De Cristiana Deca, expert cybersecurity, CEO&cofondator Decalex Digital
Cum și-a recalibrat Europa reziliența digitală financiară și cum stă România la un an de la adoptarea Regulamentului DORA dedicat entităților financiar-bancar din Uniune, câte incidente majore s-au produs în acest timp, câte au fost raportate și cum s-au conformat jucătorii din piața financiară regulilor impuse, ce costuri în plus a generat conformarea? Sunt doar câteva dintre întrebările care se nasc acum, la un an de la intrarea în vigoare a regulamentului.
Regulamentului (UE) 2022/2554 Digital Operational Resilience Act (DORA) a intrat în vigoare la 17 ianuarie 2025, cu rezultate vizibile în creșterea raportărilor incidentelor IT, relația cu furnizorii cloud mai intensă, fiind mai strict reglementată, iar reziliența operațională digitală a trecut din zona de conformitate formală în cea de guvernanță strategică.
DORA mută reziliența digitală din zona tehnică în sfera responsabilității executive. Pentru investitori și autorități, capacitatea unei instituții de a gestiona riscul cibernetic devine un indicator de guvernanță comparabil cu solvabilitatea, lichiditatea sau adecvarea capitalului. Prin urmare, întrebarea corectă nu este dacă DORA generează costuri, ci dacă organizațiile (bănci și alte entități financiar-bancare) folosesc acest cadru pentru a-și consolida modelul operațional și poziția competitivă.
Regulamentul impune instituțiilor financiare să clasifice incidentele legate de tehnologia informației și comunicațiilor (ICT) pe baza unor criterii clar definite: impactul asupra serviciilor, durata întreruperii, pierderile economice sau impactul reputațional. De asemenea, instituțiile trebuie să raporteze „incidente majore” către autorități și, după caz, să notifice clienții sau publicul, dacă incidentul are un impact semnificativ — în funcție de normele tehnice adoptate.
DORA este primul cadru european care tratează reziliența digitală ca element structural al stabilității financiare. Regulamentul armonizează gestionarea riscului ICT, raportarea incidentelor, testarea rezilienței digitale și supravegherea furnizorilor terți critici, într-un model unitar de control și responsabilitate. Se aplică direct tuturor entităților financiare relevante – fără transpunere națională – ceea ce elimină marja de interpretare și crește presiunea asupra implementării efective.
Spre deosebire de reglementările anterioare, DORA nu mai tratează riscul cibernetic ca pe o zonă tehnică izolată, ci îl poziționează în centrul stabilității financiare sistemice și îl transferă explicit în sfera responsabilității executive și a board-ului.
Pentru instituții, implicația este clară: conformitatea DORA nu este un proiect IT, ci un program integrat de guvernanță digitală, cu impact direct asupra continuității operaționale, încrederii pieței și valorii pe termen lung. Deși cifrele consolidante la nivelul UE privind numărul total de incidente raportate abia sunt coagulate, se observă o creștere a ratei de raportare a incidentelor ICT (inclusiv cele cu impact redus).
Instituțiile financiare raportează acum mai multe incidente decât în trecut, în special cele de nivel operațional inferior, care anterior ar fi rămas interne. Acest lucru se datorează faptului că DORA standardizează și mărește transparența proceselor de detectare și raportare, aceasta fiind o tendință raportată preliminar în 2025, chiar dacă datele publice finale nu sunt încă disponibile.
Apoi, pentru că Regulamentul permite și rapoarte voluntare privind amenințările care nu s-au materializat ca incidente majore, dar care ar putea duce la astfel de incidente, este o inovație față de alte regimuri de raportare a incidentelor. Ca tendință, apare și aici o creștere de volum al datelor comunicate la nivel de UE. Tipologiile dominante raportate în primul an include atacuri ransomware, atacuri DDoS, indisponibilitate infrastructură cloud, breșe de date, incidente generate de furnizori terți ICT, erori interne de configurare.
Un capitol cu impact structural este desemnarea furnizorilor ICT critici la nivel european, tocmai pentru a minimiza efectele în lanț ale unor posibile incidente. Printre entitățile vizate se numără Amazon Web Services, Microsoft și Google Cloud, care, pentru prima data în istoria lor de business, pot fi supravegheați direct, nu doar indirect, prin instituțiile financiare-clienți.
Această acțiune este relevantă pentru că: 1. Concentrarea pieței cloud generează risc sistemic, 2. Un incident regional poate afecta simultan plăți, clearing și tranzacționare și 3. Dependența de infrastructuri globale reduce autonomia operațională a piețelor financiare europene. DORA introduce obligații privind dreptul de audit, testare, subcontractare și strategii de exit, reducând vulnerabilitatea structurală.
Cost suplimentar sau investiție strategică ?
Pentru multe instituții financiare, DORA a fost inițial percepută ca o linie bugetară suplimentară pentru 2025: sisteme de monitorizare, consolidarea funcțiilor de ICT risk management, implementarea cadrului de testare avansată (inclusiv Threat-Led Penetration Testing), revizuirea și renegocierea contractelor cu furnizorii terți critici. În realitate, DORA nu introduce doar costuri, ci ridică standardul de guvernanță digitală la nivel sistemic.
Pe termen scurt, impactul financiar este vizibil: investiții în tehnologie, procese, resurse specializate și auditabilitate. Pe termen mediu și lung, însă, instituțiile care tratează DORA ca pe un program strategic – nu ca exercițiu de conformitate – obțin beneficii structurale.
Instituțiile care integrează cerințele DORA în arhitectura lor de guvernanță, automatizează fluxurile de control și construiesc trasabilitate reală transformă o obligație regulatorie într-un activ strategic.
România în context european
În România, implementarea DORA a fost coordonată prin mecanismele existente de supraveghere ale Băncii Naționale a României (BNR) pentru sistemul bancar clasic și, respectiv, Autoritatea de Supraveghere Financiară (ASF) pentru instituțiile financiare non-bancare și alte entități ale pieței de capital
Datele publice consolidate privind numărul exact al incidentelor raportate nu sunt încă publicate, însă evaluările sectoriale indică, aidoma zonei UE, o creștere a raportării incidentelor ransomware, intensificarea notificărilor privind indisponibilitatea serviciilor externalizate. Raportat la dimensiunea pieței financiare (active bancare ~52% din PIB), România înregistrează o rată estimativă de incidente majore mai redusă decât statele cu sisteme financiare foarte digitalizate (Germania, Olanda, Franța).
Un lucru este cert, în tot acest context descris mai sus: stabilitatea financiară depinde tot mai mult de stabilitatea digitală, iar DORA marchează tranziția de la conformitate reactivă la reziliență anticipativă.
| Știri BVB