DORA για ΕΠΕΥ στην Κύπρο: Οδηγός Συμμόρφωσης 2026

Η DORA έγινε directly applicable στις 17 Ιανουαρίου 2025, χωρίς δυνατότητα εθνικής transposition — αλλά στην Κύπρο η πραγματικότητα είναι πιο σύνθετη. Η CySEC έχει εκδώσει τα Circulars C700 και C751, το Υπουργείο Οικονομικών έχει ορίσει τις αρμόδιες αρχές, και η Directive 73-2009-07 εισάγει ετήσιες εισφορές. Αυτός ο οδηγός εξηγεί τι σημαίνει όλο αυτό για τις Κυπριακές ΕΠΕΥ και τις συνδεδεμένες οντότητες στην πράξη.

Τι είναι η DORA

Ο Κανονισμός (ΕΕ) 2022/2554, γνωστός ως Digital Operational Resilience Act (DORA), είναι το πρώτο ευρωπαϊκό νομοθέτημα που ρυθμίζει ενιαία την επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα απέναντι σε ICT κινδύνους. Τέθηκε σε εφαρμογή από τις 17 Ιανουαρίου 2025.

Ως Κανονισμός (Regulation) και όχι Οδηγία (Directive), η DORA εφαρμόζεται άμεσα και ομοιόμορφα σε όλα τα Κράτη Μέλη. Η παράλληλη DORA Amending Directive (ΕΕ) 2022/2556 τροποποιεί οχτώ άλλες οδηγίες του χρηματοπιστωτικού τομέα ώστε να ευθυγραμμιστούν με το νέο πλαίσιο.

📜 Νομική Αναφορά

Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα. Εφαρμόζεται από 17 Ιανουαρίου 2025.

Ποιοί εμπίπτουν στην Κύπρο

Το πεδίο εφαρμογής της DORA είναι ιδιαίτερα ευρύ. Στην Κυπριακή αγορά, οι κύριες υπόχρεες οντότητες υπό CySEC εποπτεία είναι:

Cyprus Investment Firms (CIFs) — ΕΠΕΥ αδειοδοτημένες υπό Ν. 87(I)/2017.
Administrative Service Providers (ASPs) — ΠΥΑΣ υπό Ν. 196(I)/2012.
Alternative Investment Fund Managers (AIFMs) — Διαχειριστές ΟΕΕ.
UCITS Management Companies — Διαχειριστές ΟΣΕΚΑ.
Crypto-Asset Service Providers (CASPs) — κρυπτοπάροχοι υπό MiCA.
Central Securities Depositories.

Υπό την Central Bank of Cyprus (CBC) εμπίπτουν επιπλέον: τραπεζικοί οργανισμοί, ιδρύματα πληρωμών, ιδρύματα ηλεκτρονικού χρήματος, ασφαλιστικές οντότητες. Το Υπουργείο Οικονομικών με το RAA 252/2025 (14 Αυγούστου 2025) όρισε επίσημα τις αρμόδιες αρχές ανά κατηγορία οντότητας.

Η αρχή της αναλογικότητας

Η DORA εφαρμόζει proportionality βάσει μεγέθους και πολυπλοκότητας. Οι "microenterprises" (λιγότεροι από 10 εργαζόμενοι, €2M balance sheet ή turnover) έχουν ελαφρύτερες υποχρεώσεις. Οι περισσότερες Κυπριακές CIFs και ASPs εμπίπτουν στις κατηγορίες small ή medium και έχουν πλήρη υποχρέωση ICT risk management framework, αλλά εξαιρούνται συνήθως από TLPT.

Οι 5 Πυλώνες της DORA

1. ICT Risk Management (Άρθρα 5-16)

Τεκμηριωμένο ICT risk management framework που καλύπτει governance, risk identification, protection, detection, response, recovery, και learning. Απαιτεί board approval του framework, ετήσια review και ICT risk management function. Για οντότητες με υπάρχον ISO 27001 ISMS, το 60-70% των απαιτήσεων καλύπτεται άμεσα.

2. Incident Management (Άρθρα 17-23)

Classification, logging, handling και reporting ICT-related incidents. Εκτενής ανάλυση στο επόμενο section.

3. Digital Operational Resilience Testing (Άρθρα 24-27)

Ετήσιο testing program για κρίσιμα συστήματα και διαδικασίες. Για επιλεγμένες οντότητες — TLPT (Threat-Led Penetration Testing) κάθε 3 έτη.

4. ICT Third-Party Risk (Άρθρα 28-44)

Διαχείριση κινδύνου από ICT third-party providers, συμπεριλαμβανομένων cloud services. Μητρώο πληροφοριών, συμβατικές υποχρεώσεις, due diligence. Ίσως το πιο απαιτητικό κομμάτι για μικρές ΕΠΕΥ.

5. Information Sharing & Oversight (Άρθρα 45-49)

Εθελοντική ανταλλαγή πληροφοριών για cyber threats μεταξύ financial entities. Oversight framework για Critical Third-Party Providers (CTPPs) σε επίπεδο ΕΕ.

Incident Classification & Reporting

Ένα από τα πιο εντατικά κομμάτια της DORA, με αυστηρές προθεσμίες:

Initial notification: εντός 4 ωρών από classification (και όχι αργότερα από 24 ώρες από detection) για major ICT incidents.
Intermediate update: εντός 72 ωρών.
Final report: εντός 1 μήνα.

Η CySEC μέσω του Circular C700 (8 Απριλίου 2025) έχει οριστικοποιήσει τη διαδικασία υποβολής: μέσω του Transaction Reporting System (TRS), με χρήση των ESA-prescribed templates.

⚠️ CySEC Circular C751 (19 Ιανουαρίου 2026)

Η CySEC εντόπισε συστηματικές αδυναμίες στην ταξινόμηση και αναφορά περιστατικών από εποπτευόμενες οντότητες: (α) περιστατικά που έπρεπε να ταξινομηθούν ως major αλλά δεν αναφέρθηκαν, (β) λανθασμένη ταξινόμηση non-major ως major. Συστήνεται η χρήση του classification diagram του Annex του Κανονισμού.

Third-Party Risk — το πιο δύσκολο κομμάτι

Τα Άρθρα 28-30 της DORA απαιτούν από κάθε financial entity:

Register of Information — μητρώο όλων των ICT third-party παρόχων, με διάκριση κρίσιμων/σημαντικών λειτουργιών από τους υπόλοιπους.
Due diligence πριν από κάθε νέα σύμβαση — security assessments, financial stability, concentration risk.
Συμβατικές υποχρεώσεις — συγκεκριμένες clauses που πρέπει να περιλαμβάνονται σε contracts: audit rights, exit strategy, data location, subcontracting controls.
Exit strategies για κρίσιμους/σημαντικούς παρόχους, δοκιμασμένες και τεκμηριωμένες.
Ongoing monitoring απόδοσης, incidents, συμμόρφωσης.

Η πρακτική πρόκληση για τις μικρές Κυπριακές ΕΠΕΥ: η επαναδιαπραγμάτευση contracts με Microsoft, Google, AWS και άλλους hyperscalers για να εισαχθούν οι DORA-required clauses. Οι μεγάλοι πάροχοι παρέχουν πλέον standard DORA addenda — αλλά αυτό δεν εξαιρεί την υποχρέωση documentation και assessment.

Testing & TLPT

Όλες οι οντότητες (εκτός microenterprises) πρέπει να έχουν testing program για ICT tools, systems και applications που υποστηρίζουν critical/important functions. Τυπικά: vulnerability assessments, penetration tests, network security assessments, scenario-based tests.

Το TLPT (Threat-Led Penetration Testing) είναι πολύ πιο απαιτητικό — realistic attack simulation από qualified external testers, βασισμένο σε threat intelligence. Απαιτείται κάθε 3 έτη για επιλεγμένες οντότητες. Η CySEC επιλέγει sample βάσει risk profile και operational circumstances. Όταν απαιτείται, καταβάλλεται fixed fee €20.000 στην CySEC για επιθεώρηση και εποπτεία του TLPT.

💡 Για τις περισσότερες CIFs/ASPs

Η καλή είδηση: οι περισσότερες small/medium CIFs και ASPs στην Κύπρο δεν θα υπόκεινται σε υποχρεωτικό TLPT, καθώς η CySEC θα το ζητήσει επιλεκτικά. Ωστόσο, το standard testing program (annual vulnerability scans, biennial pen tests, scenario-based tests) παραμένει υποχρεωτικό για όλους.

CySEC Circulars & Fees

Η CySEC έχει εκδώσει δύο κύρια DORA circulars:

C700 (8 Απριλίου 2025) — αρχική guidance για implementation.
C751 (19 Ιανουαρίου 2026) — supervisory guidance με έμφαση στο incident classification.

Η Directive 73-2009-07 (29 Αυγούστου 2025) εισάγει ετήσιες εισφορές CySEC για όλες τις εποπτευόμενες οντότητες υπό DORA, με βάση το size classification:

Microenterprise: χαμηλότερη εισφορά.
Small / Medium / Large: προοδευτικά μεγαλύτερες εισφορές.

Τα firms πρέπει να δηλώσουν το size category τους σε συγκεκριμένες ημερομηνίες ετήσια, με βάση τα πιο πρόσφατα ελεγμένα οικονομικά τους. Για entities που απαιτείται TLPT, προστίθεται fixed fee €20.000.

DORA vs NIS2 — ποιο ισχύει;

Κρίσιμη διάκριση για financial entities: η DORA είναι lex specialis σε σχέση με τη NIS2. Αυτό σημαίνει ότι για financial entities, οι εξειδικευμένες απαιτήσεις της DORA και η εποπτεία από financial regulators υπερισχύουν σε περίπτωση επικάλυψης. Στην πράξη: μια Κυπριακή CIF υπόκειται σε DORA (όχι NIS2) για cybersecurity obligations.

Αυτό δεν σημαίνει ότι η NIS2 δεν υπάρχει για financial sector — σημαίνει ότι η εξειδικευμένη DORA καλύπτει τις περισσότερες υποχρεώσεις. Για Κυπριακές επιχειρήσεις που δραστηριοποιούνται και εκτός financial (π.χ. ASPs που παρέχουν υπηρεσίες σε άλλους τομείς), μπορεί να υπάρχει dual exposure.

Roadmap για Κυπριακές ΕΠΕΥ που ξεκινούν τώρα

Μήνας 1: DORA gap assessment κατά framework με 5 pillars. Δήλωση size classification στην CySEC.
Μήνας 1-3: ICT Risk Management Framework documentation, board approval, ορισμός ICT control function.
Μήνας 2-4: Register of Information για all ICT third-party providers. Classification critical vs non-critical. Renegotiation clauses στις κρίσιμες συμβάσεις.
Μήνας 3-5: Incident classification procedure, reporting templates, TRS-ready submission process. Table-top exercises.
Μήνας 4-6: Testing program (annual scope, scenarios). Αν επιλεγείτε για TLPT, προετοιμασία για 3ετή κύκλο.
Μήνας 6-9: Business Continuity & ICT Response Plans. Τεκμηριωμένα exit strategies.
Μήνας 9-12: Internal audit, management review, continuous improvement. Ενσωμάτωση σε υπάρχον compliance framework.

Συχνές Ερωτήσεις

Έχω ήδη ISO 27001. Αρκεί για DORA;

Όχι, αλλά καλύπτει το 60-70%. Το ISO 27001 δίνει το ICT risk management foundation. Προστίθενται DORA-specific: incident classification/reporting procedures (Articles 17-23), third-party register (Article 28), TLPT readiness, συγκεκριμένες συμβατικές απαιτήσεις.

Microenterprise εξαίρεση — είμαι μέσα;

Microenterprise σύμφωνα με τη DORA: λιγότεροι από 10 εργαζόμενοι ΚΑΙ annual turnover ή balance sheet ≤ €2M. Ακόμα και ως microenterprise, έχετε υποχρεώσεις — απλώς ελαφρύτερες, με απλοποιημένο ICT risk framework.

Τι ακριβώς είναι major incident;

Ορίζεται βάσει συνδυασμού κριτηρίων: number of clients/counterparts affected, duration, geographical spread, data losses, economic impact, criticality of services. Το Regulation Annex και η CySEC Circular C751 περιέχουν το classification diagram.

Πόσο κοστίζει η DORA compliance;

Για μικρή-μεσαία Κυπριακή CIF, ενδεικτικά: €15.000-€40.000 initial implementation (εξωτερικός σύμβουλος + internal time), €8.000-€15.000 ετησίως ongoing (testing, audits, refresh), plus CySEC annual fees βάσει classification.

Πώς σχετίζεται με MiCA για crypto-asset firms;

Για Κυπριακούς CASPs, ισχύουν παράλληλα DORA και MiCA (Κανονισμός (ΕΕ) 2023/1114). Η MiCA επιβάλλει επιπλέον prudential και conduct requirements. DORA καλύπτει το operational resilience skeleton και για τους CASPs.