Πότε δεσμεύεται μια επιχείρηση από τον Κανονισμό DORA;
Περιληπτικά:
- Ο Κανονισμός DORA (Digital Operational Resilience Act) δεσμεύει δύο κατηγορίες επιχειρήσεων: τις χρηματοπιστωτικές οντότητες της ΕΕ και τους τρίτους παρόχους Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) που τις εξυπηρετούν.
- Ο πάροχος ΤΠΕ συνήθως δεν υπάγεται άμεσα ως ρυθμιζόμενη οντότητα, αλλά δεσμεύεται έμμεσα: η σύμβασή του με χρηματοπιστωτική οντότητα πρέπει να περιέχει τις υποχρεωτικές ρήτρες του άρθρου 30.
- Οι συμβατικές απαιτήσεις κλιμακώνονται όταν η υπηρεσία υποστηρίζει «κρίσιμη ή σημαντική λειτουργία».
- Ο Κανονισμός εφαρμόζεται από τις 17 Ιανουαρίου 2025. Στην Ελλάδα τις αρμόδιες αρχές και τις κυρώσεις ορίζει ο Ν. 5193/2025.
Ποιες οντότητες υπάγονται στον Κανονισμό DORA;
Ο Κανονισμός (ΕΕ) 2022/2554 (Digital Operational Resilience Act – DORA) εφαρμόζεται από τις 17 Ιανουαρίου 2025 και δεσμεύει δύο κατηγορίες επιχειρήσεων. Πρώτον, τις χρηματοπιστωτικές οντότητες που δραστηριοποιούνται στην ΕΕ (πχ πιστωτικά ιδρύματα, ασφαλιστικές και αντασφαλιστικές επιχειρήσεις, επιχειρήσεις επενδύσεων, ιδρύματα ηλεκτρονικού χρήματος, παρόχους υπηρεσιών κρυπτοστοιχείων και παρόχους υπηρεσιών πληθοχρηματοδότησης). Δεύτερον, τους τρίτους παρόχους Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) που τις εξυπηρετούν.
Ο σκοπός του Κανονισμού είναι να καλύψει ολόκληρη την αλυσίδα αξίας των χρηματοπιστωτικών υπηρεσιών, ώστε ένα συμβάν σε έναν πάροχο λογισμικού να μην απειλεί τη σταθερότητα του ίδιου του χρηματοπιστωτικού συστήματος. Για τις επιχειρήσεις που δραστηριοποιούνται σε κρυπτοστοιχεία, η υπαγωγή στον DORA συνδέεται στενά με τον ευρύτερο νομικό έλεγχο συμμόρφωσης που απαιτεί το ρυθμιστικό τους πλαίσιο.
Ο DORA ενσωματώνει αρχή αναλογικότητας, καθώς οι πολύ μικρές οντότητες εφαρμόζουν απλοποιημένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, ενώ η συχνότητα και η έκταση των υποχρεώσεων προσαρμόζονται στο μέγεθος και στο προφίλ κινδύνου της κάθε οντότητας. Η αναγνώριση του εφαρμοστέου επιπέδου είναι το πρώτο ζήτημα που πρέπει να επιλυθεί πριν σχεδιαστεί οποιαδήποτε ενέργεια συμμόρφωσης.
DORA ή NIS2: ποιο πλαίσιο εφαρμόζεται;
Ο DORA δεν είναι το μοναδικό ρυθμιστικό πλαίσιο για την ασφάλεια συστημάτων. Η Οδηγία NIS2 θεσπίζει γενικές υποχρεώσεις κυβερνοασφάλειας για ευρύ φάσμα κρίσιμων κλάδων. Για τον χρηματοπιστωτικό τομέα, ο DORA λειτουργεί ως ειδικό πλαίσιο (lex specialis) που υπερισχύει των γενικών ρυθμίσεων. Η διάκριση καθορίζει ποιες υποχρεώσεις και ποιες αρχές αφορούν τη συγκεκριμένη επιχείρηση.
| Κριτήριο | DORA | NIS2 |
|---|---|---|
| Νομική φύση | Κανονισμός (άμεση εφαρμογή) | Οδηγία (εθνική μεταφορά) |
| Πεδίο | Χρηματοπιστωτικός τομέας και πάροχοι ΤΠΕ του | Ευρύ φάσμα κρίσιμων και σημαντικών κλάδων |
| Σχέση | Ειδικό πλαίσιο για τον χρηματοπιστωτικό τομέα | Γενικό πλαίσιο κυβερνοασφάλειας |
| Έμφαση | Επιχειρησιακή ανθεκτικότητα ΤΠΕ και συμβατικός έλεγχος παρόχων | Μέτρα διαχείρισης κινδύνων και αναφορά περιστατικών |
Πότε δεσμεύεται ένας πάροχος ΤΠΕ από τον DORA;
Ο πάροχος ΤΠΕ δεν υπάγεται κατά κανόνα άμεσα στον DORA ως ρυθμιζόμενη οντότητα. Δεσμεύεται έμμεσα, μέσω της σύμβασης με τη χρηματοπιστωτική οντότητα, εφόσον ο Κανονισμός υποχρεώνει την οντότητα να ενσωματώσει στη σύμβαση τις απαιτήσεις του άρθρου 30.
Εξαίρεση αποτελεί ο χαρακτηρισμός του παρόχου ως κρίσιμου τρίτου παρόχου ΤΠΕ (Critical ICT Third-Party Provider – CTPP), οπότε υπόκειται σε άμεση εποπτεία των Ευρωπαϊκών Εποπτικών Αρχών.
Ο μηχανισμός αυτός είναι το πρακτικά κρίσιμο σημείο για τις μικρές και μεσαίες επιχειρήσεις του κλάδου πληροφορικής. Ένας πάροχος υπηρεσιών υπολογιστικού νέφους (cloud), λογισμικού ή υποστήριξης συστημάτων δεν χρειάζεται να είναι ο ίδιος τράπεζα για να βρεθεί δεσμευμένος από τον DORA. Αρκεί να συμβληθεί με χρηματοπιστωτική οντότητα. Εκείνη οφείλει να του μετακυλίσει συμβατικά τα δικαιώματα ελέγχου, τις υποχρεώσεις αναφοράς και τους όρους εξόδου που επιβάλλει ο Κανονισμός. Ο πάροχος που αρνείται τους όρους αυτούς αποκλείεται ουσιαστικά από την αγορά του χρηματοπιστωτικού τομέα.
Ο χαρακτηρισμός ενός παρόχου ως κρίσιμου ενεργοποιεί ένα δεύτερο, αυστηρότερο καθεστώς. Οι κρίσιμοι τρίτοι πάροχοι υπόκεινται σε άμεση εποπτεία από επικεφαλής επόπτη (μία εκ των EBA, EIOPA ή ESMA), ο οποίος έχει εξουσίες να ζητά πληροφορίες, να διενεργεί έρευνες και επιτόπιους ελέγχους. Οι συμβατικές υποχρεώσεις του άρθρου 30, ωστόσο, ισχύουν για κάθε ουσιώδη σχέση με πάροχο ΤΠΕ, ανεξάρτητα από το αν αυτός έχει χαρακτηριστεί κρίσιμος.
Ο χαρακτηρισμός ενός παρόχου ως κρίσιμου στηρίζεται σε κριτήρια όπως η συστημική σημασία των χρηματοπιστωτικών οντοτήτων που εξυπηρετεί, ο βαθμός εξάρτησης του τομέα από τον συγκεκριμένο πάροχο και η δυνατότητα υποκατάστασής του. Ένας πάροχος που συγκεντρώνει μεγάλο μέρος της αγοράς, χωρίς εύκολα διαθέσιμη εναλλακτική λύση, είναι πιθανότερο να χαρακτηριστεί κρίσιμος.
Για τις μικρότερες επιχειρήσεις πληροφορικής ο χαρακτηρισμός αυτός είναι σπάνιος, η συμβατική δέσμευση μέσω του άρθρου 30 όμως παραμένει.
Ποιες ρήτρες πρέπει να περιέχει η σύμβαση παροχής ΤΠΕ;
Το άρθρο 30 διαρθρώνει τις υποχρεωτικές συμβατικές ρήτρες σε δύο επίπεδα. Η παράγραφος 2 ορίζει εννέα ελάχιστες ρήτρες που πρέπει να περιέχει κάθε σύμβαση παροχής υπηρεσιών ΤΠΕ. Η παράγραφος 3 προσθέτει έξι αυστηρότερες ρήτρες όταν η υπηρεσία υποστηρίζει κρίσιμη ή σημαντική λειτουργία. Ο χαρακτηρισμός της λειτουργίας καθορίζει ποιο επίπεδο εφαρμόζεται.
Η έννοια της «κρίσιμης ή σημαντικής λειτουργίας» είναι το κλειδί της υπαγωγής. Πρόκειται για λειτουργία της οποίας η διακοπή θα έβλαπτε ουσιωδώς τις οικονομικές επιδόσεις της οντότητας ή τη συνέχεια και την ποιότητα των υπηρεσιών της. Ο χαρακτηρισμός απαιτεί κρίση κατά περίπτωση, καθώς λάθος υποτίμηση οδηγεί σε σύμβαση που στερείται υποχρεωτικών ρητρών και, κατ’ επέκταση, σε εποπτικό εύρημα μη συμμόρφωσης.
| Άρθρο 30 παρ. 2 – κάθε σύμβαση ΤΠΕ | Άρθρο 30 παρ. 3 – κρίσιμη ή σημαντική λειτουργία |
|---|---|
| Σαφής και πλήρης περιγραφή των υπηρεσιών και λειτουργιών | Πλήρεις περιγραφές επιπέδου υπηρεσιών με ποσοτικούς και ποιοτικούς στόχους |
| Τοποθεσίες παροχής υπηρεσιών και επεξεργασίας δεδομένων | Πλήρη και απεριόριστα δικαιώματα πρόσβασης, επιθεώρησης και ελέγχου (audit) |
| Όροι διαθεσιμότητας, ακεραιότητας και εμπιστευτικότητας δεδομένων | Προθεσμίες ειδοποίησης και υποχρεώσεις αναφοράς προς την οντότητα |
| Δικαιώματα πρόσβασης, ανάκτησης και επιστροφής δεδομένων | Υποχρέωση συμμετοχής σε δοκιμές διείσδυσης βάσει απειλών |
| Όροι συνδρομής σε περιστατικά ΤΠΕ | Όροι ασφάλειας και σχέδια έκτακτης ανάγκης |
| Δικαιώματα καταγγελίας και ελάχιστες προθεσμίες | Στρατηγικές εξόδου με υποχρεωτική μεταβατική περίοδο |
Η εμπειρία από συμβάσεις παροχής υπηρεσιών ΤΠΕ δείχνει ότι οι ρήτρες αυτές δεν συμπληρώνονται με τυποποιημένο κείμενο. Το δικαίωμα ελέγχου που λειτουργεί όταν αντισυμβαλλόμενη είναι πολύ μικρή οντότητα διαφέρει ουσιωδώς από εκείνο που απαιτείται για κρίσιμη λειτουργία. Στην πρώτη περίπτωση, ο Κανονισμός επιτρέπει ανάθεση των δικαιωμάτων ελέγχου σε ανεξάρτητο τρίτο, ενώ στη δεύτερη απαιτείται απεριόριστη πρόσβαση.
Κάθε ρήτρα εξόδου, ομοίως, πρέπει να εξειδικεύει τη μεταβατική περίοδο, τη μεταφορά δεδομένων και τη συνέχιση υπηρεσιών με όρους που εξαρτώνται από τη φύση της συγκεκριμένης υπηρεσίας.
Η ίδια λογική κλιμάκωσης εμφανίζεται και σε άλλες συμβάσεις τεχνολογίας. Η σύμβαση με πάροχο τεχνητής νοημοσύνης αντιμετωπίζει αντίστοιχα ζητήματα κατανομής ευθύνης και ελέγχου, γεγονός που καθιστά τη διατύπωση τέτοιων ρητρών ad hoc εργασία και όχι αντιγραφή προτύπου. Ο Κανονισμός προβλέπει ρητά τη δυνατότητα χρήσης τυποποιημένων συμβατικών ρητρών που εκπονούν δημόσιες αρχές, χωρίς όμως αυτές να υποκαθιστούν την εξατομικευμένη αξιολόγηση.
Ιδιαίτερη προσοχή απαιτούν οι υπο-αναθέσεις. Όταν ο πάροχος αναθέτει με τη σειρά του μέρος μιας κρίσιμης ή σημαντικής λειτουργίας σε υπεργολάβο, ο Κανονισμός απαιτεί η αλυσίδα αυτή να παραμένει ορατή και ελεγχόμενη.
Η σύμβαση οφείλει να προσδιορίζει τους όρους υπό τους οποίους επιτρέπεται η υπο-ανάθεση, ώστε η χρηματοπιστωτική οντότητα να μη χάνει τον έλεγχο επί του προσώπου που τελικά παρέχει την υπηρεσία ούτε τη δυνατότητα άσκησης των δικαιωμάτων ελέγχου της σε όλη την αλυσίδα.
Πώς διαχειρίζεται η οντότητα τον κίνδυνο τρίτων παρόχων;
Πέρα από τη σύμβαση, το άρθρο 28 επιβάλλει στη χρηματοπιστωτική οντότητα ένα ευρύτερο πλαίσιο διαχείρισης. Περιλαμβάνει στρατηγική για τον κίνδυνο τρίτων παρόχων, τήρηση μητρώου πληροφοριών για όλες τις συμβατικές ρυθμίσεις ΤΠΕ, προσυμβατική δέουσα επιμέλεια, στρατηγικές εξόδου και αξιολόγηση του κινδύνου συγκέντρωσης. Η ευθύνη συμμόρφωσης παραμένει στην οντότητα και δεν μεταφέρεται με την ανάθεση.
Εξάλλου, το μητρώο πληροφοριών (Register of Information) αποτελεί, επίσης, βασική υποχρέωση. Καταγράφει το σύνολο των συμβατικών σχέσεων ΤΠΕ σε επίπεδο οντότητας, υπο-ομίλου και ομίλου. Αποτελεί ένα από τα πρώτα στοιχεία που ελέγχουν οι εποπτικές αρχές κατά την αξιολόγηση της συμμόρφωσης. Η προσυμβατική δέουσα επιμέλεια απαιτεί αξιολόγηση κινδύνου πριν τη σύναψη κάθε σύμβασης, ιδίως όταν αφορά κρίσιμη λειτουργία.
Η εμπειρία από έργα συμμόρφωσης δείχνει ότι η στρατηγική εξόδου και η αξιολόγηση του κινδύνου συγκέντρωσης είναι τα σημεία που απαιτούν την ουσιαστικότερη νομική κρίση. Όταν μια κρίσιμη υπηρεσία στηρίζεται σε πάροχο χωρίς άμεσα διαθέσιμη εναλλακτική λύση, η τεκμηρίωση της στρατηγικής εξόδου πρέπει να αντιμετωπίσει ειλικρινά τον περιορισμό αυτό και να ορίσει τα μέτρα ελέγχου του κινδύνου κατά τη διάρκεια της εξάρτησης. Η επιλογή ανάμεσα σε μετάβαση προς άλλον πάροχο ή σε εσωτερική λύση είναι στρατηγική απόφαση με διαφορετικές νομικές και επιχειρησιακές συνέπειες.
Πώς ταξινομούνται και πως αναφέρονται τα περιστατικά ΤΠΕ;
Ο DORA απαιτεί την ταξινόμηση των περιστατικών ΤΠΕ σε σημαντικά και μη σημαντικά, με βάση κριτήρια όπως ο αριθμός των επηρεαζόμενων χρηστών, η διάρκεια της διακοπής, η γεωγραφική έκταση, η απώλεια δεδομένων και ο οικονομικός αντίκτυπος. Τα σημαντικά περιστατικά αναφέρονται στις αρμόδιες αρχές εντός καθορισμένων προθεσμιών. Όταν το ίδιο περιστατικό θίγει προσωπικά δεδομένα, προστίθεται αυτοτελής υποχρέωση κατά τον GDPR.
Η διαδικασία διαχείρισης καλύπτει ολόκληρη την αντιμετώπιση του περιστατικού, από την ανίχνευση και την καταγραφή έως την ανάλυση, τον περιορισμό, την αποκατάσταση και την τελική αναφορά. Η αναφορά των σημαντικών περιστατικών δεν είναι ενιαία πράξη, καθώς ο Κανονισμός προβλέπει διαδοχικές αναφορές, με αρχική ειδοποίηση και επακόλουθες ενδιάμεση και τελική έκθεση καθώς εξελίσσεται η εικόνα του περιστατικού.
Η πραγματική πολυπλοκότητα προκύπτει από την επικάλυψη των πλαισίων. Ένα και μόνο περιστατικό μπορεί να ενεργοποιήσει ταυτόχρονα υποχρέωση αναφοράς κατά DORA προς την εποπτική αρχή, υποχρέωση γνωστοποίησης παραβίασης δεδομένων κατά τον GDPR προς την Αρχή Προστασίας Δεδομένων και, ενδεχομένως, υποχρέωση κατά την NIS2. Οι προθεσμίες, οι αποδέκτες και το περιεχόμενο διαφέρουν, οπότε ο συντονισμός των αναφορών απαιτεί σύνθεση πολλαπλών διατάξεων που δεν είναι προφανής.
Πέρα από τις υποχρεωτικές αναφορές, ο Κανονισμός προβλέπει τη δυνατότητα εθελοντικής κοινοποίησης σημαντικών κυβερνοαπειλών στις αρμόδιες αρχές, καθώς και ρυθμίσεις ανταλλαγής πληροφοριών μεταξύ οντοτήτων για τη συλλογική αντιμετώπιση των απειλών. Η συμμετοχή σε τέτοιες ρυθμίσεις δεν είναι υποχρεωτική, ενθαρρύνεται όμως ιδίως για τις οντότητες που θεωρούνται κρίσιμες.
Πώς εφαρμόζεται ο DORA στην Ελλάδα;
Ο DORA, ως κανονισμός της ΕΕ, ισχύει άμεσα στην Ελλάδα χωρίς ανάγκη εθνικής μεταφοράς. Ο Ν. 5193/2025 (άρθρα 148 έως 152) ορίζει τις αρμόδιες εθνικές αρχές εποπτείας, την Τράπεζα της Ελλάδος και την Επιτροπή Κεφαλαιαγοράς, καθώς και τις εξουσίες και τις κυρώσεις τους. Τα άρθρα 153 έως 170 ενσωματώνουν τη συνοδευτική Οδηγία (ΕΕ) 2022/2556.
Η κατανομή αρμοδιοτήτων μεταξύ Τράπεζας της Ελλάδος και Επιτροπής Κεφαλαιαγοράς γίνεται κατά λόγο αρμοδιότητας, ανάλογα με τον τύπο της εποπτευόμενης οντότητας. Οι δύο αρχές διαθέτουν εξουσίες ελέγχου, έρευνας και επιβολής διοικητικών μέτρων και κυρώσεων για τη μη συμμόρφωση. Η συνοδευτική Οδηγία (ΕΕ) 2022/2556 εκσυγχρονίζει την υφιστάμενη ελληνική νομοθεσία, ώστε οι ειδικότεροι τομεακοί νόμοι να εναρμονίζονται με τις απαιτήσεις ψηφιακής ανθεκτικότητας του Κανονισμού.
Πρακτικά, ο ορισμός εθνικών αρχών σημαίνει ότι οι ελληνικές χρηματοπιστωτικές οντότητες λογοδοτούν για τη συμμόρφωσή τους προς τον DORA απευθείας στην Τράπεζα της Ελλάδος ή στην Επιτροπή Κεφαλαιαγοράς, οι οποίες διενεργούν ελέγχους και επιβάλλουν διοικητικές κυρώσεις. Ο εθνικός νόμος δεν προσθέτει ουσιαστικές υποχρεώσεις πέραν του Κανονισμού, καθιστά όμως λειτουργικό το εποπτικό και κυρωτικό σκέλος στην ελληνική έννομη τάξη.
Συχνές Ερωτήσεις
Υπάγονται οι πολύ μικρές επιχειρήσεις στον DORA;
Ναι, αλλά με αναλογικότητα. Οι πολύ μικρές οντότητες εφαρμόζουν απλοποιημένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, προσαρμοσμένο στο μέγεθος και στο προφίλ κινδύνου τους. Ειδικά για τα δικαιώματα ελέγχου σε συμβάσεις ΤΠΕ, ο Κανονισμός επιτρέπει στις πολύ μικρές οντότητες να τα αναθέτουν σε ανεξάρτητο τρίτο.
Τι σημαίνει «κρίσιμη ή σημαντική λειτουργία»;
Πρόκειται για λειτουργία της οποίας η διακοπή θα έβλαπτε ουσιωδώς τις οικονομικές επιδόσεις της οντότητας ή τη συνέχεια και την ποιότητα των υπηρεσιών της, ή τη συμμόρφωσή της προς τις ρυθμιστικές υποχρεώσεις. Ο χαρακτηρισμός μιας λειτουργίας ως κρίσιμης ενεργοποιεί το αυστηρότερο επίπεδο συμβατικών ρητρών του άρθρου 30 παρ. 3.
Μεταφέρεται η ευθύνη συμμόρφωσης στον πάροχο ΤΠΕ;
Όχι. Η ευθύνη παραμένει εξ ολοκλήρου στη χρηματοπιστωτική οντότητα, ανεξάρτητα από το αν η υπηρεσία έχει ανατεθεί σε τρίτο. Οι πιστοποιήσεις ασφαλείας ή οι εκθέσεις ελέγχου του παρόχου υποστηρίζουν τη δέουσα επιμέλεια της οντότητας, αλλά δεν την υποκαθιστούν. Η οντότητα οφείλει να διενεργεί δική της αξιολόγηση, να τηρεί δικό της μητρώο και να εξασφαλίζει ότι οι συμβάσεις της πληρούν τις απαιτήσεις.
Καλύπτει ο DORA τις υπηρεσίες cloud;
Ναι. Οι πάροχοι υπηρεσιών υπολογιστικού νέφους εμπίπτουν στους τρίτους παρόχους ΤΠΕ. Όταν η υπηρεσία cloud υποστηρίζει κρίσιμη ή σημαντική λειτουργία, η σύμβαση πρέπει να περιέχει τις αυστηρότερες ρήτρες του άρθρου 30 παρ. 3, περιλαμβανομένων των δικαιωμάτων ελέγχου και της στρατηγικής εξόδου. Μεγάλοι πάροχοι cloud ενδέχεται να χαρακτηριστούν κρίσιμοι και να υπαχθούν σε άμεση εποπτεία.
Πρακτικές Επισημάνσεις
Χαρτογράφηση πριν τη συμμόρφωση: Το πρώτο πρακτικό βήμα είναι η καταγραφή όλων των συμβάσεων ΤΠΕ και ο χαρακτηρισμός ποιες υποστηρίζουν κρίσιμη ή σημαντική λειτουργία. Από αυτόν τον χαρακτηρισμό εξαρτάται το επίπεδο των απαιτούμενων ρητρών και η ένταση των υποχρεώσεων.
Αναδιαπραγμάτευση υφιστάμενων συμβάσεων: Συμβάσεις που συνάφθηκαν πριν την εφαρμογή του DORA συχνά δεν περιέχουν τις ρήτρες του άρθρου 30. Η προσθήκη τους μέσω τροποποιήσεων ή πρόσθετων παραρτημάτων αποτελεί υποχρέωση των χρηματοπιστωτικών οντοτήτων και όχι προαιρετική βελτίωση.
Θέση του παρόχου ΤΠΕ: Ο πάροχος που στοχεύει σε πελάτες του χρηματοπιστωτικού τομέα ωφελείται να προετοιμάσει εκ των προτέρων όρους συμβατούς με τον DORA. Έτσι αποφεύγει τον αποκλεισμό από διαγωνισμούς και τις καθυστερήσεις διαπραγμάτευσης που προκαλεί η εκ των υστέρων προσαρμογή.
Συντονισμός με GDPR και NIS2: Ένα περιστατικό ΤΠΕ μπορεί να ενεργοποιήσει ταυτόχρονα υποχρεώσεις αναφοράς κατά DORA, GDPR και ενδεχομένως NIS2, προς διαφορετικές αρχές και με διαφορετικές προθεσμίες. Ο σχεδιασμός ενιαίας εσωτερικής διαδικασίας αναφοράς αποτρέπει παραλείψεις που οδηγούν σε κυρώσεις.
Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σχετικά με τον Κανονισμό DORA .