DORA u fokusu: Ugovorni odnosi

DORA u fokusu: Ugovorni odnosi

25.02.2026.

Šta je DORA?

DORA je sveobuhvatna uredba EU o digitalnoj operativnoj otpornosti i sajber bezbednosti u finansijskom sektoru, formalno poznata kao Uredba (EU) 2022/2554. Postaje u potpunosti primenjiva 17. januara 2025. godine i uvodi usklađena pravila koja treba da obezbede da finansijske institucije — kao i pružaoci IKT usluga koji ih podržavaju — mogu da izdrže, adekvatno reaguju i oporave se od IKT incidenata.

Nakon uvodnog pregleda, ovaj članak se posebno fokusira na obaveze u vezi sa due diligence postupkom i ugovorne zahteve predviđene uredbom. Preostale teme iz DORA‑e biće obrađene u narednim tekstovima.

Misija DORA‑e je jednostavna, ali ambiciozna: obezbediti da finansijske institucije mogu da prežive IKT incidente — od tehničkih kvarova i prekida usluga do sofisticiranih sajber napada. Osim same otpornosti, uredba teži harmonizaciji standarda sajber bezbednosti širom EU, jačanju upravljanja IKT rizicima i unapređenju okvira za prijavu i reagovanje na incidente u celom sektoru.

DORA se primenjuje na širok spektar finansijskih subjekata: banke, kreditne i investicione institucije, osiguravajuća društva, centralne registre hartija od vrednosti i brojne druge. Takođe se neposredno odnosi na spoljnje pružaoce usluga, poput cloud platformi, alata za analitiku, data centara i drugih digitalnih infrastrukturnih servisa koji pružaju ključnu podršku finansijskim institucijama.

Paragraf 21 uredbe naglašava potrebu za snažnim okvirom upravljanja IKT rizicima i jasno definisanim mehanizmima za postupanje u slučaju incidenata. Paragraf 64 ide i korak dalje: bez obzira na aranžmane o eksternalizaciji, finansijski subjekt uvek ostaje u potpunosti odgovoran za usklađenost sa DORA‑om. Nadzor rizika trećih lica mora biti proporcionalan, ali temeljit, uzimajući u obzir prirodu, obim, složenost i kritičnost IKT zavisnosti i njihov potencijalni uticaj na kontinuitet pružanja finansijskih usluga.

Pre svega: Due Diligence

Ovde DORA posebno naglašava temu o kojoj često govorimo — temeljni due diligence pre zaključenja ugovora. Pre potpisivanja bilo kakvog aranžmana, finansijski subjekt mora analizirati značaj usluga koje se nabavljaju, pribaviti relevantna regulatorna odobrenja, proceniti rizik koncentracije, identifikovati potencijalne sukobe interesa i oceniti podobnost pružaoca IKT usluga. Ovaj proces nije formalnost — on predstavlja osnovu za svaki ugovorni odnos.

Kratak vodič kroz ugovorne aranžmane

U skladu sa DORA‑om, ugovorni odnosi moraju sadržati potpune i precizne opise ugovorenih funkcija i usluga, uključujući fizičke ili digitalne lokacije na kojima se usluga pruža i gde se podaci obrađuju. Ugovori moraju da uključe i niz obaveznih elemenata.

Strategije izlaska, na primer, nisu opcione. Ugovori moraju predvideti prelazne periode kako bi se izbegli prekidi u pružanju usluga, omogućio organizovan prelazak na drugog pružaoca ili vraćanje na interne kapacitete, kao i obezbedila otpornost čak i u slučaju sprovođenja sanacije i restrukturiranja finansijskog subjekta. Zarad pravne sigurnosti, strane mogu koristiti i standardne ugovorne klauzule nadležnih organa — poput model klauzula Evropske komisije za cloud usluge.

Suština: Ugovorne obaveze prema članu 30

Član 30 propisuje obavezne ugovorne klauzule za aranžmane o korišćenju IKT usluga. Kao što je očekivano, sva prava i obaveze moraju biti jasno definisana u pisanom obliku, u jednom dostupnom i trajnom dokumentu. Ključni elementi uključuju:

  • potpun opis svih funkcija i IKT usluga, uključujući pravila o podugovaranju (i uslove za isto, naročito kada se radi o kritičnim ili važnim funkcijama);
  • detaljne informacije o lokacijama — regionima ili državama — gde se usluge pružaju i gde se podaci obrađuju, uz obavezu obaveštavanja o svakoj promeni lokacije;
  • klauzule koje se odnose na dostupnost, integritet, autentičnost i poverljivost podataka;
  • ugovorne garancije pristupa, oporavka i povraćaja ličnih i ne‑ličnih podataka u slučaju insolventnosti, prekida poslovanja ili raskida ugovora od strane pružaoca;
  • jasne opise nivoa usluga (service level);
  • obavezu pružaoca IKT usluga da pruži podršku finansijskom subjektu bez dodatnih troškova — ili uz unapred ugovorenu naknadu — u slučaju IKT incidenta;
  • obavezu pružaoca da u potpunosti sarađuje sa nadležnim i rezolucionim telima;
  • definisana prava na raskid i minimalne otkazne rokove;
  • uslove za uključivanje pružalaca IKT usluga u programe podizanja svesti o IKT bezbednosti i obuke iz digitalne operativne otpornosti u skladu sa članom 13(6).

Za IKT usluge koje podržavaju kritične ili važne funkcije, član 30 propisuje dodatne zahteve — detaljnije opise nivoa usluge (uključujući precizne kvantitativne i kvalitativne pokazatelje), obavezu održavanja i testiranja planova kontinuiteta poslovanja, strožije obaveze izveštavanja i drugo.

Još tema iz DORA‑e stiže uskoro, ali već sada je jasno da se eksternalizacija IKT usluga ne može posmatrati kao puka komercijalna odluka. U skladu sa DORA‑om, ona postaje sastavni deo strategije operativne otpornosti — i ključna obaveza usklađenosti.

Napomena: Ovaj tekst izražava isključivo lično mišljenje autora i ne predstavlja pravni savet.

Najnoviji članci
Koji su efekti izmena Zakona o faktoringu?

Koji su efekti izmena Zakona o faktoringu?

Opširnije
Kako se tumači nejasna arbitražna klauzula i šta je princip korisnog efekta?

Kako se tumači nejasna arbitražna klauzula i šta je princip korisnog efekta?

Opširnije
Industrijski akcioni plan EU za automobilski sektor: Šta znači & šta donosi 2026. godina?

Industrijski akcioni plan EU za automobilski sektor: Šta znači & šta donosi 2026. godina?

Opširnije
Scroll