Najvažniji finansijsko-IT propis od kojeg ste možda manje čuli

Dok je javnost u 2024. i 2025. pratila uvođenje EU AI Acta, drugi važan EU propis tiho je promijenio način poslovanja svake banke i pružatelja IT usluga financijskom sektoru — Digital Operational Resilience Act (DORA). Propis je postao obvezan 17. siječnja 2025. i prva godina primjene donijela je značajne promjene u načinu na koji banke ugovaraju cloud usluge, prijavljuju incidente i testiraju otpornost svojih sustava.

U ovom članku objašnjavamo što DORA znači za hrvatske banke, fintechove, kriptobrokere i pružatelje informatičkih usluga financijskom sektoru, te koje su prve lekcije iz prve godine primjene.

Što je DORA i koga obvezuje

DORA (Uredba EU 2022/2554) je horizontalni propis koji unifirano regulira operativnu otpornost informacijskih i komunikacijskih tehnologija (ICT) kod svih financijskih subjekata u EU-u. Cilj je osigurati da financijski sektor može izdržati, reagirati i oporaviti se od ICT incidenata — od cyber napada do ispada cloud usluga.

DORA obvezuje 20 kategorija subjekata, uključujući:

  • Banke i kreditne institucije (sve, neovisno o veličini)
  • Investicijska društva i upravitelje fondovima
  • Osiguravajuća društva
  • Pružatelje platnih usluga (PSP-ove, fintech kompanije)
  • Kripto pružatelje pod MiCA propisom
  • Pružatelje usluga financiranja kroz crowdfunding platforme
  • Pružatelje računovodstvenih informacijskih usluga (AISP, PISP)

Iznimka su mikrosubjekti (vrlo male institucije), za koje vrijedi pojednostavljeni režim.

Posebna kategorija su kritični ICT pružatelji (CTPP — Critical Third-Party Providers) koje EU službeno klasificira kao kritične — primjerice veliki cloud provideri (AWS, Microsoft Azure, Google Cloud) koji opslužuju značajan dio europskog financijskog sektora. Oni padaju pod direktan EU nadzor (Joint Examination Teams), što je presedan u europskoj regulativi.

Glavne obveze pod DORA-om

1. ICT upravljanje rizicima (governance)

Svaka institucija mora imati formalan ICT okvir upravljanja rizikom, odobren od strane uprave. Obuhvaća:

  • Identifikaciju ICT imovine (servisa, sustava, podataka)
  • Klasifikaciju kritičnosti
  • Procjenu rizika (godišnja minimalno)
  • Mapiranje ovisnosti o trećim stranama

Uprava (board) je direktno odgovorna — ovo je politička poruka EU-a da kibernetička sigurnost nije samo IT pitanje.

2. Prijava ICT incidenata

Ovo je možda najvidljivija promjena za zaposlenike u financijama. DORA klasificira incidente i propisuje stroge rokove prijave nadležnom tijelu (HANFA u Hrvatskoj):

  • Inicijalna prijava — unutar 24 sata od saznanja o značajnom incidentu
  • Međuizvješće — u roku 72 sata
  • Završno izvješće — najkasnije mjesec dana od zatvaranja incidenta

Za usporedbu, GDPR ima 72 sata za incidente s osobnim podacima. DORA je strogija — primjenjuje se i na incidente koji ne uključuju osobne podatke.

Definicija "značajnog incidenta" je jasna i kvantitativna — uključuje broj pogođenih klijenata, ekonomski utjecaj, trajanje incidenta, geografski opseg. Hrvatske institucije su tijekom 2025. naučile (uglavnom kroz prve provedene prijave) koliko su agresivni rokovi i koliko je dokumentacija opsežna.

3. Testiranje otpornosti

Sve obveznice moraju redovno testirati svoju ICT otpornost. Manji subjekti rade osnovne testove (ranjivost skeniranje, penetration testing), ali veliki subjekti (TLPT-eligible) moraju provoditi i Threat-Led Penetration Testing (TLPT) — sofisticirano simuliranje stvarnih napada.

TLPT u Hrvatskoj koordinira HNB (Hrvatska narodna banka), a tehničku stranu radi vanjska crvena tima koja simulira napad. Cijena jednog TLPT-a kreće se od 200.000 € navise, što je za manje hrvatske banke značajan trošak.

4. Upravljanje trećim stranama (ICT third-party risk)

Ovo je područje gdje se mnoge institucije morale najviše promijeniti. DORA traži:

  • Detaljan registar svih ICT pružatelja s klasifikacijom kritičnosti
  • Standardizirane ugovorne klauzule koje pokrivaju revizijsko pravo, prijavu incidenata, izlaznu strategiju
  • Zabranu ekskluzivne ovisnosti o jednom pružatelju za kritične funkcije
  • Geografska ograničenja za pohranu podataka

Veliki cloud provideri morali su u 2024. i 2025. revidirati svoje Financial Services Addendum ugovore — danas to su zasebni dokumenti koje banke koriste pri ugovaranju.

5. Razmjena informacija (information sharing)

DORA potiče (ali ne obvezuje) sektorsku razmjenu informacija o cyber prijetnjama. U Hrvatskoj se to organizira kroz CERT-FIN strukturu unutar HNB-a, koja je u 2025. proširila opseg dijeljenja signala između banaka.

Specifičnosti za hrvatske institucije

Banke

Sve hrvatske banke (uključno PBZ, Zagrebačka banka, Erste, RBA, OTP, Adiko, HPB) prošle su kroz tranziciju u 2025. Glavni izazovi:

  • Inventura svih cloud i SaaS ugovora — mnoge banke prvi put su sastavile cjelovit registar
  • TLPT priprema — koordiniranje s HNB-om i odabir external red teama
  • Edukacija uprava — nova razina osobne odgovornosti za neispravnosti

Velike banke s međunarodnim grupama (Erste, RBA, OTP) imale su prednost — grupacijski okviri su već bili djelomično usklađeni.

Fintech i platni servisi

Manji platni servisi (Aircash, Settle, Tolar, Loopster) suočili su se s nesrazmjerno većim teretom. Nemaju resurse velikih banaka, a propis se primjenjuje gotovo identično. Hrvatska pravna i konzultantska zajednica (Madirazza, Šavorić & Partners, manji boutique konzultanti specijalizirani za fintech) tijekom 2025. opslužila je značajan val sa zahtjevima za prilagodbu.

Kripto pružatelji

DORA i MiCA stupili su istovremeno, što je za kripto pružatelje (Electrocoin, Bitcoin Store, dijelovi neformalnog kripto sektora) značilo dvostruku regulatornu prilagodbu. Mnogi su tijekom 2025. odustali od EU dozvole, dok su veći (Bitcoin Store kao licenciran VASP/CASP) prošli punu prilagodbu.

IT pružatelji

Hrvatske softverske kuće koje opslužuju financijski sektor (Asseco, Mlinarić IT, Combis, neki dijelovi Infobip-ove ponude) postale su važna karika u DORA lancu. Klijenti (banke) zahtijevaju ažurirane SLA-ove, prijavu incidenata, prava revizije i jasne izlazne strategije. Ugovori o IT uslugama u 2025. su se značajno produljili.

Cloud i hyperscaleri pod direktnim EU nadzorom

Kategorija kritičnih ICT pružatelja (CTPP) je najradikalniji dio DORA-e. EU je u 2025. prvi put službeno klasificirala AWS, Microsoft Azure, Google Cloud, Oracle Cloud i nekoliko drugih kao kritične, što znači:

  • Direktan nadzor od strane EU regulatora (ESA-i — EBA, ESMA, EIOPA)
  • Mogući financijske kazne (do 1% globalnog godišnjeg prometa)
  • Obvezne korektivne mjere ako se pronađu nedostaci

Praktično za hrvatske banke ovo znači da CTPP-ovi sami imaju regulatorne obveze, ali odgovornost za odabir i nadzor pružatelja ostaje na banci.

Sankcije i kazne

DORA propisuje kazne na razini direktive:

  • Za financijske subjekte — kazne do 2% godišnjeg prometa, plus pojedinačne kazne za odgovorne osobe (do 1 milijun €)
  • Za kritične ICT pružatelje — kazne do 1% globalnog godišnjeg prometa, koje se primjenjuju dnevno sve dok nedostatak nije ispravljen

HANFA je u 2025. komunicirala da će prvi godinu fokus biti na edukaciji i preporukama. Veće sankcije očekuju se od 2026./2027. nadalje, kada bude jasno koji su minimalni standardi prakse.

Prve lekcije iz prve godine primjene

Tijekom prve godine DORA-e iskristalizirale su se nekoliko obrazaca:

Što je dobro funkcioniralo

  • Prijava incidenata se događa, iako s teškoćama u prvim mjesecima
  • Cloud ugovori su značajno transparentniji
  • Discipliniraniji pristup ICT investicijama — uprave bolje razumiju ICT rizike

Gdje su poteškoće

  • TLPT troškovi — za manje banke su značajna stavka
  • Mapiranje ovisnosti — mnogi nisu znali koliko zapravo SaaS ovisnosti imaju
  • Izlazne strategije — teško je realno demonstrirati da možete migrirati s AWS-a u 6 mjeseci

Što slijedi u 2026. i 2027.

Tijekom 2026. očekuju se:

  • Prve provedbe sankcija (vjerojatno usmjerene na očite slučajeve neusklađenosti)
  • Konsolidacija ICT pružateljskog tržišta — manji pružatelji koji se ne mogu uskladiti gube klijente
  • Druga revizija propisa (DORA 2.0) — već u radu, fokusirana na bolje funkcioniranje TLPT režima

Zaključak: Trajna promjena, ne jednokratna prilagodba

DORA nije jednogodišnja prilagodba — to je novi okvir koji će oblikovati financijski sektor sljedeće desetljeće. Za hrvatske institucije prva godina je bila bolna, ali poučna. One koje su pristupile ozbiljno (rano krenule s mapiranjem, ulagale u sigurnosne timove, tražile pravne savjete) danas su u relativno dobroj poziciji. One koje su čekale i sad pokušavaju "ispuniti minimum" žive u stalnoj tenziji s regulatorom.

Za korisnike financijskih usluga DORA u praksi znači stabilniji sektor — bolje testiranje, brže oporavljanje od incidenata, manje "tihih ispada" SaaS sustava o kojima saznajemo tek kad bankomat ne radi. Cijena tog poboljšanja djelomično se prelije u marže usluga, ali u gore alternative (npr. veliki cyber napad na neku hrvatsku banku) trošak DORA-e izgleda razumno.