Grupul țintă cuprinde: membri ai organelor de conducere, directori, manageri și specialiști din societăți de asigurare și reasigurare, intermediari în asigurări, administratori de fonduri de pensii private, societăți de administrare a investițiilor, firme de investiții, operatori de piață, depozitari, contrapărți, alte entități de servicii financiare și furnizori TIC ai acestora.
Programul se adresează funcțiilor de management al riscurilor, conformitate, audit intern, control intern, securitate cibernetică, IT, continuitatea activității, juridic, achiziții, outsourcing, management operațional, protecția datelor și managementul relației cu furnizorii.
Nivelul recomandat al cunoștințelor: introductiv spre mediu. Nu este necesară expertiză tehnică avansată. Este utilă cunoașterea proceselor interne, a cadrului de control, a cerințelor de reglementare sau a relației cu furnizorii.
Cursul își propune să atingă următoarele obiective:
• Înțelegerea cadrului DORA și a impactului asupra entităților din asigurări, piața de capital și pensii private.
• Înțelegerea tranziției de la Norma ASF nr. 4/2018 la DORA: ce rămâne utilizabil, ce trebuie extins și ce cerințe noi apar.
• Clarificarea responsabilităților conducerii și ale funcțiilor cheie în guvernanța rezilienței operaționale digitale.
• Înțelegerea conceptelor de funcții critice/importante, BIA, dependențe TIC, active informaționale, servicii TIC și furnizori.
• Înțelegerea ciclului de viață al managementului riscurilor TIC: identificare, protecție, detectare, răspuns, recuperare, învățare și comunicare.
• Înțelegerea cerințelor privind incidentele TIC, continuitatea activității, testarea rezilienței și comunicarea în situații de criză.
• Clarificarea cerințelor de management al furnizorilor TIC și a elementelor contractuale de bază solicitate de DORA.
• Corelarea DORA cu ISO/IEC 27001, ISO/IEC 20000, COBIT, ITIL, NIST și cu practicile de continuitate a activității.
• Stabilirea unei foi de parcurs inițiale pentru documente, procese, controale, responsabilități și raportare.
Cursul va aborda următoarea tematică:
1. Introducere. Tranziția de la Norma ASF nr. 4/2018 la DORA
• Norma nr. 4/2018 ca punct de plecare: sisteme informatice importante, registru, audit IT, evaluare și raportare a riscurilor operaționale IT.
• DORA ca regim european integrat: de la sistem informatic important la funcție critică/importantă, serviciu TIC, dependență, furnizor, incident major și registru de informații.
• Gap analysis inițial: documentație existentă, controale deja implementate, cerințe DORA noi sau extinse.
2. Cadrul rezilienței operaționale digitale, principii, activități, CDR/RTS-uri
• Pachetul european privind finanțele digitale și rolul DORA în uniformizarea cerințelor privind riscurile TIC.
• Reziliența operațională digitală: protecție, detectare, limitare, recuperare, reparare, comunicare și învățare.
• Principiile Basel privind reziliența operațională și aplicarea proporțională în asigurări, piața de capital și pensii private.
• DORA și NIS2: DORA ca lex specialis pentru entitățile financiare.
3. Analiza de impact a afacerii (BIA), CIF și granularitate
• Metodologia BIA: obiective, domeniu, colectare date, evaluarea impactului, prioritizare și raportare.
• Funcții critice/importante și servicii de business care pot afecta clienții, participanții, investitorii, continuitatea serviciilor și obligațiile de autorizare.
• Granularitate: serviciu de business, proces, aplicație, activ informațional, infrastructură, locație, oameni și furnizori.
• Indicatori de bază: MTD, RTO, RPO, impact financiar, operațional, reputațional și de reglementare.
4. Cadrul managementului riscurilor TIC și RTS privind managementul riscurilor
• Ciclul de viață al managementului riscurilor TIC: identificare, protecție, detectare, răspuns, recuperare, învățare și comunicare.
• Identificarea și documentarea funcțiilor, activelor, dependențelor și furnizorilor.
• Registrul riscurilor TIC: metodologie, evaluare, tratament, risc rezidual, acceptare și monitorizare.
• Servicii TIC relevante: dezvoltare, help desk, securitate, hosting, cloud, licențiere, operațiuni TIC și consultanță.
5. Cerințe DORA, documentare și responsabilități
• Strategia de reziliență operațională digitală, programul de testare, politicile de risc TIC, BIA și registrele relevante.
• Documente pentru incidente, continuitate, securitate, furnizori și raportare.
• Alocarea responsabilităților pe management, risc, conformitate, audit, IT/CISO, juridic, achiziții și owneri de procese.
6. Provocări DORA și abordări de implementare
• Supravegherea bazată pe risc: raționament calificat, proporționalitate, documentare și evidențe.
• DORA ca proces permanent, nu ca proiect unic.
• Guvernanță transversală și comunicare între business, IT, risc, conformitate, audit, juridic, achiziții și furnizori.
7. Corelarea cu bune practici și standarde
• ISO 27001/27002 pentru SMSI, politici, controale, acces și răspuns la incidente.
• ISO 22301 pentru continuitatea activității și legătura cu BIA, RTO/RPO și scenarii.
• ISO 20000/ITIL pentru managementul serviciilor IT; COBIT pentru guvernanță și controale; NIST CSF pentru Govern, Identify, Protect, Detect, Respond, Recover.
8. Organizarea pe procese și servicii IT&C
• Abordarea celor 5P: people, procese, produse/tehnologie, parteneri/furnizori și pericole/mediu extern.
• Catalog servicii, owneri, SLA/OLA, dependențe, priorități și monitorizare.
• Procese suport și livrare: service desk, incidente, probleme, configurații, schimbări, lansări, capacitate, disponibilitate și continuitate.
9. Controale, maparea punctelor de control la DORA și evaluarea maturității
• Sistem de maturitate pe 5 niveluri: inițial/ad-hoc, definit, gestionat, măsurabil, optimizat.
• Controale pentru backup, recuperare, redundanță, monitorizare, răspuns la incidente, acces, securitate, reziliența aplicațiilor și testare.
• Autoevaluare: evidențe, ownership, KPI/KRI, abateri, acțiuni corective și raportare către conducere.
10. Pregătirea și planificarea implementării conformității cu DORA
• Obținerea sprijinului conducerii executive și definirea sponsorului de proiect.
• Analiză as-is/to-be, gap analysis, inventar de procese, aplicații, active, politici și controale.
• Plan etapizat: quick wins, măsuri structurale, testare, raportare și îmbunătățire continuă.
Metoda de predare combină expunerea structurată cu exemple practice și discuții aplicate pe cazuri specifice asigurărilor, pieței de capital și pensiilor private.
Se va utiliza prezentare PowerPoint, suport electronic de curs și materiale de lucru sintetice: checklist-uri, exemple de registre, exemple de mapare a funcțiilor critice/importante, exemple de clauze contractuale, modele de puncte de control și elemente de tranziție de la Norma ASF nr. 4/2018 la DORA.
Programul include întrebări și răspunsuri pe situații concrete, cu adaptarea exemplelor la profilul participanților. Nivelul de detaliu rămâne de fundamentare; exercițiile complexe, runbook-urile și construcția completă a artefactelor sunt rezervate programului DORA Advanced.
Investiția include suport de curs online de tipul share screen și suport din partea trainerului pe durata parcurgerii cursului, precum și certificatul de participare.
Programul DORA Essential este un curs de fundamentare și orientare practică. El clarifică arhitectura cerințelor DORA și modul în care acestea se aplică entităților din asigurări, piața de capital și administrarea fondurilor de pensii private, pornind de la cadrul deja cunoscut al Normei ASF nr. 4/2018.
Accentul programului este pe înțelegerea coerentă a cadrului, pe identificarea obligațiilor relevante, pe transpunerea principiului proporționalității și pe construirea unei foi de parcurs realiste pentru conformare. Cursul pregătește participanții să înțeleagă ce trebuie organizat, documentat, controlat, testat și raportat.
Norma ASF nr. 4/2018 este tratată ca precursor național al DORA pentru entitățile supravegheate de ASF: sisteme informatice importante, registru, audit IT, evaluarea riscurilor operaționale IT, controale, securitate și raportare internă. DORA extinde această logică spre reziliență operațională digitală end-to-end: managementul riscurilor, funcții critice sau importante, BIA, toleranțe la impact, cartografierea dependențelor, managementul furnizorilor TIC, incidente majore, testare și supraveghere europeană.
Rezultatul urmărit este ca participanții să poată discuta informat cu managementul, IT, risc, conformitate, audit, juridic și furnizori, să înțeleagă diferența dintre cerințele existente și cele noi și să poată iniția sau evalua un program DORA la nivel de organizație.
Programul DORA Essential poate fi urmat independent sau ca etapă de pregătire pentru programul DORA Advanced.
Cursul se va desfășura după următorul program:
- 14.07.2026, în intervalul orar: 16:00 - 20:00
- 15.07.2026, în intervalul orar: 16:00 - 20:00
Călin Mhai Rangu - Lect. univ. dr. ing. ec., MBA, certificat DORA - Digital Operational Resilience Act Trained Professional (DORATPro)™, are experiență de peste 30 de ani în domeniul financiar, IT, guvernanță, managementul riscurilor operaționale, supraveghere, control și reglementare.
A ocupat poziții de top management în instituții financiare, autorități de reglementare și supraveghere și organizații specializate: ASF, BNR, Fondul de Garantare a Asiguraților, Raiffeisen Bank România și Raiffeisen Informatik România. A coordonat sau contribuit la activități de reglementare, control, supraveghere, management IT și management al riscurilor operaționale generate de IT.
Experiența sa este relevantă pentru domeniile asigurărilor, pieței de capital și pensiilor private prin activitatea în cadrul ASF, ISF, EIOPA și în inițiative dedicate InsurTech, inovației financiare, protecției consumatorilor, guvernanței digitale, securității cibernetice și rezilienței operaționale.
A contribuit la elaborarea cadrului ASF privind riscurile operaționale generate de sistemele informatice, inclusiv Norma ASF nr. 4/2018, reper național pre-DORA pentru entitățile supravegheate de ASF, precum și la activități conexe de reglementare ASF, inclusiv contribuția la Norma ASF nr. 5/2018.
A fost președinte al Institutului de Studii Financiare, membru în boardul EFICERT, vicepreședinte al Comitetului InsurTech și membru al Comitetului pentru Inovații Financiare și Protecția Consumatorilor din cadrul EIOPA. Este cadru universitar și autor de lucrări, cursuri și articole în domeniul financiar, IT, FinTech, securitate informatică și managementul riscurilor.