Grupul țintă cuprinde: membri ai conducerii executive și neexecutive, comitete de risc, responsabili DORA, coordonatori ai funcțiilor de control, CIO/CTO/CISO, IT Ops/SecOps, BCM/DR, managementul riscurilor, conformitate, audit intern, juridic, achiziții, outsourcing și owneri de procese critice/importante.
Programul este relevant pentru societăți de asigurare și reasigurare, brokeri și intermediari relevanți, administratori de fonduri de pensii private, societăți de administrare a investițiilor, firme de investiții, operatori de piață, depozitari, alte entități din infrastructura pieței de capital și furnizori TIC care deservesc aceste entități.
Nivelul recomandat al cunoștințelor: mediu spre avansat. Participanții trebuie să aibă o înțelegere generală a DORA sau experiență în risc, IT, audit, conformitate, operațiuni, securitate, continuitate, contractare ori control intern.
Cursul DORA Advanced este recomandat după DORA Essential sau după o instruire echivalentă.
Cursul își propune să atingă următoarele obiective:
• Convertirea cadrului DORA într-un model operațional auditabil, cu roluri, evidențe, fluxuri decizionale și controale măsurabile.
• Valorificarea documentației și controalelor dezvoltate în baza Normei ASF nr. 4/2018 și extinderea acestora către cerințele DORA.
• Definirea funcțiilor critice/importante, aplicarea BIA și stabilirea toleranțelor la impact, RTO/RPO/MTD și indicatorilor măsurabili.
• Maparea dependențelor interne, furnizorilor, subcontractorilor, locațiilor, aplicațiilor, datelor și punctelor unice de eșec.
• Elaborarea, negocierea și monitorizarea clauzelor contractuale DORA-ready: acces, audit, testare, SLA/SLO, securitate, localizare date, subcontractare, notificare, continuitate și exit.
• Configurarea și operarea registrului de informații privind furnizorii TIC, inclusiv câmpuri, chei, responsabilități, actualizare și raportare.
• Operaționalizarea managementului incidentelor TIC și a war-room-ului: detectare, clasificare, decizie, comunicare, raportare, cauză rădăcină și lecții învățate.
• Implementarea continuității TIC, testării periodice și scenariilor severe dar plauzibile, inclusiv cu furnizori critici.
• Definirea unui set de KPI/KRI, RACI și rapoarte de progres pentru conducere, audit și pregătirea supravegherii.
• Construirea unui plan de 90 de zile pentru închiderea gap-urilor și demonstrarea progresului operațional.
Cursul va aborda următoarea tematică:
1. Poziționare avansată: de la conformitate la execuție
• Diferența dintre existența documentației și capacitatea de demonstrare operațională a rezilienței.
• Tranziția operațională de la Norma ASF nr. 4/2018: de la sisteme informatice importante la servicii de business, CIF, BIA, dependențe și toleranțe.
• Principiile Basel și modelul celor trei linii de apărare: L1 business/IT/CISO, L2 risc și conformitate, L3 audit intern.
• RACI pe domenii cheie: risc TIC, schimbări, incidente, furnizori, continuitate, testare și raportare către board.
2. Deep dive CIF, BIA, toleranțe și hărți de servicii
• Criterii pentru identificarea funcțiilor critice/importante în asigurări, piața de capital și pensii private.
• BIA aplicat: subscriere, daune, reasigurare, administrare polițe, distribuție, tranzacționare, raportare, evaluare active, evidență participanți, contribuții și plăți pensii.
• Granularitate operațională: serviciu de business, proces, activitate, aplicație, date, infrastructură, locații, oameni, furnizori și subcontractori.
• RTO/RPO/MTD, toleranțe la impact, indicatori calitativi/cantitativi și scenarii severe dar plauzibile.
• Livrabil de lucru: structură de matrice CIF/BIA și listă de verificare pentru hărți de servicii.
3. Furnizori TIC, externalizare, subcontractare și registrul de informații
• Cartografierea dependențelor interne și externe, lanțul de subcontractare, riscul de concentrare, substituibilitatea și punctele unice de eșec.
• Due diligence intern și asupra furnizorului: securitate, continuitate, localizare date, capacitate, performanță, certificări, rapoarte de audit și incidente istorice.
• Clauze contractuale DORA-ready pentru funcții critice/importante: descriere servicii, SLA/SLO, audit, acces, testare, notificări, subcontractare, exit, asistență la incidente și returnarea datelor.
• Registrul de informații privind furnizorii TIC: entitate, contract, funcție critică/importantă, serviciu TIC, furnizor, subcontractori, țări, costuri, evaluări și guvernanță.
• Monitorizarea continuă: comitet TPRM, rapoarte periodice, deficiențe, CAPA, revizuiri și raportare către conducere.
4. Managementul incidentelor TIC și operaționalizarea War-Room
• Proces de incident: detectare, înregistrare, triere, impact, categorie, prioritate, escaladare, remediere, comunicare, închidere și post-incident review.
• Criterii pentru incident major: servicii critice afectate, clienți/contrapărți/tranzacții, pierderi de date, reputație, durată, downtime, întindere geografică și impact economic.
• War-room: structură, roluri, flux de decizie, minute, evidențe, managementul comunicării, relația cu furnizorii și cu autoritatea competentă.
• Raportare armonizată: notificare inițială, raport intermediar, raport final, cauză rădăcină, măsuri corective și lecții învățate.
• Exercițiu aplicativ: scenariu de incident major pentru platformă digitală, sistem de tranzacționare, portal clienți, sistem de daune sau sistem de evidență participanți.
5. Continuitate TIC, recuperare, testare și scenarii
• Politica de continuitate TIC și planuri de răspuns/recuperare: legătura cu BIA, RTO/RPO, DRP, backup/restore și comunicare de criză.
• Testarea planurilor de continuitate TIC, failover, restore, tabletop, scenarii severe dar plauzibile, teste end-to-end, testare cu furnizorii și evidențe.
• Integrarea rezultatelor testelor în planuri de remediere, buget, priorități și raportări către conducere.
• Managementul vulnerabilităților și testarea rezilienței: scanări, teste de penetrare, TLPT unde este aplicabil, revizuiri de cod și testare de securitate.
6. Change/release, securitate și controale operaționale
• Fluxuri controlate pentru schimbări standard, normale și urgente: CAB, go/no-go, rollback, ELS, versionare și evidențe.
• Gate-uri de securitate și testare în ciclul de dezvoltare: separare medii, acces, date de test, validare, performanță, disponibilitate și reziliență.
• KPI/KRI: patching, vulnerabilități, acoperire MFA/PAM, logging, retenție, incidente, disponibilitate, testare BC/DR, due diligence furnizori și acțiuni restante.
• Evaluarea maturității controalelor și pregătirea auditului intern sau a controlului de supraveghere.
7. Plan de implementare accelerată și livrabile DORA
• Plan de 90 de zile: guvernanță, inventar, gap analysis, prioritizare, owneri, quick wins, controale, testare și raportare.
• Livrabile: checklist CIF/BIA, checklist incident major, checklist continuitate TIC, checklist furnizori TIC, checklist change/release, audit intern DORA.
• Șabloane: politici, runbook MIM, matrice RACI, plan de ieșire, structură registru RT.01-RT.07, mini-catalog KPI/KRI, raport de progres către conducere.
• Îmbunătățire continuă: lecții învățate, revizuirea cadrului ICT, acțiuni corective, audit și actualizarea strategiei de reziliență digitală.
Metoda de predare este de tip workshop aplicativ, cu prezentare PowerPoint, suport electronic de curs, studii de caz, exerciții ghidate și discuții pe situații operaționale reale.
Se vor utiliza exemple de artefacte DORA: checklist-uri, modele de politici, runbook de incident major, structură de registru al furnizorilor TIC, matrice RACI, plan de ieșire, catalog KPI/KRI, exemple de clauze contractuale și instrumente pentru tranziția de la Norma ASF nr. 4/2018 la DORA.
Programul poate fi adaptat pe profilul participanților: executive briefing, tehnic/operațional, audit/conformitate sau sesiune mixtă pentru entitate și furnizori relevanți. Spre deosebire de DORA Essential, accentul este pe aplicare, decizie, evidențe, testare, exerciții și verificabilitate.
Investiția include suport de curs online de tipul share screen și suport din partea trainerului pe durata parcurgerii cursului, precum și certificatul de participare.
Programul DORA Advanced este un curs aplicativ de profunzime. El pornește de la premisa că participanții cunosc structura DORA și au nevoie să transforme cerințele în procese, evidențe, decizii, controale, contracte, testări și raportări demonstrabile.
Spre deosebire de programul DORA Essential, care oferă cadrul complet de înțelegere și inițiere a implementării, DORA Advanced se concentrează pe ariile aflate în prezent în zona de interes major pe piață: identificarea funcțiilor critice/importante, BIA și toleranțe, registrul de informații privind furnizorii TIC, managementul terților și subcontractorilor, clauze contractuale DORA-ready, incidente majore, war-room, continuitate TIC, testare, KPI/KRI, RACI și pregătirea auditului sau a controlului de supraveghere.
Cursul este conceput pentru organizații care au depășit etapa de familiarizare și trebuie să închidă gap-uri, să clarifice responsabilități, să negocieze cu furnizorii, să documenteze controale, să testeze reziliența și să demonstreze progresul către board, audit intern și autorități.
Rezultatul urmărit este ca participanții să poată proiecta sau revizui un model operațional DORA: cine decide, cine execută, ce dovezi se păstrează, ce indicatori se urmăresc, ce se raportează și cum se acționează în caz de incident major.
Programul DORA Advanced este recomandat participanților care au parcurs programul DORA Essential sau dețin deja o înțelegere de bază a DORA și a cadrului de control intern.
Cursul se va desfășura după următorul program:
- 18.08.2026, în intervalul orar: 16:00 - 20:00
- 19.08.2026, în intervalul orar: 16:00 - 20:00
Călin Mhai Rangu - Lect. univ. dr. ing. ec., MBA, este doctor în științe, specializarea rețele neurale (AI) în procesarea seriilor financiare, certificat DORA - Digital Operational Resilience Act Trained Professional (DORATPro)™, are experiență de peste 30 de ani în domeniul financiar, IT, guvernanță, managementul riscurilor operaționale, supraveghere, control și reglementare.
A ocupat poziții de top management în instituții financiare, autorități de reglementare și supraveghere și organizații specializate: ASF, BNR, Fondul de Garantare a Asiguraților, Raiffeisen Bank România și Raiffeisen Informatik România. A coordonat sau contribuit la activități de reglementare, control, supraveghere, management IT și management al riscurilor operaționale generate de IT.
Experiența sa este relevantă pentru domeniile asigurărilor, pieței de capital și pensiilor private prin activitatea în cadrul ASF, ISF, EIOPA și în inițiative dedicate InsurTech, inovației financiare, protecției consumatorilor, guvernanței digitale, securității cibernetice și rezilienței operaționale.
A contribuit la elaborarea cadrului ASF privind riscurile operaționale generate de sistemele informatice, inclusiv Norma ASF nr. 4/2018, reper național pre-DORA pentru entitățile supravegheate de ASF, precum și la activități conexe de reglementare ASF, inclusiv contribuția la Norma ASF nr. 5/2018.
A fost președinte al Institutului de Studii Financiare, membru în boardul EFICERT, vicepreședinte al Comitetului InsurTech și membru al Comitetului pentru Inovații Financiare și Protecția Consumatorilor din cadrul EIOPA. Este cadru universitar și autor de lucrări, cursuri și articole în domeniul financiar, IT, FinTech, securitate informatică și managementul riscurilor.