DORA

Ülevaade

Digitaalne operatiivse vastupidavuse määrus (DORA) kehtestab ühtsed nõuded finantsasutuste äriprotsesse toetavate võrkude ja infosüsteemide turvalisuse ja vastupidavuse tagamiseks. Samuti loob see raamistiku kriitiliste IKT kolmandate osapoolte teenusepakkujate järelevalveks.^[1]

DORA on määrus, mis tähendab, et see kehtib otseselt kõigis ELi liikmesriikides ilma ülevõtmiseta.

Kohaldamisala

Finantsasutused^[2]

• Krediidiasutused (pangad)
• Makseasutused
• E-rahakogujad
• Investeerimisettevõtted
• Kindlustus- ja taas-kindlustusettevõtted
• Kesksete väärtpaberite hoidlad
• Kauplemisandmehoidlad
• Krediidireitinguagentuurid
• Krüpto-varade teenusepakkujad
• Ühisrahastusteenuse pakkujad
• Andmete aruandlusteenuse pakkujad

Kriitilised IKT kolmandate osapoolte teenusepakkujad

Euroopa järelevalveasutused määravad kriitilised IKT teenusepakkujad järgmistel alustel:

• Süsteemne mõju, kui teenusepakkuja ebaõnnestub
• Asendatavuse tase
• Finantsasutuste arv, kes teenusepakkujast sõltuvad

Määratud teenusepakkujad kuuluvad ELi järelevalveraamistiku alla.

DORA viis alustala

1. IKT riskijuhtimine (II peatükk)

Finantsasutused peavad kehtestama ja hoidma:

• Juhtimine: juhatuse vastutus IKT riskistrateegia eest
• Riskiraamistik: tuvastamine, kaitse, avastamine, reageerimine, taastumine
• Dokumentatsioon: poliitikad, protseduurid ja protokollid IKT turvalisuse jaoks
• Testimine: regulaarne IKT süsteemide ja tööriistade hindamine

2. IKT intsidentide teatamine (III peatükk)^[3]

Suured IKT-ga seotud intsidentid tuleb teatada standardiseeritud mallide abil.

3. Digitaalne operatiivse vastupidavuse testimine (IV peatükk)

Testimine peab hõlmama: haavatavuse hindamist, võrguturbe hindamist, tarkvara turbe ülevaateid, lähtekoodi ülevaateid (kui võimalik), stsenaariumipõhist testimist ja ühilduvuse testimist.

4. Kolmandate osapoolte riskijuhtimine (V peatükk)^[4]

Finantsasutused peavad:

• Hoidma registrit kõigist IKT kolmandate osapoolte lepingutest
• Viima läbi hoolsuskohustuse enne lepingute sõlmimist
• Hindama kontsentratsiooniriski
• Kaasama kohustuslikud lepingutingimused
• Määratlema väljumisstrateegiad
• Teatama kokkulepetest pädevatele asutustele

Kohustuslikud lepingutingimused hõlmavad teenustaseme kirjeldusi, andmekaitsekohustusi, juurdepääsu ja auditiõigusi, intsidentide teatamise nõudeid ning lõpetamisõigusi koos ülemineku toetusega.

5. Teabe jagamine (VI peatükk)

Finantsasutused võivad usaldusväärsetes kogukondades vahetada küberohtude teavet, järgides konfidentsiaalsuse reegleid, et tugevdada kollektiivset kaitset.

Proportsionaalsus

DORA kohaldab proportsionaalsust asutuse suuruse ja riskiprofiili, teenuste olemuse, ulatuse ja keerukuse ning süsteemse tähtsuse alusel.

Lihtsustatud nõuded kehtivad väikestele ja mitteühendatud investeerimisettevõtetele, teatud tasemest madalamatele makse- ja e-rahakogujatele ning teatud kindlustusvahendajatele.

Karistused

Pädevad asutused võivad määrata:^[5]

• Haldussanktsioonid
• Perioodilised trahvid
• Avalikud avaldused
• Lubade tühistamine
• Ajutised juhtimisfunktsioonide keelud

Konkreetsed summad määrab liikmesriigi õigus.

Arendajate ja IKT teenusepakkujate mõjud

Kui te pakute IKT teenuseid finantssektorile:

1. Lepingu ülevaatus: veenduge, et lepingud vastavad DORA nõuetele
2. Intsidentide teatamine: looge teatamiskanaleid klientidele
3. Testimise tugi: võimaldage klientide sissetungimistestimist
4. Väljumise planeerimine: tagage korralik üleminek lepingute lõppemisel
5. Kontsentratsiooni teadlikkus: jälgige sõltuvusi oma teenustest
6. Kriitiline määramine: valmistuge võimalikuks ELi järelevalveks