DORA määruse mõjud õigus- ja IT-osakondadele

17. jaanuaril 2025 jõustub EL-i määrus nr 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust (DORA) ja mida kohaldatakse suure osa finantssektori suhtes. Enne DORA jõustumist on aga oodata veel mitmeid regulatiivseid tehnilisi standardeid ja rakenduslikke tehnilisi standardeid.

DORA määrusega soovitakse parandada finantssektori digitaalset tegevuskerksust ja leevendada IKT-ga seotud riske. Ehkki kõik DORA nõuded ei ole täiesti uued, tuleb märkida, et DORA eesmärk on ühtlustada IKT-riskidega seotud seniseid nõuded ja neid ajakohastada osana operatsiooniriski nõuetest, mida on seni käsitletud EL-i eri õigusaktides või mittesiduvates IKT-alastes standardites ning suunistes. Varasemad nõuded keskendusid operatsiooniriskile (sealhulgas IKT-riskidele) peamiselt kvantitatiivsest vaatenurgast mitte spetsiifilistele kvalitatiivsetele standardetele, mis käsitlevad IKT-intsidentide kaitsmise, avastamise, leevendamise, taastamise ja kõrvaldamise võimet või aruandlus- ja digitaaltestimise võimalusi. Seega püütakse DORA-ga kõrvaldada praegused vajakajäämised ja ühtlustada IKT-riskide juhtimise kvalitatiivseid nõudeid ELi tasandil.

Kellele määrust kohaldatakse?

Määrust ei kohaldata mitte ainult krediidiasutuste suhtes, vaid ka paljude teiste finantssektori turuosaliste suhtes (teatavate eranditega) – nt makseasutused, e-raha asutused, investeerimisühingud, krüptovarateenuste pakkujad, kindlustusandjad ja -vahendajad, samuti fondivalitsejad, alternatiivsete investeerimisfondide valitsejad ja ka (kriitilise tähtsusega) kolmandast isikust IKT-teenuste osutajad. Oluline on märkida, et kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajad liiguvad osaliselt järelevalve alla.

Mis on peamised DORA-st tulenevad kohustused?

• sobiva eelarve ettenägemine finantssektori ettevõtja digitaalse tegevuskerksuse vajaduste rahuldamiseks ja selle perioodiline läbivaatamine, pidades silmas igat liiki ressursse; see hõlmab asjakohaseid IKT-turbe teadlikkuse suurendamise programme ja digitaalse tegevuskerksuse koolitusi ning kõigi töötajate IKT-alaseid oskuseid;
• (kriitilise tähtsusega) kolmandast isikust IKT-teenuseosutajate kindlakstegemine ja registreerimine;
• kolmandast isikust IKT-teenuste osutajatega sõlmitud lepingute üleivaatamine – DORA-ga sätestatakse konkreetsed nõuded ja sätted finantsasutuste ja IKT-teenuseosutajate vaheliste lepingute reguleerimiseks;
• kolmandast isikust IKT-teenuste osutajate tegevuskerksuse hindamine (arvesse tuleb võtta ka allhankeahelat) ja vajadusel sobivate riski maandamismeetmete rakendamist;
• kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajatelt nõutakse, et nad tagaksid oma IKT-süsteemide ja -teenuste turvalisuse ja toimepidevuse ning teeksid tegevuskerksuse riskide juhtimisel koostööd finantsasutustega, kellele nad teenuseid osutavad;
• IKT-riskijuhtimise raamistikuga seotud dokumentatsiooni ajakohastamine tagamaks selle vastavus DORA-ga (nt infoturbe kord, hankepoliitika, talitluspidevuse kava ja sellega seotud protsessid, kriisitaastekava, regulaarne testimine jne);
• IKT-turbe teadlikkuse suurendamise programmide väljatöötamine ning töötajate ja juhtkonna koolituste läbiviimine.

Määruse kohaselt võivad mikroettevõtjad ja teatud finantssektori ettevõtjad kohaldada lihtsustatud IKT-riskide juhtimise raamistikku.

Kui finantsasutused ei täida DORA nõudeid, siis nagu ikka võib selle eest trahvi määrata. Lisaks tuleb silmas pidada, et järelevalveasutustel on õigus küsida teavet, viia läbi kohapealseid kontrolle, nõuda mis tahes tegevuse ajutist või püsivat lõpetamist, kui pädev asutus peab seda määrusega vastuolus olevaks, ning kehtestada trahve ka kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajate suhtes, kui need ei täida DORA nõudeid.

Kas DORA mõjutab teie õigus- ja IT osakonda?

Väga tõenäoliselt mõjutab DORA mõlemat osakonda. Kuna DORA eesmärk on tagada IKT-süsteemide digikerksus, jätkuvus ja käideldavus – eelkõige nende süsteemide puhul, mis toetavad kriitilisi või olulisi funktsioone. Samuti tuleb pöörata eraldi tähelepanu ettevõttesisesele teadlikkuse ja info jagamisele ning koostööle. Pidades seejuures silmas, et DORA kohaselt peavad finantsasutused, v.a mikroettevõtted ja üksused, mille suhtes kohaldatakse lihtsustatud IKT-riskide juhtimise raamistikku, määrama isiku, kes jälgib kolmandast isikust IKT-teenuseosutajatega sõlmitud kokkulepete täitmist või määrama kõrgema juhtkonna liikme, kes vastutab sellega seotud riski ja asjakohase dokumentatsiooni järelevalve eest.

IT-osakonnad peaksid läbi vaatama DORA-ga seotud nõuded, et ajakohastada IKT-riskijuhtimise raamistikku ja viia läbi IKT-riskide hindamine, mis hõlmab kõiki ärikriitilisi infosüsteeme, sealhulgas kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajate süsteeme (või paluma kolmandast isikust teenuseosutajatel esitada oma IKT-riskide hindamise tulemused), et saada ajakohastatud ülevaade IKT-ga seotud riskidest. IKT-riskihinnangutes tuleks arvesse võtta ka küberohtusid ja -riske. Selleks saab kasutada nn „red teaming“ testimist, mille käigus testitakse organisatsiooni süsteemide turvalisust, jäljendades pahatahtlikku tegutsejat, kes püüab häkkida turvasüsteemidesse või andmetesse. Red teaming testimise kasutamisel soovitatakse järgida TIBER-EU raamistikku – see on EL-i raamistik, mis pakub finantssektori ettevõtete kriitilise tähtsusega töösolevate süsteemide kontrollitud, kohandatud ja teadmuspõhist red team testi. TIBER-EU eesmärk on parandada ettevõtete kaitse-, tuvastamis- ja reageerimisvõimekust, suurendada finantssektori digikerksust ja anda ametiasutustele kindlust nende vastutusalasse kuuluvate organisatsioonide kübervastupidavuse kohta.

Kuidas saame aidata?

KPMG valdkonna- ja piiriülesed meeskonnad aitavad teil uute nõuete rakendamise rägastikus orienteeruda. Saame viia läbi üksikasjaliku DORA-põhise analüüsi (gap analysis), mis toob välja DORA-st tulenevad nõuded ja hetkeseisu puudused ettevõttes, aidata puudusi kõrvaldada koos jooksva regulatiivse nõustamise ja projektijuhtimisega. Samuti aitame välja töötada täiustatud digitaalse tegevuskerksuse stsenaariumipõhise testimise võimalusi, aidata kolmandast isikust teenusepakkujate registri ja allhankelepingute läbivaatamisel või IKT-riskide hindamisel (sh red team testimisega). Samuti DORA kohaselt nõutavate IKT-turbe teadlikkuse suurendamise programmide ja töötajate ning juhtkonna koolituste väljatöötamisel ja läbiviimisel.

Katri Remmelgas
Advokaat / Pangandus- ja finantsõigus
Advokaadibüroo KPMG Law OÜ

Ivar Anton
Küberturvalisuse ekspert / IT-audiitor
KPMG Baltics OÜ

Raija Tuokko
Õigusnõustaja/Finantsteenused
KPMG Law Nordic-Baltic Region