DORA godinu dana kasnije — što se promijenilo za EU fintech i kome se to tiče

DORA godinu dana kasnije — što se promijenilo za EU fintech i kome se to tiče

DORA (Digital Operational Resilience Act) je stupila na snagu 17. siječnja 2025. Sad smo godinu i pol kasnije i može se podvući prva crta — što je stvarno donijela, koje EU fintech tvrtke su pogodile sankcije, i što to konkretno znači ako gradiš ili hostas financijsku aplikaciju u EU.

Ovaj vodič nije za pravnike. Za CEO-ove, CTO-ove i web developere koji rade za financijske institucije, fintech startupe, ili tvrtke koje servisi tim institucijama (ICT servisni provideri). Praktičan pregled što se dogodilo i što tek dolazi.

Kratak podsjetnik — što je DORA

DORA je EU regulativa koja postavlja jedinstvene zahtjeve za digitalnu operativnu otpornost financijskih subjekata. Pet glavnih stupova:

  1. ICT risk management — procesi za identifikaciju, procjenu i mitigaciju ICT rizika
  2. ICT-related incident reporting — strukturalni način prijave i klasifikacije incidenata
  3. Digital operational resilience testing — periodičko testiranje sustava (pen testovi, scenariji)
  4. ICT third-party risk management — kontrola eksternih providera (uključujući hosting)
  5. Information sharing — voluntarno dijeljenje threat intelligence-a između financijskih subjekata

Pokriva: banke, investicijske firme, osiguravajuće tvrtke, kripto provider-e, payment institucije, e-money institucije, crowdfunding platforme, te ICT third-party service providere koji im pružaju kritične usluge.

Što se dogodilo u prvoj godini

1. Vodeći pristup: kritični providerski direktorij

ESAs (European Supervisory Authorities) su tijekom 2025. počele uspostavljati registre kritičnih ICT providera. Hosting i cloud kompanije koje sluđuju veliki broj financijskih subjekata su pod posebnim nadzorom. AWS, Microsoft Azure, Google Cloud su prvi u fokusu — ali i veliki europski cloud provideri.

2. Prvi sankcijski slučajevi

Sredinom 2025. izrečene su prve novčane kazne. Pretežno za:

  • Nedostatak strukturalnog incident reporting procesa (banke koje su prijavljivale incidente ad-hoc, bez formaliziranih razina klasifikacije)
  • Slab third-party risk management (financijski subjekti koji ne mogu dokumentirati ICT supply chain)
  • Manjkavo testiranje (formalni pen test plan koji ne pokriva sve kritične sustave)

Visine kazni: 0.5%-2% godišnjeg prihoda za teže prekršaje. Za veliku banku — desetci milijuna eura.

3. Zahtjev za 'oversight framework' kod hostinga

Banke i fintech tvrtke morale su dramatično ažurirati ugovore sa svojim hosting/cloud providerima. DORA traži:

  • Pravo audita
  • Detaljne SLA s konkretnim metrikama
  • Exit strategiju (kako prebaciti uslugu ako provider padne)
  • Obavještavanje o sub-procesorima
  • Lokacija data (EU vs treće zemlje, Schrems II compliance)

Manji provideri koji nisu mogli/htjeli prilagoditi ugovore — izgubili su fintech kupce.

4. Threat-led penetration testing (TLPT)

Veće institucije moraju provoditi TLPT testiranje najmanje svake 3 godine. Ovo je iznad standardnog pen testa — traži realne attack scenarije temeljene na trenutnoj threat intelligence-i. Praktički otvorilo novu industriju red-team konzultantskih kuća u EU.

Tko je pogodjen — bržanstvenoj listi

Direktno pogadja:

  • Banke i kreditni — sve
  • Investicijske firme — sve
  • Osiguravajuće tvrtke (uključujući reosiguranje)
  • Payment institucije i e-money institucije (Stripe, Revolut, Wise, lokalne payment processore)
  • Crypto-asset service providere (regulirane MiCA-om)
  • Crowdfunding platforme
  • Trading venues

Indirektno pogadja:

  • ICT third-party providere — hosting, cloud, software vendore, MSP-ove, sve koji su 'kritični' za nekog od gore navedenih
  • Web/dev agencije koje rade za fintech klijente
  • SaaS provideri koje koriste fintech (CRM, analytics, customer service tools)

Ne pogadja direktno (ali polako stiže):

  • Ostale industrije — ali NIS2 (vidi naš NIS2 članak) ih pokriva sličnim načelima

Što je doneslo dobro

1. Standardizirana terminologija

Prije DORA-e, svaka država je imala svoj rječnik za ICT incident, risk classification, testing levels. Sada je sve standardno na EU razini. To je ogromna stvar za multi-jurisdiction kompanije.

2. Jasniji odnos s vendorima

Hosting kontrakti su sad puno detaljniji oko SLA, audit prava, exit strategija. Manje 'verujte nam' i više 'ovo dokazujemo'.

3. Bolji incident response capabilities

Strukturalni reporting prisilio je banke da imaju 24/7 incident response timove sa jasnim playbook-ovima. To je smanjilo MTTD (mean time to detect) i MTTR (mean time to respond) industrijski.

Što je problematično

1. Trošak za male igrače

Mali fintech startupi se duboko muče s administrativnom burden-om. Compliance officer, third-party risk officer, formalni ICT risk management framework — to su pozicije i procesi koji opterećuju 10-50 person tim.

2. Konsolidacija providera

Mali fintech kompanije se prebacuju na velike providere koji već imaju DORA-compliant kontrakte. To znači vendor concentration — koja je inače sama po sebi rizik kojeg DORA želi smanjiti. Paradoks.

3. Sporo regulatorno tumačenje

Mnogo specifika regulative je ostavljeno za 'regulatorne tehničke standarde' (RTS) i 'implementacijske tehničke standarde' (ITS). ESAs su izdale većinu njih kroz 2024-2025, ali interpretacija u praksi je još uvijek nedosljedna.

Što tek dolazi (2026-2027)

1. Veće osovine harmonizacije s NIS2

DORA i NIS2 imaju ozbiljnih preklapanja. ESAs i ENISA rade na jasnijim smjernicama za tvrtke koje su pogodjene oboje (mnogi fintech-i jesu).

2. AI-specifične smjernice

Kako fintech sve više koristi AI (credit scoring, fraud detection, customer service), regulatori objavljuju AI-specifične smjernice unutar DORA framework-a. AI rizik je novi rizik koji DORA mora pokriti.

3. Threat intelligence sharing platforme

DORA dopušta — ali ne obavezuje — dijeljenje threat intelligence. EU je u procesu uspostavljanja zajedničkih platformi za to. Očekuje se prva 'production' platforma do kraja 2026.

Što ako sam mali fintech ili dev agencija za fintech

Praktičan checklist:

  1. Mapiraj svoj ICT supply chain — tko su tvoji providerski, koji su kritični, što imaš u SLA-u s njima
  2. Definiraj incident classification — što je major, što je minor, koji put eskalacije ide u report
  3. Formaliziraj risk register — ne mora biti 50-strana, ali mora postojati
  4. Provjeri hosting kontrakt — ima li jasne SLA, audit prava, exit strategiju, lokaciju podataka
  5. Testing plan — pen test minimalno godišnje, scenario testovi (disaster recovery) najmanje jednom
  6. Trening — sav tehnički tim treba osnovni DORA training

Hosting i DORA — što tražiti od providera

Ako gradiš ili premještaš fintech aplikaciju, hosting provider mora moći isporučiti:

  • EU data residency — server fizički u EU, ne 'EU region of US provider'
  • Detaljni DPA (Data Processing Agreement)
  • Audit pravo u ugovoru
  • Konkretne SLA s kvantificiranim uptime-om, response time-om, MTTR
  • Backup i DR plan dokumentirani
  • Lokaciju sub-procesora (third-party providere koje hosting koristi)
  • Exit assistance — pomoć ako trebaš migrirati
  • Incident notification obaveza s konkretnim vremenskim okvirima
  • Sertifikati (ISO 27001, SOC 2 ako je US-based)

WMD i fintech klijenti

Imamo nekoliko fintech klijenata koji koriste naš hosting za non-core aplikacije (marketing sajtovi, klijent portali, dokumentacija). Za core core banking sustave — to je domena specijaliziranih, certificiranih financijskih cloud providera (poput Banking-as-a-Service platformi).

Što nudimo za fintech relevantne potrebe:

  • EU data residency (server fizički u EU)
  • DPA s detaljnom listom sub-procesora
  • JetBackup s 30-dnevnim retention-om
  • 2FA na cPanelu i korisničkim stranicama
  • SSL by default
  • Audit logs u cPanelu i moj.wmd.hr
  • Transparentnu incident notification (e-mail u roku od 4h za major incidente)
  • SLA u ugovoru, ne samo na sajtu

Za detaljnije DORA/NIS2 compliance pitanja — javi se sa specifikacijama svog projekta. Rado idemo kroz konkretne klauzule.

FAQ

Treba li mi DORA ako sam vendor za fintech, a sam nisam financijski subjekt?

Ako te financijski subjekt klasificira kao 'kritični ICT third-party provider' — ti spadaš pod DORA framework. Provjeri sa svojim klijentima.

Što ako moj provider nije DORA-compliant?

Tvoja odgovornost je da to dokumentiraš i imaš exit plan. Regulator neće prihvatiti 'mi smo na X, oni su nepouzdani' kao odgovor.

Koliko stoji DORA compliance za mali fintech?

Realno: €30,000-€100,000 godišnje u dodatnom trošku (compliance officer plaća, audit fees, testing, alati). Za mali startup s 5-15 ljudi, to je značajno.

Koje su top alate za ICT risk management?

OneTrust, Vanta, Drata su top platforme. Open-source alternative postoje (Eramba) ali traže više interne ekspertize.

Što ako sam izvan EU ali servisiraj EU fintech?

I tako te DORA tiče indirektno kroz tvoje EU klijente. Oni će tražiti od tebe DORA-aligned ugovor i audit-able procese.

Zaključak

DORA godinu dana kasnije je radjuje regulativa — ne savršena, ne lagana, ali postaje sastavni dio EU financijskog ekosistema. Tko je rano prihvatio promjene, sad ima konkurentsku prednost. Tko je čekao — sada igra catch-up s ozbiljnim posljedicama.

Iz hosting perspektive: EU data residency, detaljni ugovori, jasne SLA i audit-ready dokumentacija postaju standard, ne luksuz. Mala investicija sad u pravilan setup štedi velike probleme kasnije.

Za sve aktualne promjene oko DORA-e, NIS2-a i drugih EU IT regulativa, pratit ćemo i publicirati u našim Vijestima. Imaš specifična pitanja — javi se.

DNS propagacija — zašto traje sat (ili 48), TTL strategija, i kako pratiti gdje smo  
  Novosti

Naši korisnici o nama

Adriano Bratovic

Surađujemo godinama sa WMD-om. Ne možemo dovoljno preporučiti. Izašli su u susret i napravili "ekstra" korake (koji nisu u okviru ponude) nebrojeno puta.Zavhalan što imamo takvu podršku i provider-a.

Joško Matušan

Apsolutno sam oduševljen WMD-om! Korisnička podrška je fenomenalna -brza i profesionalna te rješavaju probleme dok ste još na vezi. Usluga je stabilna, brza i pouzdana. Od kada sam kod njih, a to je desetak godina, nemam apsolutno nikakvih briga oko svog weba, tako da sam kod njih smjestio već 4…

Ivan K

Svaka čast svima u WMD podršci, koristimo dosta usluga od WMDa i svaki puta i u bilo koje doba dana ste na usluzi. Sigurno budemo i dalje koristili vaše usluge

Goran Stevic

Moram priznati, saradivao sam sa raznim firmama, ali vama svaka cast, najbolji ste !!!  Brzi odgovori, brzo resite problem  ,profesionalni stvarno svaka vam castpozdrav iz Swiden

Ivana Ivanušec

WMD je naš dugogodišnji i pouzdani partner u svijetu hostinga i web dizajna! 🚀 Njihova vrhunska tehnička podrška, brzina i profesionalnost omogućuju nam da našim korisnicima isporučimo web stranice koje rade besprijekorno. Uvijek su dostupni, susretljivi te spremni pomoći, a u tome su iznimno brzi,…

Tomislav Vrkljan

WMD nudi kvalitetne web hosting usluge uz izvrsnu korisničku podršku. Koristim njihove usluge od 2006. godine i kroz sve te godine nisam naišao na pouzdanijeg partnera u ovom području. Njihov stručni tim brzo i učinkovito rješava svaki tehnički izazov, dok fleksibilnost usluga omogućava prilagodbu…

Portal dugoselo.info

"Brzina, znanje i dostupnost WMD korisničke službe daje mi puno pouzdanje u projekt, lakoću i sigurnost u korištenju usluge i alata. Brzo, vrlo komunikativno i stručno riješili su svaki moj upit."

Prevoditeljska agencija GNOSIS

Nakon iskustava s raznim providerima, u tvrtki WMD konačno smo našli pouzdanog hosting partnera. Kvaliteta usluge je na visokom nivou, te na svaki naš upit brzo dobijemo odgovor i adekvatno rješenje. WMD mogu preporučiti svima koji žele kvalitetan i pouzdan hosting.

Problemi za 1. maj

S obzirom da smo htjeli sami kreirati sadržaje na internet stranici izabrali smo WMD. I kako to biva s početnicima naišli smo na nerješivi problem. Poslali smo zahtjev za pomoć WMD-u, ili bolje rečeno UPOMOĆ!!!!!. Bilo je to 1. svibnja ove godine dobrano iza ponoći. I…. vrlo brzo (stvarno VRLO…

SEO.hr

Ako se odlučite za hosting na temelju cijene najvjerojatnije će te završiti na kraju reda kada se sa serverom nešto dogodi. Moj savjet je da ne štedite na hostingu i da si zakupite hosting gdje će vam uvijek netko izaći u susret i pobrinuti se da sve štima bez obzira koliko ste veliki ili mali.…

Gamabon doo

U gospodarskoj krizi kakva je na našem tržištu već duže vremena, svaki izdatak bilo za robu ili uslugu se čini prevelik ili skup i to neovisno o konkretnoj novčanoj vrijednosti. A kada je roba ili usluga nekvalitetna onda je izdatak naročito velik i skup, pa i u slučaju kada nije kriza koju…

1Click - IT rješenja

Prije nekog vremena smo prešli na Vaš hosting prema preporuci kolege. Premda smo do sada već imali nekoliko domena s uslugama otvorenima kod drugih hosting firmi moramo naglasiti da smo iznimno zadovoljni s prelaskom.Želimo ovim putem pohvaliti Vašu službu za korisnike, jednostavnost te diskretno i…

Virna, obrt za informatičke usluge

Ovim putem želim pohvaliti Vašu službu za korisnike i Vašu uslugu općenito. Vaši administratori su korektni, ljubazni i imaju enormno strpljenje za sva pitanja te su voljni pomoći u svakom trenutku. Radim ovaj posao 20 godina i mogu slobodno reći da sam do sada imao samo pozitivna iskustva u…

Specijalistička ordinacija obiteljske medicine s dijagnostikom

Ako želite imati lijepu i funkcionalnu web stranicu koja će biti ogledalo Vaše djelatnosti, svakako Vam preporučujem WMD. Surađujem s ovom tvrtkom 7 godina i izuzetno sam zadovoljna njihovim uslugama hostinga, web dizajna, a posebno brzinom i kvalitetom web podrške. Izuzetno je važno da možete…

Helcos doo

Poštovana gospodo!Čestitam Vam na Vašoj ideji i realizaciji JUMBO plakata. Jedistveni su i korisni. Predlažem Vam njihovu veću animaciju, mislim da su nedovoljno poznati i prepoznati u javnosti.Na moju zamolbu da nam promjenite podlogu i tekst plakata reagirali ste brzo i poslovno – zahvaljujemo…

POGLEDAJ SVE KOMENTARE NAŠIH KORISNIKA
CMS izradite sami web stranicu
400+ web skripti na klik
CMS, Shop, Blog... automatska instalacija na 1 klik

Probni period
7 dana

Domena aktivna
za 5 minuta

DORA godinu dana kasnije — što se promijenilo za EU fintech i kome se to tiče