Skyriai 10 Įsigaliojęs: 2025 m. sausio 17 d.

DORA

Skaitmeninės operacinės atsparumo direktyva

Apžvalga

Skaitmeninės operacinės atsparumo direktyva (DORA) nustato vienodus reikalavimus tinklų ir informacinių sistemų saugumui bei atsparumui, palaikančioms finansinių subjektų verslo procesus. Ji taip pat sukuria priežiūros sistemą kritiniams IKT trečiųjų šalių paslaugų teikėjams.[1]

DORA yra reglamentas, reiškiantis, kad jis taikomas tiesiogiai visose ES valstybėse narėse be perkėlimo.

Apimties subjektai

Finansiniai subjektai[2]

  • Kreditinės įstaigos (bankai)
  • Mokėjimo įstaigos
  • Elektroninių pinigų įstaigos
  • Investicinės įmonės
  • Draudimo ir perdraudimo įmonės
  • Centriniai vertybinių popierių depozitoriai
  • Prekybos registrai
  • Kreditų reitingų agentūros
  • Kriptoaktyvų paslaugų teikėjai
  • Finansavimo per minias paslaugų teikėjai
  • Duomenų teikimo paslaugų teikėjai

Kritiniai IKT trečiųjų šalių paslaugų teikėjai

Europos priežiūros institucijos skiria kritinius IKT paslaugų teikėjus remiantis:

  • Sisteminė įtaka, jei paslaugų teikėjas nepavyksta
  • Pakeičiamumo laipsnis
  • Finansinių subjektų, priklausančių nuo paslaugų teikėjo, skaičius

Skirti paslaugų teikėjai yra taikomi ES priežiūros sistemai.

Penki DORA pagrindai

1. IKT rizikos valdymas (II skyrius)

Finansiniai subjektai privalo įsteigti ir palaikyti:

  • Valdymą: Valdybos atsakomybę už IKT rizikos strategiją
  • Rizikos sistemą: identifikavimą, apsaugą, aptikimą, reagavimą, atkūrimą
  • Dokumentaciją: politikos, procedūras ir protokolus dėl IKT saugumo
  • Testavimą: reguliarią IKT sistemų ir įrankių vertinimą

2. IKT incidentų pranešimas (III skyrius)[3]

ReikalavimasDetalės
KlasifikacijaSuvienodinti kriterijai incidento sunkumui
Pradinis pranešimasPer 4 valandas nuo klasifikavimo kompetentingai institucijai
Tarpinis pranešimasPer 72 valandas su atnaujinimais
Galutinis pranešimasPer 1 mėnesį nuo incidento sprendimo
Savanoriškas pranešimasReikšmingos kibernetinės grėsmės gali būti pranešamos

Dideli IKT susiję incidentai turi būti pranešami naudojant standartizuotas formas.

3. Skaitmeninės operacinės atsparumo testavimas (IV skyrius)

Subjekto tipasTestavimo reikalavimas
Visi subjektaiMetinė IKT testavimo programa
Reikšmingi subjektaiGrėsmių pagrindu atliekamas įsilaužimo testavimas (TLPT) kas 3 metus
Kritiniai IKT paslaugų teikėjaiGali dalyvauti bendrame TLPT

Testavimas turi apimti: pažeidžiamumo vertinimus, tinklo saugumo vertinimus, programinės įrangos saugumo peržiūras, šaltinio kodo peržiūras (jei įmanoma), scenarijų pagrindu atliekamus testus ir suderinamumo testavimą.

4. Trečiųjų šalių rizikos valdymas (V skyrius)[4]

Finansiniai subjektai privalo:

  • Vesti registrą apie visas IKT trečiųjų šalių sutartis
  • Atlikti tinkamumo patikrinimus prieš sudarant sutartis
  • Įvertinti koncentracijos rizikas
  • Įtraukti privalomas sutartines nuostatas
  • Nustatyti išeities strategijas
  • Pranešti apie susitarimus kompetentingoms institucijoms

Privalomos sutarties sąlygos apima paslaugų lygio aprašymus, duomenų apsaugos įsipareigojimus, prieigos ir audito teises, incidentų pranešimo reikalavimus ir nutraukimo teises su pereinamuoju palaikymu.

5. Informacijos dalijimasis (VI skyrius)

Finansiniai subjektai gali keistis kibernetinių grėsmių informacija patikimose bendruomenėse, laikantis konfidencialumo taisyklių, siekiant sustiprinti kolektyvinę gynybą.

Proporcingumas

DORA taiko proporcingumą atsižvelgiant į subjekto dydį ir rizikos profilį, paslaugų pobūdį, mastą ir sudėtingumą bei sisteminę svarbą.

Supaprastinti reikalavimai taikomi mažoms ir nesusijungusioms investicinėms įmonėms, mokėjimo ir elektroninių pinigų įstaigoms, kurių apimtys yra žemesnės už tam tikrus ribinius dydžius, ir tam tikriems draudimo tarpininkams.

Baudos

Kompetentingos institucijos gali taikyti:[5]

  • Administracines baudas
  • Periodines baudų mokėjimo prievoles
  • Viešus pareiškimus
  • Leidimų atšaukimą
  • Laikinas draudimas eiti valdymo funkcijas

Konkrečias sumas nustato valstybės narės teisė.

Vystymo ir IKT paslaugų teikėjų pasekmės

Jei teikiate IKT paslaugas finansų sektoriui:

  1. Sutarties peržiūra: Užtikrinkite, kad sutartys atitiktų DORA reikalavimus
  2. Incidentų pranešimas: Sukurkite pranešimų kanalus klientams
  3. Testavimo palaikymas: Palengvinkite klientų įsilaužimo testavimą
  4. Išeities planavimas: Užtikrinkite tvarkingą perėjimą, jei sutartys nutraukiamos
  5. Koncentracijos stebėjimas: Stebėkite priklausomybes nuo jūsų paslaugų
  6. Kritinis priskyrimas: Pasiruoškite galimai ES priežiūrai

Šaltiniai ir nuorodos

[1]
Reglamentas (ES) 2022/2554 dėl skaitmeninio operacinio atsparumo finansų sektoriui. EUR-Lex: DORA oficialus tekstas
[2]
DORA 2 straipsnis: Apimtis. DORA portalas: 2 straipsnis
[3]
DORA 17-23 straipsniai: IKT susijusių incidentų pranešimas. DORA portalas: Incidentų pranešimas
[4]
DORA 28-44 straipsniai: Trečiųjų šalių rizikos valdymas. DORA portalas: Trečiųjų šalių rizika
[5]
DORA 50 straipsnis: Administracinės baudos ir taisomosios priemonės. DORA portalas: Baudos