Τι Είναι ο Κανονισμός DORA

Ο κανονισμός DORA (Digital Operational Resilience Act) αποτελεί τη νέα ευρωπαϊκή νομοθεσία που καθορίζει πώς τα χρηματοπιστωτικά ιδρύματα πρέπει να διαχειρίζονται τον ψηφιακό λειτουργικό κίνδυνο. Σε αντίθεση με την οδηγία NIS2 που απευθύνεται ευρύτερα, ο DORA στοχεύει αποκλειστικά τον χρηματοπιστωτικό τομέα — και είναι κανονισμός, όχι οδηγία, που σημαίνει ότι εφαρμόζεται άμεσα σε κάθε κράτος-μέλος χωρίς ανάγκη εθνικής ενσωμάτωσης.

Για τις ελληνικές τράπεζες, ασφαλιστικές εταιρείες, εταιρείες διαχείρισης κεφαλαίων, χρηματιστηριακές, και fintech, ο DORA εισάγει συγκεκριμένες υποχρεώσεις κυβερνοασφάλειας με αυστηρά timelines και ουσιαστικές κυρώσεις.

Ποιους Αφορά ο DORA στην Ελλάδα

Ο DORA καλύπτει ένα ευρύ φάσμα χρηματοπιστωτικών οντοτήτων:

  • Πιστωτικά ιδρύματα: Τράπεζες, συνεταιριστικές τράπεζες
  • Ιδρύματα πληρωμών και ιδρύματα ηλεκτρονικού χρήματος
  • ΕΠΕΥ: Εταιρείες Παροχής Επενδυτικών Υπηρεσιών
  • Ασφαλιστικές εταιρείες και αντασφαλιστικές
  • ΑΕΔΑΚ: Εταιρείες Διαχείρισης Αμοιβαίων Κεφαλαίων
  • Γραφεία αξιολόγησης πιστοληπτικής ικανότητας
  • Πάροχοι υπηρεσιών κρυπτοστοιχείων
  • ICT third-party service providers: Κρίσιμοι τεχνολογικοί πάροχοι του χρηματοπιστωτικού τομέα (cloud, data centers, managed services)

Στην Ελλάδα, η εποπτεία ασκείται κυρίως από την Τράπεζα της Ελλάδος, την Επιτροπή Κεφαλαιαγοράς και, σε ευρωπαϊκό επίπεδο, από τις ESAs (EBA, ESMA, EIOPA).

Οι 5 Πυλώνες του DORA

Οι 5 πυλώνες του κανονισμού DORA για χρηματοπιστωτικά ιδρύματα

Ο κανονισμός DORA δομείται σε πέντε θεματικούς πυλώνες:

1. ICT Risk Management

Κάθε χρηματοπιστωτικό ίδρυμα πρέπει να διαθέτει ολοκληρωμένο πλαίσιο διαχείρισης ICT κινδύνων, με σαφή governance, documented policies, risk assessment procedures, και μηχανισμούς prevention, detection, response και recovery. Η διοίκηση φέρει ρητή ευθύνη για τη στρατηγική ICT risk management.

2. ICT Incident Management & Reporting

Ο DORA καθορίζει αυστηρές υποχρεώσεις αναφοράς κυβερνοεπιθέσεων:

  • Initial notification: Εντός 4 ωρών από τη στιγμή classification ενός major incident
  • Intermediate report: Εντός 72 ωρών με αναλυτική πληροφόρηση
  • Final report: Εντός 1 μηνός μετά την αποκατάσταση

Σε σύγκριση με τη NIS2 (24 ωρών first notification), ο DORA είναι ακόμη αυστηρότερος στο classification timeline. Οι οργανισμοί χρειάζονται 24/7 monitoring capabilities — μία υπηρεσία που η Audax Cybersecurity παρέχει μέσω του Managed SOC.

3. Digital Operational Resilience Testing

Αυτός ο πυλώνας αποτελεί κρίσιμο σημείο διαφοροποίησης. Ο DORA απαιτεί:

  • Τακτικά vulnerability assessments και penetration tests σε κρίσιμα ICT συστήματα
  • Threat-Led Penetration Testing (TLPT): Εξελιγμένα penetration tests βασισμένα σε πραγματικά threat intelligence δεδομένα, σχεδιασμένα σύμφωνα με το πλαίσιο TIBER-EU
  • Red Team exercises: Προσομοίωση πραγματικών APT (Advanced Persistent Threat) σεναρίων

Η ομάδα Penetration Testing της Audax εκτελεί TLPT engagements σύμφωνα με τις απαιτήσεις DORA, αξιοποιώντας threat intelligence από πραγματικά adversary campaigns.

4. ICT Third-Party Risk Management

Ο DORA εισάγει αυστηρές απαιτήσεις για τη διαχείριση κινδύνων από τρίτους τεχνολογικούς παρόχους. Κάθε ίδρυμα πρέπει να τηρεί μητρώο ICT outsourcing, να αξιολογεί τους παρόχους, να διαθέτει exit strategies, και να εξασφαλίζει συμβατικά audit rights.

5. Information Sharing

Ο DORA ενθαρρύνει (χωρίς να υποχρεώνει) την ανταλλαγή πληροφοριών για κυβερνοαπειλές μεταξύ χρηματοπιστωτικών ιδρυμάτων, μέσω εμπιστευτικών πλαισίων information sharing.

DORA και Threat-Led Penetration Testing (TLPT)

DORA TLPT - Threat-Led Penetration Testing μεθοδολογία

Το TLPT αποτελεί μία από τις πιο απαιτητικές υποχρεώσεις του DORA. Σε αντίθεση με ένα τυπικό penetration test, ένα TLPT:

  • Βασίζεται σε bespoke threat intelligence: αναλύονται οι πραγματικές απειλές (APT groups, cybercrime syndicates) που στοχεύουν τον συγκεκριμένο οργανισμό ή τον τομέα του
  • Εκτελείται ως Red Team exercise: η ομάδα προσομοιώνει full-scope επιθέσεις (social engineering, infrastructure exploitation, lateral movement, data exfiltration)
  • Ακολουθεί το πλαίσιο TIBER-EU: standardized methodology αναγνωρισμένη από τις Ευρωπαϊκές εποπτικές αρχές
  • Αφορά κρίσιμα live production συστήματα: δεν εκτελείται σε test environments αλλά σε πραγματική υποδομή

Η Audax Cybersecurity διαθέτει την τεχνική ικανότητα για TLPT engagements, αξιοποιώντας adversary intelligence από τη δική μας πλατφόρμα Erevos AI και εμπειρία σε Red Team Assessments.

Χρονοδιάγραμμα Εφαρμογής DORA

  • Ιανουάριος 2023: Ο κανονισμός δημοσιεύτηκε στην Επίσημη Εφημερίδα της ΕΕ
  • Ιανουάριος 2025: Ο DORA τέθηκε σε πλήρη εφαρμογή σε ολόκληρη την ΕΕ
  • 2025-2026: Τα χρηματοπιστωτικά ιδρύματα πρέπει να αποδείξουν πλήρη συμμόρφωση κατά τους εποπτικούς ελέγχους
  • Συνεχής: Τακτικά TLPT, ICT risk assessments, incident reporting σε μόνιμη βάση

Κρίσιμο για ελληνικά ιδρύματα: Ο DORA ισχύει ήδη. Δεν υπάρχει μεταβατική περίοδος. Κάθε χρηματοπιστωτικό ίδρυμα πρέπει τώρα να μπορεί να τεκμηριώσει τη συμμόρφωσή του.

Πώς να Προετοιμαστεί ένα Ελληνικό Χρηματοπιστωτικό Ίδρυμα

  1. DORA Gap Assessment: Αξιολόγηση του τρέχοντος επιπέδου ωριμότητας σε σχέση με τους 5 πυλώνες DORA. Η υπηρεσία DORA Cyber Resilience της Audax παρέχει αυτή τη δομημένη αξιολόγηση.
  2. ICT Risk Management Framework: Ανάπτυξη ή βελτίωση του πλαισίου ICT risk management σύμφωνα με τα RTS/ITS που εξέδωσαν οι ESAs
  3. Incident Response Capability: Εξασφάλιση 24/7 detection και response ικανότητας — εσωτερικά ή μέσω Managed SOC
  4. Penetration Testing Program: Θεσμοθέτηση τακτικών penetration tests και προετοιμασία για TLPT
  5. Third-Party Assessment: Αξιολόγηση ICT παρόχων, ενημέρωση συμβάσεων, δημιουργία exit strategies
  6. Board-Level Governance: Εξασφάλιση ότι η διοίκηση κατανοεί και εγκρίνει τη στρατηγική ICT risk

DORA vs NIS2: Τι Πρέπει να Γνωρίζετε

Σύγκριση DORA και NIS2 - Τι πρέπει να γνωρίζετε

Πολλοί ελληνικοί χρηματοπιστωτικοί οργανισμοί αναρωτιούνται αν πρέπει να συμμορφωθούν και με τα δύο. Η σύντομη απάντηση: ο DORA υπερισχύει της NIS2 για τον χρηματοπιστωτικό τομέα ως lex specialis. Ωστόσο, η NIS2 μπορεί να εφαρμοστεί σε πτυχές που ο DORA δεν καλύπτει ρητά.

Η Audax Cybersecurity παρέχει ολοκληρωμένη υποστήριξη και για τους δύο κανονισμούς, βοηθώντας τους οργανισμούς να αξιοποιήσουν κοινές μεθοδολογίες χωρίς αλληλεπικάλυψη εργασιών.

Συχνές Ερωτήσεις (FAQ)

Ο DORA ισχύει ήδη στην Ελλάδα;

Ναι. Ο DORA τέθηκε σε πλήρη εφαρμογή τον Ιανουάριο 2025. Ως ευρωπαϊκός κανονισμός (regulation), ισχύει άμεσα χωρίς ανάγκη εθνικής ενσωμάτωσης.

Πόσο συχνά πρέπει να γίνεται TLPT;

Σύμφωνα με τον DORA, τα systemically important ιδρύματα πρέπει να εκτελούν TLPT τουλάχιστον κάθε 3 χρόνια. Ωστόσο, οι εποπτικές αρχές μπορεί να απαιτήσουν συχνότερα tests ανάλογα με το risk profile.

Μπορούμε να χρησιμοποιήσουμε εσωτερική ομάδα για TLPT;

Ο DORA απαιτεί ο threat intelligence provider και ο Red Team tester να είναι ανεξάρτητοι. Η εσωτερική ομάδα μπορεί να συμμετέχει ως Purple Team, αλλά η κύρια εκτέλεση πρέπει να γίνει από εξωτερικό πάροχο.

Τι κυρώσεις προβλέπει ο DORA;

Οι εποπτικές αρχές μπορούν να επιβάλουν administrative penalties, αφαίρεση αδείας λειτουργίας, δημόσια ανακοίνωση παράβασης, και πρόστιμα σε ICT third-party providers. Τα ακριβή ποσά καθορίζονται κατά περίπτωση.

Ξεκινήστε τη Συμμόρφωση DORA

Ο χρόνος μετρά αντίστροφα. Η Audax Cybersecurity βοηθά ελληνικά χρηματοπιστωτικά ιδρύματα να αξιολογήσουν την ετοιμότητά τους, να εκτελέσουν TLPT, και να χτίσουν μετρήσιμη ψηφιακή ανθεκτικότητα σύμφωνα με τον DORA.

Ζητήστε αξιολόγηση ετοιμότητας DORA από τους ειδικούς μας. Επικοινωνήστε στο epikoinwnia ή καλέστε στο +30 210 983 9367.