Skip to main content
Inapoi la blog
Sector

NIS2 vs DORA: Ce se aplica pentru sectorul financiar

Cum interactioneaza NIS2 si DORA pentru banci, institutii de plata si alte entitati financiare. Ce obligatii au prioritate si ce trebuie respectat din ambele.

Adrian Voicu
Advisory Services at BetterQA
7 min citire

Introducere

Pentru organizatiile din sectorul financiar, peisajul regulatoriu devine complex: NIS2 si DORA (Digital Operational Resilience Act) se suprapun partial, iar intelegerea diferentelor este esentiala pentru conformitate.

Ce este DORA?

DORA (Regulamentul UE 2022/2554) este cadrul european pentru rezilienta operationala digitala in sectorul financiar. Spre deosebire de NIS2 (care este o directiva), DORA este un regulament - se aplica direct, fara transpunere nationala.

Entitati acoperite de DORA:

  • Institutii de credit (banci)
  • Institutii de plata
  • Institutii emitente de moneda electronica
  • Firme de investitii
  • Depozitari centrali de titluri
  • Contraparti centrale
  • Platforme de tranzactionare
  • Manageri de fonduri alternative
  • Societati de administrare
  • Furnizori de servicii de raportare
  • Agentii de rating de credit
  • Furnizori de servicii de crowdfunding
  • Furnizori critici de servicii IT pentru sectorul financiar

Cum interactioneaza NIS2 si DORA?

Principiul "lex specialis"

DORA este considerata legislatie speciala pentru sectorul financiar. Conform principiului "lex specialis derogat legi generali":

  • Pentru entitatile financiare, DORA are prioritate fata de NIS2
  • Totusi, anumite prevederi NIS2 se aplica in continuare

Ce se aplica din NIS2 pentru entitatile financiare?

Conform OUG nr. 155/2024 (aprobata, cu modificari, prin Legea nr. 124/2025), entitatile reglementate de DORA trebuie sa respecte din NIS2:

  1. Obligatia de inregistrare la DNSC
  2. Prevederi privind cooperarea intre autoritati
  3. Identificarea riscurilor la nivel national
  4. Schimbul de informatii despre amenintari

Ce NU se aplica din NIS2?

  • Cerintele privind masurile de gestionare a riscurilor (capitolul IV NIS2)
  • Obligatiile de raportare a incidentelor (se aplica cele din DORA)
  • Supravegherea si aplicarea (sunt cele din DORA)

Comparatie practica NIS2 vs DORA

AspectNIS2DORA
TipDirectivaRegulament
Sector18 sectoareDoar financiar
Raportare incidente24h/72h/30 zileSimilar, cu specificatii sectoriale
Furnizori IT criticiCerinte generaleRegistru si supraveghere directa UE
TestareCerinte generaleTestare avansata obligatorie (TLPT)
Autoritate competentaDNSCASF / BNR

Cerinte specifice DORA

1. Gestionarea riscurilor TIC

  • Cadru cuprinzator de gestionare a riscurilor
  • Politici si proceduri documentate
  • Alocarea responsabilitatilor la nivel de conducere
  • Auditul functiei de risc TIC

2. Incidente TIC si raportare

  • Clasificare incidente dupa criterii specifice
  • Raportare la autoritatea financiara competenta
  • Termene similare cu NIS2 dar cu specificatii sectoriale

3. Testarea rezilentei operationale digitale

  • Testare de vulnerabilitati si penetrare
  • Testare avansata bazata pe amenintari (TLPT) pentru entitati mari
  • Frecventa si metodologie definite

4. Riscul tertilor furnizori TIC

  • Registru de furnizori IT
  • Evaluarea riscurilor inainte de contractare
  • Prevederi contractuale obligatorii
  • Strategia de iesire

5. Partajarea informatiilor

  • Participarea in mecanisme de partajare informatii
  • Notificarea autoritatilor despre amenintari

Ce trebuie sa faca entitatile financiare?

In raport cu DNSC (NIS2):

  1. Inregistrare obligatorie - Chiar daca sunteti reglementati de DORA
  2. Furnizare informatii pentru harta riscurilor nationale
  3. Cooperare in caz de incidente cu impact transsectorial

In raport cu ASF/BNR (DORA):

  1. Implementare cerinte DORA complete
  2. Raportare incidente catre autoritatea financiara
  3. Testare rezilienta conform metodologiei DORA
  4. Gestionare furnizori conform registrului DORA

Furnizori IT critici - supraveghere UE

Un aspect unic al DORA: furnizorii critici de servicii TIC pentru sectorul financiar vor fi supravegheati direct la nivel european.

Cine este considerat furnizor critic:

  • Furnizorii desemnati de Autoritatile Europene de Supraveghere
  • Cei care furnizeaza servicii unui numar mare de entitati financiare
  • Cei pentru care nu exista alternative viabile

Implicatii:

  • Audit si inspectii de la nivel UE
  • Sanctiuni directe pentru neconformitate
  • Cerinte de raportare specifice

Recomandari pentru entitatile financiare

1. Nu ignorati NIS2 complet

Chiar daca DORA este principalul cadru, inregistrarea la DNSC ramane obligatorie. Folositi NIS2 Manager pentru a va intelege clasificarea.

2. Coordonati eforturile de conformitate

  • Multe cerinte se suprapun (ex: gestionarea incidentelor)
  • Folositi aceleasi procese si documentatii unde e posibil
  • Evitati duplicarea eforturilor

3. Atentie la termenele DORA

  • DORA se aplica de la 17 ianuarie 2025
  • Unele cerinte au perioade de tranzitie
  • Testarea TLPT are cerinte specifice de implementare graduala

4. Gestionati furnizorii proactiv

  • Daca sunteti furnizor IT pentru entitati financiare, pregatiti-va
  • Registrul DORA va creste transparenta
  • Cerintele contractuale vor fi mai stricte

Concluzie

Pentru sectorul financiar, DORA este cadrul principal de conformitate pentru securitatea cibernetica, dar NIS2 ramane relevant pentru inregistrare si cooperare. O abordare integrata, care acopera ambele cadre, va sprijini procesul de conformitate si va optimiza resursele.

Entitatile financiare ar trebui sa colaboreze cu echipele juridice si de conformitate pentru a intelege exact ce obligatii se aplica in situatia lor specifica.

Verificati clasificarea NIS2


NIS2 Manager este un produs BetterQA, una dintre cele mai bune companii de testare software din Europa.

Etichete:
DORAsector financiarbanciASFBNR
Distribuie acest articol:
LinkedIn
Adrian Voicu
Advisory Services at BetterQA

GRC specialist helping organizations build robust cybersecurity governance frameworks aligned with NIS2.

Vrei sa afli daca firma ta intra sub incidenta NIS2?

Foloseste calculatorul nostru gratuit pentru a verifica eligibilitatea in doar 3 minute.

Verifica eligibilitatea gratuit

Articole similare

Cum alegi un partener de testare de securitate si conformitate NIS2 in 2026
Bune Practici

Cum alegi un partener de testare de securitate si conformitate NIS2 in 2026

NIS2 a transformat testarea de securitate intr-o obligatie legala cu termene de raportare de 24 si 72 de ore. Cum alegi un partener care iti testeaza lantul de furnizare si produce dovezi de calitate audit.

Adrian Voicu
12 min
Cine trebuie sa se conformeze NIS2 in Romania? Ghid complet de eligibilitate
Conformitate

Cine trebuie sa se conformeze NIS2 in Romania? Ghid complet de eligibilitate

Afla daca organizatia ta intra sub incidenta directivei NIS2. Criterii de incadrare, sectoare afectate, praguri de dimensiune si exceptii explicate pe intelesul tuturor.

Stefan Balan
7 min
Ce trebuie trimis la DNSC si cat de des? Ghid complet raportare NIS2
Conformitate

Ce trebuie trimis la DNSC si cat de des? Ghid complet raportare NIS2

Toate documentele obligatorii pentru DNSC: inregistrare entitate, raport anual, raportare incidente, notificari modificari. Frecventa si termene explicate.

Ana Tudor
8 min
Ce este CyFunRO si cum se calculeaza nivelul de risc ENIRE@RO
Conformitate

Ce este CyFunRO si cum se calculeaza nivelul de risc ENIRE@RO

Ghid complet despre metodologia oficiala DNSC pentru evaluarea riscului. Afla cum se calculeaza scorul CyFunRO si cate controale trebuie sa implementezi (38, 90 sau 140).

Stefan Balan
10 min
Termenele NIS2 pentru Romania: Calendar complet 2025-2027
Conformitate

Termenele NIS2 pentru Romania: Calendar complet 2025-2027

Toate termenele critice pentru conformitatea NIS2 in Romania: inregistrare DNSC, raportare incidente, rapoarte anuale. Include planul de actiune recomandat.

Ana Tudor
6 min
Amenzi NIS2: Cat te costa neconformitatea si raspunderea conducerii
Conformitate

Amenzi NIS2: Cat te costa neconformitatea si raspunderea conducerii

Structura amenzilor NIS2 (pana la 10M EUR sau 2% din CA), responsabilitatea personala a conducerii si cum sa minimizezi riscul de sanctiuni.

Adrian Voicu
7 min
160K+
organizations affected by NIS2 across the EU (ENISA, 2024)
EUR 10M
maximum penalty for NIS2 non-compliance or 2% of global turnover
24h
incident reporting deadline under NIS2 directive
18
critical sectors covered by NIS2 compliance requirements

The NIS2 Directive (EU 2022/2555) entered into force on January 16, 2023, with member states required to transpose it by October 17, 2024. According to ENISA's 2024 Threat Landscape report, ransomware attacks increased 73% year-over-year, while supply chain attacks grew by 85%. The European Commission estimates NIS2 compliance costs average EUR 120,000 per organization, but non-compliance penalties can reach EUR 10 million or 2% of global annual turnover. Only 34% of affected organizations reported full NIS2 readiness by the October 2024 deadline (EY Global Cybersecurity Survey, 2024). Romania's DNSC reported a 156% increase in cybersecurity incidents in 2024, making compliance tools essential for the 8,000+ Romanian organizations affected by the directive.

BetterQA
ISO 27001 & NATO certified security company
50+ Engineers
Cybersecurity & compliance specialists across 24 countries
Since 2018
Independent security testing & compliance expertise
NIS2 Ready
Full compliance lifecycle from assessment to certification