DORA – top regulējums ES finanšu sektora digitālās darbības noturības stiprināšanai
Eiropas Komisija 2020. gada septembrī publicēja Digitālās darbības noturības regulas projektu jeb DORA (Digital Operational Resilience Act). DORA ir daļa no Eiropas Komisijas digitālās finanšu stratēģijas, kuras mērķis ir atbalstīt digitālo finanšu attīstību, vienlaikus mazinot saistītos riskus. Likumdošanas priekšlikums balstās uz pašreizējām IKT riska pārvaldības prasībām, kuras jau izstrādājušas citas ES iestādes, kā arī tas vienotā regulējumā sasaista vairākas nesenās ES iniciatīvas IKT incidentu ziņošanai, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai, lai izveidotu saskaņotu pieeju visā ES finanšu pakalpojumu nozarē.
DORA attieksies uz ļoti plašu finanšu institūciju loku, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu un ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, alternatīvo ieguldījumu fondu pārvaldniekiem, apdrošināšanas un pārapdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, kolektīvās finansēšanas pakalpojumu sniedzējiem. Svarīgi ir tas, ka DORA noteiks vairākas papildu prasības incidentu ziņošanai, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai. DORA ieviešanas rezultātā arī kritisko IT trešo pušu pakalpojumu sniedzēji, tostarp mākoņpakalpojumu sniedzēji, pirmo reizi nonāks Eiropas uzraudzības iestāžu pārraudzībā un ES iestādes varēs arī uzlikt ievērojamus sodus IKT pakalpojumu sniedzējam par neatbilstību.
DORA prasības var sadalīt četros virzienos.
- IKT risku pārvaldība. Šis virziens ietver IKT risku pārvaldības likumu prasību harmonizēšanu, balstoties uz vienotām vadlīnijām, piemēram, Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.
- IKT incidentu ziņošana. Šis virziens paredz harmonizēt incidentu ziņošanas ietvaru, tostarp arī incidentu klasifikācijas un ziņošanas prasības. Tas sniegs finanšu iestādēm un regulatoriem labāku priekšstatu par jauniem riskiem, apdraudējumiem un spēju apmainīties ar informāciju.
- Trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība. Šis virziens paredz pakļaut regulatorajām prasībām arī trešo pušu kritisko IKT pakalpojumu sniedzējus.
- Operacionālās noturības testēšana. Šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot riskos bāzētu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst organizācijas lielumam, biznesa un riska profilam.
Finanšu tirgus dalībniekiem ir jānovērtē, vai to pašreizējā sistēma un procesi atbilst paplašinātajam regulējumam, un attiecīgi jāplāno darbības, lai reaģētu uz galvenajām prasību jomām.
- Digitālās operacionālās noturības testēšanas prasību harmonizācija un standartizācija – uzņēmumiem jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, ievērojot riskos bāzētu pieeju.
- Organizācijām jāpārskata incidentu ziņošanas procesi, īpaši tie, kas attiecas uz incidentu identificēšanu, klasifikāciju, cēloņu analīzi un ziņošanu. Tas ļaus izprast, kas pilnveidojams, lai šie procesi atbilstu regulējumam un industrijas labajai praksei.
- Organizācijām jānovērtē trešo pušu sniegtie pakalpojumi un jānosaka, vai tie uzskatāmi par kritiskiem un jāpakļauj papildu pārvaldības un pārraudzības prasībām.
- Nozīmīgām finanšu organizācijām jāpārskata savu operacionālās noturības testēšanas procedūru tvērums, iekļaujot draudu vadītu ielaušanās testu ietvaru atbilstoši DORA piedāvātajam regulējumam; tas nepieciešams, lai identificētu testēšanas ietvaru nepilnības.
DORA regulējums pašlaik tiek virzīts, izmantojot ES likumdošanas procedūru, un, iespējams, būs nelielas izmaiņas, pirms jaunais regulējums būs pabeigts un stāsies spēkā.
DORA galīgā versija ir gaidāma nākamajos 18 mēnešos. Tomēr jau tagad ir svarīgi, lai finanšu iestāžu un IKT pakalpojumu sniedzēji būtu informēti par normatīvā regulējuma būtiskākajām izmaiņām, kas skar uzņēmumu digitālo operacionālo noturību jeb digital operational resilience. Uzņēmumiem jau šodien jāsāk vērtēt, kā jaunais regulējums ietekmēs to IKT riska vadības sistēmu, un jāplāno nepieciešamie pasākumi, lai izpildītu DORA regulu.
Viens ko FKTK uzdevumiem ir radīt inovatīvu un draudzīgu vidi finanšu pakalpojumu sektorā, tai skaitā veicot IT drošības uzraudzības pasākumus, risku regulāciju un izvērtēšanu. Līdz ar jaunu tehnoloģiju attīstību un ieviešanu parādās jauna veida kiberriski. Lai nodrošinātu patērētajiem finanšu pakalpojumu sniegšanas nepārtrauktību, iepriekš ir jārūpējas par IKT drošību organizācijā.
Aicinām finanšu sektora dalībniekus Inovāciju centrā saņemt FKTK ekspertu bezmaksas konsultāciju. Inovācijas centrs ir īpašs kontaktpunkts gan esošiem tirgus dalībniekiem, gan jauniem finanšu uzņēmumiem, kur uzdot jautājumus par IKT drošību un risku pārvaldību un saņemt ieteikumus par atbilstību normatīvajiem aktiem un prasībām. Inovāciju centra atbalsta komandu veido FKTK eksperti, kas specializējušies dažādu finanšu tiesību normu pārzināšanā un to interpretācijā saistībā ar inovatīvu finanšu pakalpojumu risinājumiem un IT jautājumiem. Pieteikties tiešsaistes konsultācijai var pa tālruni 6 7774800 vai sūtot jautājumus uz e-pastu fintech@fktk.lv.