Mis on DORA ja mida temaga peale hakata?
Tehnoloogia areng ja selle laienev kasutus finantssektoris on toonud kaasa ka suurenenud küberriskid. Lisaks sõltuvad finantsettevõtted üha enam erinevatest teenusepakkujatest. Nii võib ühe pilveteenuse katkestus mõjutada korraga mitmeid panku või makseteenuseid, häirides seeläbi ka inimeste igapäevaelu sujuvat toimimist.
2025. aasta 17. jaanuaril jõustunud digitaalse tegevuskerksuse määruse (Digital Operational Resilience Act, DORA) eesmärk on ennetada küberohte ja vähendada intsidentide mõju ettevõtetele ning kogu Euroopa finantsturule. Toimetulek küberrünnakute ning teiste info- ja kommunikatsioonitehnoloogia (IKT) häiretega tagab ettevõtete jätkusuutlikkuse, usaldusväärsuse ja klientide andmete turvalisuse.
Kellele kohaldub DORA?
DORA nõuded kehtivad Euroopa Liidu finantssektori ettevõtetele ja kas otseselt või kaudselt ka neile teenuseid osutavatele ettevõtetele.
Peamised ettevõtted ja organisatsioonid, kellele DORA kohaldub:
- Pangad ja krediidiasutused: kõik krediidiasutused, sealhulgas jaepangad, investeerimispangad ja hoiupangad.
- Makseasutused ja e-raha teenuseosutajad: makselahenduste ja digitaalsete rahakottide (digital wallets) pakkujad.
- Investeerimisfirmad ja varahaldurid: kõik investeerimisteenuste pakkujad, sealhulgas ühisrahastusteenuse osutajad, varahaldurid ja alternatiivsete investeerimisfondide valitsejad (AIFM-s).
- Kindlustus- ja edasikindlustusettevõtted: kindlustusseltsid ja pensionifondid.
- Krüptovarateenuste pakkujad (CASP-s): krüptovaluutavahetused (CEX), rahakotiteenuste pakkujad ja muud krüptovaradega seotud ettevõtted, millele on antud tegevusluba krüptovara turgude määruse alusel.
- Kauplemiskohad (CSD-s) ja turu infrastruktuuri pakkujad: keskdepositooriumid, börsid, kliiringu- ja arveldusasutused (CCP-s).
- Andmeedastusteenuste osutajad: teenusepakkujad, kes haldavad finantsandmete aruandlust ja jagamist.
- Kolmandatest osapooltest IKT-teenuste pakkujad: pilveteenuste pakkujad, tarkvaraarendajad ja muud finantssektorile teenuseid osutavad tehnoloogiaettevõtted.
DORA põhinõuded
- IKT riskide juhtimine
Finantssektori ettevõtted peavad looma ja rakendama raamistiku IKT-ga seotud riskide tuvastamiseks, hindamiseks ja leevendamiseks. Intsidentide mõju ja nende toimumisel tekkiva segaduse vähendamiseks on teenuste kiireks taastamiseks vaja luua talitluspidevuse- ja taasteplaanid.
- Intsidentidest teavitamine
Finantssektori ettevõtted peavad looma süsteemid ja protsessid, mis võimaldavad olulisi IKT intsidente jälgida, tuvastada ja dokumenteerida. Kui toimub tõsine küberintsident, tuleb sellest viivitamatult teavitada järelevalveasutusi (Eestis Finantsinspektsioon), kliente ja kasutajaid.
- Digitaalse tegevuskerksuse testimine
Finantssektori ettevõtted peavad regulaarselt testima vastupidavust ja valmisolekut IKT intsidentidele reageerimiseks. Kui testimise käigus ilmneb puudusi, on oluline leida vastavad meetmed, et puudused kõrvaldada või nende mõju vähendada.
- Kolmandate osapoolte IKT riskide juhtimine
Finantssektori ettevõtted peavad tagama, et IKT-teenuse osutajatega seotud riskid on põhjalikult juhitud. Selleks peavad ettevõtted omama ülevaadet kõigist oma teenusepakkujatest, looma reeglid riskide haldamiseks ja tegema enne lepingu sõlmimist põhjaliku riskihindamise. Teenusepakkujatega tuleb sõlmida üksikasjalikud lepingud, mis tagavad turvalisuse ja järjepidevuse ka katkestuste korral.
Täpsed nõuded sõltuvad ettevõtte suurusest, tegevuste ulatusest ja riskiprofiilist.
DORA määrus on kättesaadav Euroopa Liidu õigusaktide portaalist EUR-Lex - 02022R2554-20221227 - ET - EUR-Lex.
Grant Thornton Balticu pakutavate DORA-ga seotud teenuste kohta saate täpsemalt lugeda siit.
Kui Teil on DORA või muude infoturbeteemade kohta küsimusi, vastavad meie infoturbe spetsialistid meelsasti.
Võtke meiega ühendust!
