DORA

Pārskats

Digitālās operacionālās noturības likums (DORA) nosaka vienotas prasības tīklu un informācijas sistēmu drošībai un noturībai, kas atbalsta finanšu iestāžu biznesa procesus. Tas arī izveido uzraudzības sistēmu kritiskiem IKT trešo pušu pakalpojumu sniedzējiem.^[1]

DORA ir regula, kas nozīmē, ka tā tieši piemērojama visās ES dalībvalstīs bez transponēšanas.

Iestādes, uz kurām attiecas

Finanšu iestādes^[2]

• Kredītiestādes (bankas)
• Maksājumu iestādes
• E-naudas iestādes
• Investīciju firmas
• Apdrošināšanas un atapdrošināšanas uzņēmumi
• Centrālās vērtspapīru glabātavas
• Tirdzniecības reģistri
• Kredītreitingu aģentūras
• Kriptoaktīvu pakalpojumu sniedzēji
• Kopfinansējuma pakalpojumu sniedzēji
• Datu ziņošanas pakalpojumu sniedzēji

Kritiskie IKT trešo pušu pakalpojumu sniedzēji

Eiropas uzraudzības iestādes nosaka kritiskos IKT pakalpojumu sniedzējus, pamatojoties uz:

• Sistēmisko ietekmi, ja pakalpojumu sniedzējs neizdodas
• Aizvietojamības pakāpi
• Finanšu iestāžu skaitu, kas paļaujas uz pakalpojumu sniedzēju

Noteiktie pakalpojumu sniedzēji pakļauti ES uzraudzības sistēmai.

Pieci DORA pīlāri

1. IKT riska pārvaldība (II nodaļa)

Finanšu iestādēm jāizveido un jāuztur:

• Pārvaldība: Valdes atbildība par IKT riska stratēģiju
• Riska sistēma: Identifikācija, aizsardzība, atklāšana, reaģēšana, atjaunošana
• Dokumentācija: Politikas, procedūras un protokoli IKT drošībai
• Testēšana: Regulāra IKT sistēmu un rīku novērtēšana

2. IKT incidentu ziņošana (III nodaļa)^[3]

Lielākie ar IKT saistītie incidenti jāziņo, izmantojot standartizētas veidnes.

3. Digitālās operacionālās noturības testēšana (IV nodaļa)

Testēšanā jāiekļauj: ievainojamības novērtējumi, tīkla drošības novērtējumi, programmatūras drošības pārbaudes, avota koda pārbaudes (ja iespējams), scenāriju testēšana un saderības testēšana.

4. Trešo pušu riska pārvaldība (V nodaļa)^[4]

Finanšu iestādēm jā:

• Uztur reģistru par visiem IKT trešo pušu līgumiem
• Veic rūpīgu pārbaudi pirms līguma slēgšanas
• Novērtē koncentrācijas riskus
• Iekļauj obligātas līguma prasības
• Definē izstāšanās stratēģijas
• Ziņo par līgumiem kompetentajām iestādēm

Obligātās līguma prasības ietver pakalpojumu līmeņa aprakstus, datu aizsardzības pienākumus, piekļuves un audita tiesības, incidentu ziņošanas prasības un līguma izbeigšanas tiesības ar pārejas atbalstu.

5. Informācijas apmaiņa (VI nodaļa)

Finanšu iestādes var apmainīties ar kiberdraudu informāciju uzticamu kopienu ietvaros, ievērojot konfidencialitātes noteikumus, lai uzlabotu kolektīvo aizsardzību.

Proporcionālums

DORA piemēro proporcionālumu, ņemot vērā iestādes lielumu un riska profilu, pakalpojumu raksturu, apjomu un sarežģītību, kā arī sistēmisko nozīmīgumu.

Vienkāršotas prasības attiecas uz mazām un nesavienotām investīciju firmām, maksājumu un e-naudas iestādēm zem noteiktiem sliekšņiem, kā arī noteiktiem apdrošināšanas starpniekiem.

Sodi

Kompetentās iestādes var piemērot:^[5]

• Administratīvās naudas sodus
• Periodiskas soda maksas
• Publiskus paziņojumus
• Atļaujas atsaukšanu
• Pagaidu aizliegumus vadības funkcijām

Konkrētas summas nosaka dalībvalsts likumi.

Izstrādātāju un IKT pakalpojumu sniedzēju ietekme

Ja jūs sniedzat IKT pakalpojumus finanšu sektoram:

1. Līgumu pārskatīšana: Pārliecinieties, ka līgumi atbilst DORA prasībām
2. Incidentu ziņošana: Izveidojiet ziņošanas kanālus klientiem
3. Testēšanas atbalsts: Atbalstiet klientu penetrācijas testēšanu
4. Izstāšanās plānošana: Nodrošiniet kārtīgu pāreju līgumu izbeigšanas gadījumā
5. Koncentrācijas apzināšanās: Uzraugiet atkarību no jūsu pakalpojumiem
6. Kritiskā statusa sagatavošanās: Gatavojieties iespējamai ES uzraudzībai