Per ateinančius porą metų Europos Sąjungos (ES) finansų ir IT rinkose įvyks svarbių pokyčių. Atsižvelgdama į vis didėjančią kibernetinių išpuolių riziką, ES stiprina tokių finansų sektoriaus subjektų kaip bankai, draudimo bendrovės ir investicinės įmonės IT saugumą. Tam buvo priimtas Skaitmeninės veiklos atsparumo aktas (angl. Digital Operational Resilience Act, DORA), rašoma pranešime žiniasklaidai.
Asociatyvi „Pixabay“ nuotr.
DORA – tai skaitmeninės veiklos atsparumo reglamentavimo sistema. Tam tikras taisyklių rinkinys, pagal kurį visos finansų įmonės ir įstaigos turės užtikrinti, kad yra pajėgios atsilaikyti prieš kibernetines atakas ir susitvarkyti su kitais informacinių ir ryšių technologijų (IRT) trikdžiais. Šie reikalavimai bus vienodai taikomi visose ES valstybėse narėse. Tai reiškia, kad kai kurios finansų įstaigos ir joms debesijos, duomenų analizės, tinklų bei informacinių sistemų saugumo paslaugas teikiančios įmonės turės pasitempti.
Stebėsena ir streso testai
Iki DORA, finansų įstaigos pagrindines veiklos rizikos kategorijas paprastai valdė naudodamos kapitalą, tačiau jos nekontroliavo visų veiklos atsparumo komponentų (ypač trečiųjų šalių paslaugų ir infrastruktūros). Po DORA įsigaliojimo finansų įstaigos taip pat turi laikytis IRT incidentų saugos, aptikimo, izoliavimo, atkūrimo ir taisymo nuostatų. DORA aiškiai nurodytos ir IRT rizikos, nustatytos jų valdymo, pranešimų apie incidentus, atsparumo testavimo bei IRT trečiųjų šalių rizikos stebėjimo taisyklės.
Šiame reglamente pripažįstama, kad IRT incidentai ir veiklos atsparumo trūkumas gali kelti pavojų visos finansų sistemos patikimumui, net jei yra „pakankamas“ kapitalas tradicinėms rizikos kategorijoms.
„Kai 2025 m. sausio 17 d. bus pradėtas taikyti DORA reglamentas, finansų institucijos turės fiksuoti visus IRT incidentus, o apie didžiuosius pranešti prievaizdams. Finansų įstaigos taip pat privalės vertinti trečiųjų šalių (ne ES) IRT tiekėjų riziką. Turės būti sudaromi trečiųjų šalių tiekėjų ir perkamų paslaugų registrai. IRT tiekėjai, savo ruožtu, incidento atveju, bus įpareigoti padėti finansų įstaigai“, – advokatų kontoros COBALT organizuotoje konferencijoje „Baltic FinReg Summit 23“ pasakojo Boris Augustinov, Europos Komisijos Finansinio stabilumo, finansinių paslaugų ir kapitalo rinkų generalinio direktorato politikos pareigūnas.
Pagal preliminarų susitarimą taip pat numatoma veikimo režimu periodiškai vykdyti skverbimosi testus.
Už priežiūrą mokės verslas
Anot advokatų kontoros COBALT partnerės Evos Suduiko, DORA nustatyti vienodi reikalavimai ne tik finansų sektoriuje veikiančioms įmonėms ir įstaigoms, bet ir ypatingos svarbos trečiųjų šalių IRT paslaugoms.
„ES institucijos sudarys trečiųjų šalių (ne ES) įmonių ir įstaigų sąrašą, kurių paslaugos (pvz., debesijos platformos, duomenų analizės, tinklų ir informacinių sistemų saugumo) bei infrastruktūra bus laikomos ypatingos svarbos. Visi šie subjektai pateks į priežiūros spektrą“, – aiškina E. Suduiko.
Trečiųjų šalių ypatingos svarbos IRT paslaugų tiekėjų atveju (tikėtina, kad tokiais bus laikomi, pvz., JAV debesijos milžinai „Amazon“, „Google“ ir „Microsoft“), bus reikalaujama, kad jie ES įsteigtų patronuojamąją įmonę. To, anot akto kūrėjų, reikia siekiant tinkamai įgyvendinti ne ES įmonių priežiūrą. Beje, ją finansuoti numatoma verslo lėšomis.
Specialistai pabrėžia, kad DORA Tinklų ir informacinių sistemų saugumo (TIS) direktyvos nepanaikina. Ji ir toliau bus taikoma.
E. Suduiko papildo, kad prieš DORA įsigaliojimą atitinkamos Europos priežiūros institucijos – Europos bankininkystės institucija (EBI), Europos vertybinių popierių ir rinkų institucija (ESMA) ir Europos draudimo ir profesinių pensijų institucija (EIOPA) – dar turi parengti techninius standartus, kurių turės laikytis visos finansinių paslaugų institucijos: bankai, draudimo bendrovės, turto valdymo bendrovės. Pagal preliminarų susitarimą, DORA reglamentas nebus taikomas tik auditoriams. Bet jie bus įtraukti į būsimą reglamento peržiūrą, kurios metu gali būti svarstoma galimybė peržiūrėti taisykles.