FINTECH LATVIA
Latviešu

Jaunie aspekti finanšu sektora digitālās noturības regulējumā

Marine Krasovska
Latvijas Bankas Finanšu tehnoloģiju uzraudzības pārvaldes vadītāja
Mūsdienu finanšu ekosistēmā digitālā noturība nav sekundārs jautājums – tā kļuvusi par operacionālās stabilitātes un darbības nepārtrauktības centrālo balstu.

Finanšu pakalpojumu straujā digitalizācija ir cieši saistīta ar informācijas un komunikācijas tehnoloģijām (IKT). Vēl pirms trim, pieciem gadiem lielākā daļa finanšu iestāžu par galvenajiem riskiem uzskatīja kredītrisku, likviditātes risku un tirgus svārstību riskus. Taču tehnoloģiskā attīstība ieviesusi būtiskas pārmaiņas, un jāapzinās, ka šobrīd IKT riski ir kļuvuši par nopietniem biznesa riskiem, kas, ja netiek identificēti un prasmīgi pārvaldīti, var izraisīt sistēmiskas pārmaiņas, negatīvi ietekmēt finanšu uzņēmumu reputāciju un būtiski traucēt vai pat apturēt finanšu iestāžu darbu.

Šīs pārmaiņas veicina finanšu uzņēmumu pilnīga atkarība no IKT pakalpojumu sniedzējiem (īpaši mākoņpakalpojumu sniedzējiem, banku pamatpakalpojumu izstrādātājiem, ārējiem mākslīgā intelekta risinājumiem), kā arī arvien sarežģītāki un biežāki kiberuzbrukumi, tostarp Latvijā, kas izgaismo finanšu sektora ievainojamības.

Lai spēcinātu digitālo noturību un palīdzētu uzņēmumiem pārvaldīt riskus, Eiropas Savienībā (ES) izveidots vienots tiesiskais regulējums – digitālās noturības prasības finanšu sektorā patlaban nosaka divi tiesību akti: Digitālās darbības noturības regula (Digital Operational Resilience Act, DORA), kas ievieš vienotus IKT risku pārvaldības noteikumus visām ES finanšu iestādēm, un Mākslīgā intelekta akts (AI Act), kas nosaka pārvaldības standartus augsta riska mākslīgā intelekta sistēmām finanšu nozarē.

DORA

DORA (spēkā no 2025. gada 17. janvāra) izveido vienotu, visaptverošu digitālās noturības regulējumu visām finanšu iestādēm ES, tostarp bankām, apdrošināšanas sabiedrībām, ieguldījumu uzņēmumiem, kriptoaktīvu pakalpojumu sniedzējiem, maksājumu iestādēm un finanšu tehnoloģiju uzņēmumiem.

Latvija jau pirms DORA pieņemšanas bija viena no ES dalībvalstīm, kas proaktīvi ieviesa nacionālās prasības IKT un kiberapdraudējumu pārvaldībai finanšu nozarē. Savukārt DORA ievieš vienotu pamatlīmeni visā ES un paplašina prasības par pārrobežu trešo pušu uzraudzību, noturības testēšanu un vadības atbildību.

1. IKT risku pārvaldības sistēma

DORA kodols ir prasība katrai finanšu iestādei izveidot spēcīgu, visaptverošu un dokumentētu IKT risku pārvaldības sistēmu. Šī nav tikai tehniska prasība, tā ir definēta kā stratēģiska iestādes vadības (piemēram, valdes) atbildība. Finanšu institūcijas vadība ir atbildīga par risku pārvaldības stratēģijas apstiprināšanu un tās saskaņošanu un regulāru pārskatīšanu atbilstoši uzņēmuma mērķiem. Iestādēm jāievieš pastāvīga IKT risku, apdraudējumu un ievainojamību uzraudzība un izvērtēšana visā organizācijā. Pamatā ir pieci būtiski soļi: identificēt, aizsargāt, atklāt, reaģēt, atjaunot.

2. IKT incidentu ziņošana

DORA ievieš būtiskas pārmaiņas tajā, kā finanšu iestādēm jāreaģē uz IKT incidentiem, proti, iestādēm jāievieš efektīvi mehānismi incidentu noteikšanai, klasificēšanai un ziņošanai uzraudzības iestādēm noteiktā termiņā.

Incidenti jānovērtē pēc vienotiem kritērijiem, piemēram, darbības traucējumu ilgums, skarto klientu vai darījumu skaits, datu integritātes vai konfidencialitātes apdraudējums.

Turklāt DORA paredz stingrākus uzraudzības instrumentus – atkārtoti vai būtiski incidenti var būt pamats padziļinātām uzraudzības pārbaudēm, korektīviem pasākumiem vai sankcijām. Šis uzlabotais atbildības mehānisms motivē finanšu iestādes ieguldīt līdzekļus agrīnā atklāšanā, iekšējā koordinācijā un pilnveides procesos pēc incidenta. IKT incidentu ziņošanas ietvars izstrādāts tā, lai sniegtu skaidrāku, reāllaika priekšstatu par sistēmiskām ievainojamībām un tādējādi uzlabotu koordināciju un reaģēšanu gan nacionālā, gan ES līmenī.

3. Digitālās noturības testēšana

DORA nosaka prasību finanšu iestādēm regulāri novērtēt kritisko IKT sistēmu ievainojamību, veikt scenāriju testus un sistēmu izturības pārbaudes. Lielākām iestādēm obligāti jāveic draudu vadīti ielaušanās testi (threat-led penetration tests, TLPT) – sertificētu testētāju veikti simulēti kiberuzbrukumi reālos apstākļos. Šo testu nolūks ir atklāt slēptas ievainojamības un palīdzēt iestādēm pārbaudīt savas spējas atklāt ievainojamības, reaģēt uz incidentu un atjaunot darbību. Testu rezultāti jāizmanto korektīviem pasākumiem, un tos var pārskatīt uzraudzības iestādes.

4. Trešo pušu IKT pakalpojumu risku pārvaldība

Finanšu iestāžu paļaušanās uz ārējiem IKT risinājumiem (pakalpojumi datu mākoņos, pamatdarbības (core banking) platformas, mākslīgā intelekta sistēmas) ir būtiska un sistēmiska. Tāpēc DORA ievieš stingri strukturētus noteikumus par ārpakalpojumu pārvaldību:

  • finanšu iestādēm jānovērtē visu IKT piegādātāju risku līmeņi, īpaši riski saistībā ar kritiskajām funkcijām;
  • ārpakalpojumu līgumos skaidri jānorāda pakalpojumu līmeņa mērķi, sagaidāmā reaģēšana uz incidentiem, datu piekļuves tiesības, datu apstrādes vieta un izejas stratēģijas;
  • uzraugiem un iestādēm ir tiesības pārbaudīt un auditēt trešo pušu infrastruktūru un pakalpojumu sniegšanas vietas;
  • katram tirgus dalībniekam jāuztur standartizēta veida iekšējais reģistrs par visiem ar IKT saistītajiem ārpakalpojuma līgumiem, iekļaujot kritiskuma novērtējumu un informāciju par apakšuzņēmējiem.

ES uzraudzības iestādes var noteikt konkrētus IKT piegādātājus kā "kritiskus" un pakļaut tos tiešai uzraudzībai.

Mākslīgā intelekta akts

Mākslīgā intelekta akts ir pasaulē pirmais visaptverošais mākslīgā intelekta regulējums, kas balstās uz riska pieeju un klasificē mākslīgā intelekta sistēmas četrās kategorijās: aizliegtas, augsta riska, ierobežota riska un minimāla riska.

Finanšu nozarē daudzi mākslīgā intelekta risinājumi, piemēram, kredītspējas vērtēšana, krāpšanas noteikšana, klientu uzvedības prognozēšana un automatizētās konsultācijas, tiek uzskatīti par augsta riska. Šīm sistēmām noteiktas stingras prasības attiecībā uz datu pārvaldību, pārskatāmību, dokumentāciju, cilvēku iesaisti pārraudzībā un drošību.

Mākslīgā intelekta sistēmas var radīt dažādus riskus, piemēram, pieļaut aizspriedumus kredītspējas izvērtēšanā vai necaurredzami pieņemt lēmumus. Starp riskiem ir arī pārmērīga paļaušanās uz automatizāciju, manipulācija (piemēram, ļaunprātīga manipulācija ar datiem), uzbrukumi.

Mākslīgā intelekta akts noteic, ka augsta riska mākslīgā intelekta sistēmas jāizstrādā, jāievieš un jāizmanto atbildīgi. Galvenie finanšu iestāžu pienākumi:

  • nodrošināt datu kvalitāti un izsekojamību,
  • nodrošināt iespēju cilvēkam jēgpilni iejaukties kritiskos procesos;
  • garantēt noturību un kiberdrošību,
  • uzturēt izvērstu dokumentāciju un risku novērtējumu,
  • pastāvīgi monitorēt mākslīgā intelekta sistēmu, lai pamanītu neplānotus rezultātus vai ļaunprātīgu izmantošanu.

Šo prasību ievērošana stiprina lēmumu kvalitāti un mazina kļūdu vai pārkāpumu risku.

Tāpat kā IKT sistēmas, arī mākslīgā intelekta risinājumus bieži nodrošina ārējie piegādātāji. Mākslīgā intelekta akts nosaka netiešus pienākumus šo sistēmu lietotājiem, piemēram, bankām un finanšu tehnoloģiju uzņēmumiem, lai nodrošinātu, ka trešo pušu mākslīgā intelekta sistēmas atbilst juridiskajiem standartiem. Finanšu iestādēm ir jāsaprot, kā tiek veidotas un uzturētas to izmantotās mākslīgā intelekta sistēmas, līgumos ar mākslīgā intelekta piegādātājiem jāparedz piekļuve sistēmas informācijai un informācijai par riskiem, kā arī jāuzņemas pilna atbildība par mākslīgā intelekta vadītu lēmumu sekām.

Ko DORA un Mākslīgā intelekta akts nozīmē finanšu iestādēm

Digitālā noturība vairs nav tikai IT nodaļu uzdevums, tā kļuvusi par augstākā vadības līmeņa atbildību un stratēģisku prioritāti. Saskaņā ar DORA regulējumu, vadības institūcija ir tieši atbildīga par IKT risku pārvaldību – augstākā vadība (valde) ir atbildīga par finanšu iestādes spēju izturēt IKT traucējumus, reaģēt un atgūties no tiem.

Atbildības par digitālo risku pārvaldību pāriešana institūciju vadības līmenī atspoguļo ievērojamas izmaiņas regulējošajās prasībās. Finanšu iestādes, kas nerīkosies atbilstoši jaunajām prasībām, riskē ar reputāciju un arvien vairāk tiks pakļautas rūpīgai uzraudzībai.

Finanšu iestādēm jāizvērtē un jāuzlabo savas iekšējās pārvaldības struktūras – jāveido īpašas funkcijas IKT un mākslīgā intelekta pārvaldībai ar skaidrām lomām atbilstības, tehnoloģiskajā un biznesa jomā.

Finanšu iestādēm, kas ievieš augsta riska mākslīgā intelekta sistēmas, jānodrošina īpaša to uzraudzība, dokumentācija un atbildība par procesu.

Iestādēm nepārtraukti jāuzrauga jaunie IKT riski, kiberdraudi un ar mākslīgo intelektu saistītās ievainojamības. Incidentu atklāšanai un klasifikācijai jākļūst ātrākai un precīzākai, un tirgus dalībniekiem jābūt gataviem ziņot uzraudzības iestādēm par nozīmīgiem IKT incidentiem stingri noteiktā laika posmā. Tāpat finanšu iestādēm jāuztur aktuāls mākslīgā intelekta lietojumprogrammu un trešo pušu IKT pakalpojumu sniedzēju reģistrs un pastāvīgi jāuzrauga veiktspēja, integritāte un līgumu ievērošana. Tradicionālā, statiskā risku pārvaldības pieeja vairs nav pietiekama dinamisku un savstarpēji saistītu draudu apstākļos.

Finanšu iestādēm jānodrošina, ka to ārpakalpojumu līgumi atbilst jaunajiem minimālajiem standartiem, kas cita starpā iekļauj tiesības veikt auditu un piekļūt ārpakalpojuma glabātajiem un pārvaldītajiem datiem, nosaka atjaunošanas prasības un skaidri definētus pakalpojumu līmeņus. Finanšu tirgus dalībniekiem jāuztur standartizēts iekšējais reģistrs par visiem trešo pušu līgumiem un jābūt gataviem novērtēt šo pakalpojumu sniedzēju kritiskumu. Svarīgi ir tas, ka atbildību par risku nevar novelt uz piegādātājiem – pati finanšu iestāde ir pilnībā atbildīga par risku pārvaldību.

Jauns izaicinājums ir prasība veikt draudu vadītus ielaušanās testus – tam nepieciešamas jaunas prasmes, resursi, sadarbības partneri, kā arī jauns domāšanas veids: no pasīvas aizsardzības uz proaktīvu noturību. Finanšu iestādēm jāveicina kultūra, kuras pamatā ir uzticēšanās, pārredzamība un sagatavotība.

Gan DORA, gan Mākslīgā intelekta likums uzsver dokumentācijas būtisko nozīmi: ir jāuztur riska modeļi, incidentu ziņojumi, mākslīgā intelekta lēmumu ieraksti un jānodrošina to pieejamība uzraudzības iestādēm.

Spēja demonstrēt tehnoloģiju ētisku izmantošanu (jo īpaši runa ir par mākslīgā intelekta sistēmām, kas ietekmē klientu finansiālo dzīvi) kļūs par konkurētspējas elementu un uzticamības rādītāju tirgū.

Raksts pirmreizēji publicēts 26. jūnijā portālā ibizness.lv.

Publicēts:14.07.2025
Detalizēta informācija par DORA prasībām Latvijas Bankas tīmekļvietnē
Pieraksties un saņem e-pastā jaunumus par finanšu inovācijām!

"*" indicates required fields

This field is for validation purposes and should be left unchanged.
K. Valdemāra iela 1B, Rīga, LV-1050
+371 67 022 646
fintech@bank.lv
LinkedIn
© Latvijas Banka 2023
Par vietni
Privātuma politika
Latviešu
Šajā tīmekļvietnē tiek izmantotas sīkdatnes, ieskaitot arī trešo pušu sīkdatnes, kas nodrošina statistiku par vietnes izmantošanu un palīdz to pilnveidot. Vairāk par sīkdatnēm un to lietošanas mērķiem šajā vietnē lasiet paziņojumā par sīkdatņu lietošanu. Lūdzu, atzīmējiet, kuru sīkdatņu izmantošanai piekrītat.
Nepieciešamās sīkdatnes
Analītiskās sīkdatnes