DORA за финансовия сектор — цифрова оперативна устойчивост
Регламент (ЕС) 2022/2554 (DORA) се прилага изцяло от 17 януари 2025 г. и обхваща над 20 категории финансови субекти. Ако вашата организация попада във финансовия сектор — от банки и застрахователи до крипто-доставчици и облачни платформи — DORA вече е задължителен. Глобите достигат 2% от глобалния оборот. Това ръководство покрива всички ключови изисквания.
Съдържание
Какво е DORA
DORA (Digital Operational Resilience Act) е Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно цифровата оперативна устойчивост на финансовия сектор. Регламентът влиза в сила на 16 януари 2023 г., а се прилага изцяло от 17 януари 2025 г.
Като регламент (за разлика от директива), DORA се прилага директно във всички държави членки на ЕС, включително България — без нужда от транспониране в националното законодателство. Това означава, че задълженията вече са в сила и подлежат на прилагане от компетентните органи.
Защо DORA?
Преди DORA финансовата индустрия в ЕС нямаше единна рамка за управление на ИКТ рисковете. Всяка държава имаше различни правила, а някои нямаха никакви. Атаките срещу финансови институции се увеличиха с над 300% между 2020 и 2024 г., което наложи хоризонтално законодателство на ниво ЕС.
DORA обхваща пет основни стълба:
- Управление на ИКТ рисковете
- Докладване на ИКТ инциденти
- Тестване на цифровата оперативна устойчивост
- Управление на рисковете от ИКТ доставчици трети страни
- Споделяне на информация за киберзаплахи
Кого засяга DORA
DORA обхваща над 20 категории финансови субекти, както и критичните ИКТ доставчици, които ги обслужват. Ето пълният списък:
| Категория субект | Примери |
|---|---|
| Кредитни институции | Банки, спестовни каси |
| Застрахователни и презастрахователни предприятия | Животозастраховане, общо застраховане |
| Инвестиционни посредници | Брокерски къщи, управляващи дружества |
| Доставчици на услуги за крипто-активи (CASP) | Крипто-борси, попечители |
| Платежни институции | ePay, Revolut, Paysafe (лицензирани в ЕС) |
| Институции за електронни пари | E-money издатели |
| Доставчици на услуги за колективно финансиране | Crowdfunding платформи |
| Агенции за кредитен рейтинг | Fitch, Moody's (ЕС структури) |
| Централни контрагенти (CCP) | Клирингови къщи |
| Централни депозитари на ценни книжа | ЦДАД |
| Места на търговия | БФБ, MTF, OTF |
| Институции за професионално пенсионно осигуряване | Пенсионни фондове |
| Администратори на бенчмаркове | EURIBOR, EONIA администратори |
| Регистри на транзакции | Trade repositories |
| Критични ИКТ доставчици трети страни (CTPP) | Облачни доставчици, core banking системи, SaaS платформи |
Внимание: ИКТ доставчиците също са обхванати
Ако вашата компания предоставя ИКТ услуги на финансови институции — облачен хостинг, софтуер, анализ на данни, сигурност — вие може да бъдете определени като критичен ИКТ доставчик трета страна (CTPP) и да подлежите на пряк надзор от Европейските надзорни органи (ESAs).
ИКТ Risk Management (чл. 6–16)
Членове 6 до 16 от DORA изискват всяка финансова институция да създаде цялостна рамка за управление на ИКТ рисковете. Рамката подлежи на документиране и независим одит, с минимум един преглед годишно.
Изисквания към рамката
- Идентификация — пълен инвентаризационен регистър на всички ИКТ активи, системи и зависимости
- Защита и превенция — политики за сигурност, контрол на достъпа, криптиране, управление на софтуерни актуализации (patch management)
- Откриване — мониторинг на аномалии, системи за ранно предупреждение
- Реагиране и възстановяване — планове за непрекъсваемост (BCP), планове за възстановяване при бедствие (DRP)
- Обучение — задължителни програми за повишаване на осведомеността на персонала по ИКТ сигурност
- Комуникация — планове за кризисна комуникация, включително с компетентните органи и обществеността
Управителният орган (борд на директорите) носи крайна отговорност за рамката за управление на ИКТ рисковете. Той трябва да одобрява стратегията, да определя толерантността към рискове и да получава редовни доклади.
Годишен преглед и одит
ИКТ рамката подлежи на преглед поне веднъж годишно, както и след всеки значителен ИКТ инцидент. Вътрешният одит (или независим външен одит) трябва да оценява ефективността на рамката. Резултатите се докладват на управителния орган.
Чл. 16: Опростена рамка за микропредприятия
DORA предвижда опростена ИКТ рамка за микропредприятия (под 10 служители и под 2 млн. евро оборот). Те не са задължени да имат пълна рамка по чл. 6–15, но трябва да прилагат базови мерки за ИКТ сигурност, пропорционални на размера и рисковия им профил. Задълженията за докладване на инциденти остават непроменени.
Докладване на ИКТ инциденти
DORA въвежда стандартизирана тристепенна процедура за докладване на значителни ИКТ инциденти. Тя е по-детайлна и по-кратка от сроковете по GDPR и NIS2.
Трите фази на докладване
| Фаза | Срок | Съдържание |
|---|---|---|
| Първоначално уведомление | Първоначално уведомление до 24 часа от класифицирането (по чл. 19, ал. 4 DORA + RTS за докладване на инциденти) | Естество на инцидента, засегнати системи, първоначална оценка на въздействието |
| Междинен доклад | До 72 часа | Актуализация на въздействието, предприети мерки, статус на възстановяването |
| Финален доклад | До 1 месец | Причини (root cause analysis), пълно въздействие, научени уроци, предприети коригиращи мерки |
Сравнение на сроковете за докладване
| Регулация | Първо уведомление | Междинен доклад | Финален доклад | Компетентен орган |
|---|---|---|---|---|
| DORA | 4h (макс. 24h) | 72h | 1 месец | Финансов регулатор (БНБ / КФН) |
| GDPR | 72 часа | — | — | КЗЛД |
| NIS2 | 24 часа (ранно предупреждение) | 72h | 1 месец | CERT Bulgaria / секторен орган |
Паралелно докладване
Ако ИКТ инцидент е свързан и с нарушение на лични данни (data breach), организацията трябва да докладва паралелно — на финансовия регулатор по DORA и на КЗЛД по GDPR. Сроковете текат независимо. Прочетете нашата статия за реакция при теч на лични данни в първите 72 часа.
Тестване на цифровата устойчивост (чл. 24–27)
DORA въвежда задължително тестване на цифровата устойчивост на две нива: базово тестване (ежегодно) и напреднало тестване — Threat-Led Penetration Testing (TLPT) на всеки 3 години.
Базово тестване (ежегодно)
- Оценки на уязвимостите и мрежови сканирания
- Тестове на софтуерна сигурност (включително open source)
- Gap анализ спрямо рамката по чл. 6–15
- Тестове за съвместимост и performance
- Тестове на физическата сигурност
- Прегледи на изходен код (при наличие)
- Сценарийни тестове (включително DDoS симулации)
TLPT — напреднало тестване (на всеки 3 години)
Системно важните финансови институции трябва да провеждат Threat-Led Penetration Testing (TLPT) на всеки три години. Това е тестване от тип „червен екип“, базирано на реалистични сценарии за заплахи.
Threat Intelligence
Независим доставчик на разузнаване за заплахи (threat intelligence) подготвя специфични за организацията сценарии за заплахи.
Red Teaming
Външен тестващ екип (сертифициран) симулира реални атаки по сценариите, без предварително предупреждение на оперативните екипи.
Purple Teaming (задължително)
Червеният и синият екип работят заедно за обмен на открити уязвимости и подобряване на защитите.
Доклад и отстраняване (ремедиация)
Финален доклад до компетентния орган. План за отстраняване (ремедиация) с конкретни срокове. Тестващият екип потвърждава изпълнението.
Изисквания към външния тестващ екип
- Независимост от тестваната организация
- Доказан опит в TLPT и тестове от тип „червен екип“
- Професионална застраховка
- Акредитация или сертификация (CREST, TIBER-EU, или еквивалент)
- Строги NDA и етични правила
TLPT RTS — юни 2025
Регулаторните технически стандарти (RTS) за TLPT бяха публикувани от ESAs през юни 2025 г., като конкретизират методологията, изискванията към тестващите екипи и формата на докладите. Те са изготвени въз основа на TIBER-EU методологията на ЕЦБ, без да я заменят.
Управление на ИКТ доставчици (чл. 28–44)
Членове 28–44 от DORA въвеждат най-детайлните изисквания в ЕС за управление на рисковете от ИКТ доставчици трети страни. Те надхвърлят значително изискванията на чл. 28 от GDPR за договори за обработка на лични данни.
Договорни изисквания
Всеки договор с ИКТ доставчик трета страна трябва да съдържа минимум:
- Ясно описание на предоставяните услуги и SLA (service level agreements)
- Локации за обработка на данни — къде се съхраняват и обработват данните
- Достъп и одитни права — право на финансовата институция да провежда одити (включително on-site)
- Подизпълнители — изисквания за одобрение при промяна на подизпълнители
- Стратегия за прекратяване (exit strategy) — преходни периоди и съдействие при прекратяване на договора
- Задължения при инциденти — уведомяване, съдействие, достъп до логове
- Непрекъсваемост — гаранции за непрекъсваемост на услугата и възстановяване след бедствие (disaster recovery)
Сравнение: DORA чл. 28–44 vs GDPR чл. 28
| Изискване | DORA | GDPR |
|---|---|---|
| Описание на услугите | Детайлно, с SLA | Общо описание |
| Локации на данни | Задължително | По преценка |
| Одитни права | Задължителни, включително on-site | Право на одит (чл. 28(3)(h)) |
| Подизпълнители | Предварително одобрение | Общо/специфично съгласие |
| Стратегия за прекратяване (exit strategy) | Задължителна, с преходен период | Не е изрично |
| Уведомяване при инциденти | Задължително, с конкретни срокове | Без забавяне (чл. 33(2)) |
| Регистър на доставчиците | Задължителен — подава се до регулатора | В регистъра по чл. 30 |
Критични ИКТ доставчици (CTPP)
Европейските надзорни органи (EBA, ESMA, EIOPA) могат да определят даден ИКТ доставчик като критичен (CTPP), ако той обслужва голям брой финансови институции или предоставя трудно заменими услуги. Критичните доставчици подлежат на пряк надзор от ЕС, включително инспекции на място и задължителни препоръки.
Регистър на ИКТ доставчиците
Всяка финансова институция е длъжна да поддържа пълен регистър на всички договорни отношения с ИКТ доставчици. Регистърът се подава до компетентния орган (БНБ или КФН) и трябва да включва информация за критичността на услугите, зависимостите и концентрационния риск.
DORA vs NIS2 vs GDPR
DORA, NIS2 и GDPR имат различен фокус, но се припокриват в редица области. Ключовият принцип е, че DORA е специален закон (lex specialis) за финансовия сектор — когато DORA и NIS2 се припокриват, DORA има предимство.
| Параметър | DORA | NIS2 | GDPR |
|---|---|---|---|
| Тип акт | Регламент (директно) | Директива (транспониране) | Регламент (директно) |
| Обхват | Финансов сектор + ИКТ доставчици | 18+ сектора (вкл. финансов) | Всички обработващи лични данни |
| Фокус | ИКТ оперативна устойчивост | Киберсигурност (мрежи и информационни системи) | Защита на лични данни |
| Lex specialis | Да — за финанси | Общ режим | Общ режим (данни) |
| Първо уведомление | 4h (макс. 24h) | 24h (ранно предупреждение) | 72h (data breach) |
| Финален доклад | 1 месец | 1 месец | — |
| Тестване | Ежегодно + TLPT на 3 години | По преценка на държавата | DPIA (за обработка с висок риск) |
| Доставчици | Детайлни изисквания + пряк надзор на CTPP | Общи изисквания за верига на доставки (supply chain) | Договор по чл. 28 |
| Глоби | До 2% оборот + лични санкции | До 10 млн. EUR / 2% оборот | До 20 млн. EUR / 4% оборот |
| Компетентен орган (БГ) | БНБ / КФН | Секторни органи / CERT | КЗЛД |
Lex specialis принцип (чл. 1(2) DORA)
Когато финансова институция попада едновременно под DORA и NIS2, DORA има предимство по въпросите на ИКТ risk management, incident reporting и тестване. Институцията прилага DORA, а не NIS2 в тези области. GDPR обаче продължава да се прилага паралелно по въпросите за защита на личните данни.
DORA в България
Макар DORA да не изисква транспониране, България прие на 8 юли 2025 г. допълнителен закон, който определя националните компетентни органи и специфичните процедури за прилагане.
Компетентни органи
| Орган | Обхват |
|---|---|
| Българска народна банка (БНБ) | Банки, кредитни институции, платежни институции, институции за електронни пари |
| Комисия за финансов надзор (КФН) | Застрахователи, инвестиционни посредници, пенсионни фондове, управляващи дружества, CASP, crowdfunding платформи |
Персонална отговорност на ръководството
Националният закон предвижда персонална отговорност на членовете на управителните органи при неспазване на DORA. Това включва:
- Административни глоби на физически лица от ръководството
- Временно отстраняване от управленска позиция (до 1 година)
- Публично оповестяване на имената на отговорните лица
- Забрана за заемане на ръководна длъжност във финансова институция
Лична отговорност — нов стандарт
За разлика от GDPR, където глобите се налагат предимно на организацията, DORA изрично предвижда лични санкции за членовете на ръководството. Това означава, че CEO, CFO и CTO носят лична отговорност за неадекватна ИКТ рамка.
Глоби и санкции
DORA предвижда строг санкционен режим, който варира в зависимост от типа субект:
За финансови институции
- Санкции се определят от националното право (чл. 50-52 DORA) (или до 1% от дневния оборот за всеки ден на продължаващо нарушение — дневни глоби)
- За физически лица от ръководството — до 1 000 000 EUR
- Публично оповестяване на нарушенията (публично порицаване)
- Временна забрана за извършване на определени дейности
За критични ИКТ доставчици (CTPP)
- До 5 000 000 EUR (или 1% от среднодневния глобален оборот за всеки ден на нарушение)
- Задължителни препоръки за отстраняване на нарушения
- Временна забрана за предоставяне на услуги на финансови институции в ЕС
- Публично оповестяване
Фактори за определяне на глобата
| Утежняващ фактор | Смекчаващ фактор |
|---|---|
| Продължителност и тежест на нарушението | Бързо предприемане на коригиращи мерки |
| Системни слабости в управлението | Ефективно сътрудничество с регулатора |
| Умишлено действие или груба небрежност | Първо нарушение |
| Предишни нарушения | Доброволно уведомяване |
| Отказ от сътрудничество | Инвестиции в подобряване на ИКТ рамката |
„DORA превръща ИКТ устойчивостта от технически въпрос в стратегически приоритет на борда на директорите. Персоналната отговорност на ръководството е сигнал, че ЕС не приема оправдания от типа «IT отделът се занимава с това».“
Често задавани въпроси
Прилага ли се DORA директно в България?
Да. DORA е регламент на ЕС (Regulation 2022/2554), което означава, че се прилага директно без необходимост от транспониране. В България БНБ и КФН са определени като компетентни органи съгласно закона от 8 юли 2025 г.
Какви са сроковете за докладване на ИКТ инциденти?
DORA предвижда три фази: първоначално уведомление до 4 часа от класификацията (максимум 24 часа от инцидента), междинен доклад до 72 часа и финален доклад до 1 месец. При теч на лични данни се докладва паралелно и на КЗЛД по GDPR. Вижте пълното ръководство за реакция при теч на данни.
Трябва ли малките финансови институции да спазват DORA?
Да, но с облекчения. Чл. 16 предвижда опростена ИКТ рамка за микропредприятия (под 10 служители и под 2 млн. EUR оборот). Задълженията за докладване на инциденти и управление на доставчици се прилагат за всички. За по-широк контекст вижте нашата статия за GDPR одит за бизнеса.
Каква е връзката между DORA и GDPR?
DORA и GDPR се допълват. DORA покрива оперативната устойчивост на ИКТ системите, а GDPR — защитата на личните данни. При data breach, който е и ИКТ инцидент, се прилагат двата режима паралелно с различни срокове и органи. Договорните изисквания на DORA (чл. 28–44) допълват изискванията на чл. 28 от GDPR за договори за обработка.
Тази статия отразява правното положение към 23 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
GDPR + DORA съответствие за финансови институции
Нашият екип от юристи и IT специалисти предлага цялостно решение за привеждане в съответствие с DORA и GDPR — от анализ на пропуските до внедряване на ИКТ рамка.
- Gap анализ спрямо DORA и изготвяне на пътна карта
- ИКТ рамка за управление на рисковете (чл. 6–16)
- Преглед и актуализация на договори с ИКТ доставчици
- Процедури за докладване на инциденти (DORA + GDPR)
- Подготовка за TLPT и координация с тестващи екипи
- Пълен GDPR одит и DPA с доставчици
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.