Sisukord
Mis on DORA määrus?
17. jaanuaril 2025 hakkab kehtima Euroopa Liidu määrus 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust (inglise keeles Digital Operational Resilience Act). DORA eesmärk on tugevdada info- ja kommunikatsioonitehnoloogia (IKT) turvalisust, samal ajal tagades, et ELi finantssektor suudab talitlushäirete korral püsida vastupidav.
DORAs viidatakse selgesõnaliselt IKT riskidele ja nähakse ette riskijuhtimise eeskirjad. Määruses tõdetakse, et IKT tõrked ja talitluspidevuse puudumine võivad ohustada kogu finantssüsteemi usaldusväärsust. Määruses sätestatakse ühtsed nõuded, mis käsitlevad üksnes finantsettevõtete äriprotsesse toetavate võrgu- ja infosüsteemide turvalisust.
Kellele DORA kohaldub?
DORA määrust kohaldatakse kahekümnesse eri liiki jaotatud finantsettevõtetele ja -asutusele ning kolmandast isikust IKT-teenuse osutajatele. See hõlmab nii traditsioonilisi finantsettevõtteid, nagu pangad, investeerimisühingud ja krediidiasutused, kuid ka vähemtraditsioonilisi krüptovarateenuste osutajaid ja ühisrahastusplatvorme.
Eelkõige kohaldatakse määrust nende suhtes, kes on varesemalt tüüpiliselt finantseeskirjade kohaldamisalast välja jäänud. Sellised ettevõtjad on kolmandast isikust teenusepakkujad, kes osutavad finantsteenuseid koos IKT-süsteemidega. Lisaks hõlmab DORA kohaldamisala kriitilise tähtsusega kolmanda isiku pakutavaid teabeteenuseid, näiteks krediidireitingu ja andmeanalüüsi teenuste pakkujaid.
Miks on DORA oluline?
Finantssektor on teenuste osutamisel üha enam sõltuvuses tehnoloogiast. Finantsettevõtted on haavatavad küberrünnakute ja -intsidentide suhtes, mis võivad põhjustada piiriüleseid finantsteenuste osutamise häireid. See võib omakorda mõjutada teisi ettevõtteid, majandusharusid ja kogu majandust, mis näitab, kui oluline on finantssektori digitaalne vastupanuvõime.
Eesti küberturvalisuse seadus ei reguleeri üldse IKT teenuseid, kuid DORA näeb ette just IKT-teenustega seotud riskijuhtimise põhimõtteid ja nõudeid ning sätestab IKT- teenustega seotud küberintsidentidest teatamise üldised nõuded. Lisaks julgustab määrus finantsettevõtteid- ja asutusi jagama omavahel teavet küberohtude kohta ning kasutama oma individuaalseid teadmisi ja kogemusi ühisel huvil.
Kuidas DORA määrust praktikas rakendada?
DORA järgib proportsionaalsuse põhimõtet, mis tähendab, et finantsettevõtted rakendavad määrust, võttes arvesse enda suurust, üldist riskiprofiili ning oma teenuste laadi, ulatust ja keerukust.
Iga finantsettevõtte juhtorganid kannavad lõplikku vastutust kogu info- ja kommunikatsioonitehnoloogia riskijuhtimise eest, alates riskijuhtimisraamistiku sisseviimise tagamisest kuni selle rakendamiseni. Raamistikud peavad sisaldama terviklikke strateegiaid, protseduurireegleid ja tööriistu IKT varade ja füüsilise infrastruktuuri kaitsmiseks. Kasutusel olevad süsteemid peavad olema asjakohased, usaldusväärsed ja tehnoloogiliselt vastupidavad. Lisaks on kohustuslik iga-aastane raamistike läbivaatus, auditeerimine ja riskihindamine.
Lisaks peavad olema kindlaks määratud IKT-ga seotud intsidentide haldamise protsessid, kuidas selliseid intsidente avastada, hallata ja neist teavitada. Finantsettevõtted on kohustatud kõigist suurematest IKT-intsidentidest teatama selleks pädevatele järelevalveasutustele. Eestis on kavas teatud teavitamiskohustused ja muud DORAst tulenevad põhimõtted sisse viia ka finantskriisi lahendamise ja ennetamise seadusesse.
Mis on järgmine samm määruse rakendamisel?
Euroopa Komisjon töötab välja kriitilise tähtsusega IKT-teenuste pakkujate järelevalveraamistikku, mis peaks valmima 2024. aastal. Jaanuaris 2024. aastal avaldasid Euroopa järelevalveasutused DORA raames esimesed eeskirjad IKT ja kolmandate isikute riskijuhtimise ja intsidentide liigitamise kohta ning lähiajal on oodata veel suuniseid. 17. jaanuariks 2025. aastal peavad kõik finantsettevõtted ja kolmandast isikust IKT-teenuste osutajad vastama DORA määruse nõuetele, kuna selleks pädevatel kontrolliasutustel on kõik volitused viia läbi järelvalvet ja uurimist ning nõuete rikkumise korral määrata karistus.
