društva (HMOD) te Slaven Smojver, direktor Direkcije supervizije informacijskih sustava Hrvatske narodne banke. Moderirao je Nikola Markovinović, direktor korporativne i IKT sigurnosti Triglav osiguranja.
DORA, koja je u primjeni od siječnja 2025., postavlja visoke zahtjeve za digitalnu otpornost svih financijskih institucija u EU. Smojver je istaknuo da DORA nije revolucija, već evolucija postojećih praksi.
Mali vs veliki
Naglasio je da su banke i financijske institucije već godinama ulagale u informatičku sigurnost, a DORA predstavlja formalizaciju i proširenje tih napora. “DORA je jako duga priča. Nije došla preko noći. Imali smo gotovo dvije godine pripreme. Banke i pružatelji platnih usluga, poput Aircasha i drugih, pokazali su se razmjerno spremnima, izvješća su dostavljena, incidenti se prijavljuju, nitko nije bio potpuno zatečen.”
Regulatori su naglasili da je DORA jedinstvena i po tome što jasnije ističe ulogu uprava u pitanjima otpornosti na digitalne prijetnje: Ona donosi nešto vrlo konkretno – odgovornost članova uprava. Više se ne može reći da je to tehničko pitanje koje rješava IT odjel. Od sada se traži da član uprave bude kompetentan za pitanja digitalne otpornosti. To će se nadzirati.”
Prema riječima Mladena Gavrančića, Hanfa je već provela horizontalnu analizu svih subjekata kako bi procijenila postojeće stanje i identificirala praznine: “Pitali smo ih kakvo vam je stanje, kako mislite zatvoriti praznine i koliko to košta? Vidimo da to rade ozbiljno i strukturirano. Uprave su toga svjesne jer znaju da ih se može i mora pitati.”
Tema proporcionalnosti bila je česta na panelu. Iako DORA vrijedi za sve, njezina primjena mora uvažavati razmjere i prirodu poslovanja. Gavrančić je objasnio: “Proporcionalnost je stalna tema, jasno je da se ne može na isti način tretirati mali mirovinski fond i velika banka. Ali to ne znači da je netko oslobođen obveze.”
Značajan dio rasprave bio je posvećen razlikama između velikih i malih financijskih institucija. Dok su veće organizacije bolje resursno i kadrovski opremljene za suočavanje s DORA-om, manje često nemaju mogućnost izgraditi kompleksne sustave, što predstavlja izazov. Gavrančić je bio jasan: “Vidimo razlike. Male institucije su se morale brzo prilagoditi, često uz vanjsku pomoć. Ipak, propis ne daje prostora da se DORA tretira kao formalnost. Zahtjevi su stvarni i obvezujući.”
Poznat pravi smjer
Gavrančić je ukazao i na konkretan izazov s kojim se suočavaju manje financijske institucije, osobito u uspostavi funkcije upravljanja ICT rizicima. Naglasio je da, iako se ne propisuje tko točno mora obavljati ovu funkciju, institucije moraju osigurati da osoba zadužena za upravljanje ICT rizicima ima potrebne kompetencije i resurse.
Ključna poruka regulatora bila je nedvosmislena: “Je li to malo društvo ili veliko društvo, na razini EU je odlučeno da standard upravljanja mora biti jednak u svim tvrtkama, neovisno o veličini. I društva se tome moraju prilagoditi.”
Također je naglašeno da će nadzorna tijela, poput Hanfe i HNB-a, u budućnosti snažnije fokusirati svoje nadzorne aktivnosti na stvarnu provedbu i implementaciju DORA-e, a ne samo na postojanje politika i procedura. Markovinović je podijelila iskustvo implementacije iz perspektive relativno mlade financijske institucije koja je od početka dizajnirana za rad u oblaku. Markovinović je opisala proces prilagodbe kroz strukturiran pristup i naglasila da ih DORA nije dočekala nespremne.
“S aspekta pravnika, i meni je već dosta tih ‘tsunami’ propisa, ali kad je došla DORA, moram priznati da je kliknula na prvu jer je sve na jednom mjestu unificirano. Svi zahtjevi koji su bili na različitim mjestima sada su objedinjeni i napokon znaš u kojem smjeru trebaš ići. Čini mi se da je DORA u rangu GDPR-a i da treba postati najveći izvozni proizvod EU.”
