DUK

Klausimas
DORA
	IRT paslaugos
	Kur pasitikrinti, ar paslauga turi patekti į IRT paslaugų sąrašą?
	Jei abejojame, kurį paslaugų teikėją priskirti prie IRT paslaugų, kur galėtume kreiptis dėl konsultacijos?
	Ar sutartis dėl interneto / telekomunikacijos paslaugų, interneto svetainės palaikymo paslaugos laikomos IRT paslaugomis?
	Ar pagal DORA reglamento reikalavimus tokie viešojo administravimo subjektai kaip AB „Regitra“ ir VĮ „REGISTRŲ CENTRAS“ yra laikomi IRT paslaugas teikiančiomis trečiosiomis šalimis?
	Esame IT įmonė, kurianti ir tiekianti vertybinių popierių investavimo apskaitos ir valdymo programinę įrangą finansinėms įstaigoms. Programinė įranga (įrankis) yra diegiama klientų serveriuose, o visi duomenys saugomi ir tvarkomi pas klientus, tad jų neapdorojame ir nesaugome savo infrastruktūroje. Prašome paaiškinti, ar pagal DORA reglamentą tokia įmonė laikoma kritiniu trečiųjų šalių informacinių ir ryšių technologijų (IRT) paslaugų teikėju, kuriam taikytini šio reglamento reikalavimai?
	Ar mobiliųjų paslaugų operatoriai (pvz., Bitė, Telia ir kt.) yra laikomi informacinių ir ryšių technologijų (IRT) paslaugų teikėjais, kuriems taikomi DORA reglamente numatyti reikalavimai?
	Ar reikia teikti pranešimą Lietuvos bankui ir gauti išankstinį Lietuvos banko pritarimą, kai atlikus rizikos vertinimą trečiosios šalies teikiama paslauga perkvalifikuojama kaip ypatingos svarbos IRT paslauga?
	Ar bus taikomas reikalavimas informuoti Lietuvos banką apie subrangovus ir rangovų sutartis su jais?
	Kada / ar reikia pranešti Lietuvos bankui, kai: 1) paslauga buvo identifikuota kaip ypatingos svarbos veiklos funkcija, bet po DORA kvalifikuojama kaip ne kritinis ICT; 2) egzistuojanti sutartis buvo vertinta kaip ne ypatingos svarbos veiklos funkcija, bet po DORA kvalifikuojama kaip kritinis ICT. Ar pasirašant pastarosios sutarties pratęsimą reikia prieš 60 dienų pranešti Lietuvos bankui?
	Ką daryti, jeigu didieji tarptautiniai IRT paslaugų teikėjai nepripažįsta savo paslaugų kaip IRT paslaugų, kurioms turėtų būti taikomi DORA reikalavimai?
	IRT registrai
	Ar reikia į IRT paslaugų registrą įtraukti bankus, per kuriuos klientas jungiasi prie mūsų savitarnos, kaip IRT paslaugų teikėjus? Pvz., Swedbank, SEB, Citadele.
	Jeigu yra IRT paslaugų sutartis, susijusi su kritinės funkcijos palaikymu, tačiau funkcijos priklausomybė nuo IRT paslaugos yra nereikšminga, ar reikia tokį paslaugų teikėją traktuoti kaip kritinį IRT paslaugų teikėją?
	Už kokį periodą IRT paslaugų registre turi būti pateikta informacija (aišku, kad iki kovo 31 d., bet nuo kada?). Ar turi būti pateikta tik galiojančių sutarčių informacija, ar taip, kaip nurodyta faile – ir nutrauktų sutarčių informacija?
	Ar į IRT paslaugų registrą reikia įtraukti Microsoft ar Amazon subrangovus?
	Ar pagal reglamentą įmonei, atitinkančiai „labai mažos įmonės“ apibrėžimą ir kuriai taikoma supaprastintas DORA taikymas, reikia pateikti IRT paslaugų registrą?
	Kokia kalba turi būti teikiamas IRT paslaugų registras?
	Ar įmonės, teikiančios tik sąskaitos informacijos paslaugą, privalo pateikti IRT paslaugų registrus Lietuvos bankui?
	Kiek subrangovų lygių privaloma IRT paslaugų registre pateikti?
	Kokiu periodiškumu reikės teikti IRT paslaugų registrus Lietuvos bankui?
	Kokie terminai taikomi IRT paslaugų registro pateikimui LB kriptovaliutų paslaugas teikiančioms įmonėms, kurios dalyvauja MiCA licencijos gavimo procese?
	Ar patronuojančioji įmonė privalo pateikti IRT paslaugų registrą, ar tai nėra privaloma, jei grupės įmonė nori pateikti registrą individualiai?
	Ar turime traukti į registrą MasterCard ir Visa teikėjus? Abu teikėjai oficialiais raštais nurodo, kad jie nėra IRT teikėjai ir jų traukti į registrą nereikia. EIOPA Q&A nurodoma, kad klausimas dėl Visa ir Mastercard traktavimo kaip IRT paslaugų teikėjo jau yra pateiktas. Tačiau nurodoma, kad atsakymas dar rengiamas, t. y. nebuvo vienareikšmiškai nurodyta iš karto, kad Visa ir Mastercard yra IRT paslaugų teikėjai. Ar iš šio atsakymo reiktų suprasti, kad atsakymas jau yra (bus) būtent toks?
	Ar tokie paslaugų teikėjai kaip korespondentiniai bankai ir korteles aptarnaujantys teikėjai (angl. card acquiring) partneriai turėtų būti įtraukti į IRT paslaugų registrą?
	Kam finansų rinkos subjektai turi teikti IRT registro informaciją, kai jo konsoliduotą priežiūrą vykdo kita Europos Sąjungos (ES) šalis?
	Kur galima rasti informaciją apie tai, kaip sudaryti trečiųjų šalių teikiamų informacinių ir ryšių technologijų (IRT) paslaugų naudojimo registrus?
	Incidentai
	Apie kokius incidentus ir kaip reikia pranešti Lietuvos bankui?
	Ar mokėjimo įstaigos pranešimus apie IRT incidentus turėtų teikti tik dėl licencijuotos veiklos, t. y. bankinių išrašų paslaugos? Taip pat prašome patikslinti ir dėl kitų teikiamų paslaugų, naudojamų finansų įstaigų, kaip pavyzdžiui Lietuvos banko PRDB registras ir jo patirti sutrikimai?
	Numatoma panaikinti Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimą Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“. Ar pareigos informuoti apie OSRI tipo incidentus (kaip jie apibrėžiami dabar) nebeliks? (išskyrus atvejus, jei OSRI incidentai atitiks DORA kriterijus)?
	Bankas turi filialą kitoje ES valstybėje narėje ir dar keliose valstybėse veikia neįsteigęs filialo. Didžioji dalis pagrindinių IRT sistemų yra bendros visoms šalims ir yra tikimybė, kad dideli incidentai (jei įvyktų) turėtų poveikį iš karto keliose šalyse. Kurių valstybių priežiūros institucijoms bankas tokiais atvejais turėtų teikti pranešimą apie didelį IRT incidentą – tik Lietuvos bankui, Lietuvos bankui ir filialo valstybės narės priežiūros institucijai ar Lietuvos bankui ir visų priimančiųjų valstybių priežiūros institucijoms?
	Jei vienas iš didelio incidento kriterijų yra paveiktų daugiau kaip 10 proc. klientų, kurie naudojasi kritine funkcija, ar turime atsižvelgti į kriterijų, jei tokių klientų dalis visų banko klientų atžvilgiu būtų nereikšminga?
	Paaiškinkite „geografinio pasiskirstymo“ kriterijaus taikymą pagal DORA reglamentą – jei vienas kriterijus pasiekė lygį ir kartu incidentas minimaliai turėjo įtakos kitai šaliai (aktyvuojasi antras kriterijus), ar laikoma, kad poveikio lygis yra identiškas?
	Ar visos paslaugos, palaikančios finansinius produktus, yra laikomos ypatingos svarbos paslaugomis (angl. critical service) pagal DORA reglamentą?
	Jei įmonėje įvyko incidentas, susijęs su trimis Baltijos šalimis, ar tokiu atvejų įmonė turi informuoti atskirai kiekvieną Baltijos šalių priežiūros instituciją, ar pakaktų informuoti tik tos šalies, kurioje įsteigti jos būstinė ir IT paslaugų teikėjas, priežiūros instituciją?
	Ar tarpiniai pranešimai teikiami tik vieną kartą po 72 val. nuo pradinio pranešimo, ar juos reikia teikti kas 72 val., kol incidentas nebus išspręstas (jei nors ir mažai tikėtinu atveju jo sprendimas užtruktų ilgiau)?
	Ar liks pareiga atskirai informuoti apie taikomųjų programų sąsajaos (angl. application programming interface,API) pažeidimus (tais atvejais, kai API sutrikimai nėra kito didesnio incidento dalis)?
	Įsiskverbimo testavimai
	Ar informacinių sistemų saugumo spragų „bug-bounty“ programos gali atstoti (būti alternatyva) įsiskverbimo testavimus pagal DORA?
	Kam privalomas grėsmėmis grindžiamo skverbimosi testavimas (angl. threat-led penetration test, TLPT)?
	Ar Lietuvos bankas yra paskirtas grėsmėmis grindžiamo skverbimosi testavimo (angl. threat-led penetration test, TLPT) institucija?
	Ataskaitų teikimas
	Kaip gauti prieigą prie testavimo aplinkos?
	Kaip prisijungti prie REGATA dirbantiems ne iš Lietuvos, o iš ES šalių arba ne EEE (pvz., Jungtinės Karalystės)?
	Ar pranešimus / ataskaitas apie incidentus į REGATĄ sistemą bus galima teikti per API sąsają? Jei taip, kokie bus prisijungimo autorizavimo reikalavimai?
	Kada gamybinėje aplinkoje reikia pateikti ataskaitą ir už kokį laikotarpį?
	Jeigu incidentą išsprendėme per parą, ar tikrai būtina palaikyti seką teikiant pirminį, tarpinį ir galutinį? Ar negalima po pirminio pildyti iš karto galutinio, jeigu jau visa informacija yra žinoma ir incidentas išspręstas?
	Jei finansų rinkos dalyvis (FRD) patenka į Kibernetinio saugumo įstatymo (KSĮ) taikymo sritį, jam nereikia pranešti apie incidentus per KSĮ sistemą?
	DORA reglamento taikymas
	Ar DORA reglamentas taikomas Lietuvos Respublikos transporto priemonių draudikų biurui?
	DORA numatyta, kad reglamentas taikomas draudimo tarpininkams, perdraudimo tarpininkams ir papildomos draudimo veiklos tarpininkams, išskyrus draudimo tarpininkus, perdraudimo tarpininkus ir papildomos draudimo veiklos tarpininkus, kurie yra labai mažos įmonės arba mažosios ar vidutinės įmonės. Įmonė pagal parametrus nėra vidutinė įmonė, turi daugiau darbuotojų ir bendroji veikla viršija 50 mln. Eur, jos pagrindinė veikla nėra susijusi su finansinių paslaugų teikimu, o pajamos iš draudimo tarpininko veiklos yra mažos. Ar tokiai įmonei taikomas DORA reglamentas, jei draudimo tarpininko veikla yra nepagrindinė veikla ir įmonė pagal pajamas iš draudimo tarpininko veiklos (ne pagal bendrąsias pajamas), netenkina vidutinės įmonės kriterijų?
	Ar teisingai suprantame, kad kartu vertinant DORA 58 straipsnio, DORA 63 konstatuojamosios dalies ir Europos Komisijos ataskaitos COM/2023/0365 nuostatas, tokie paslaugų teikėjai, kaip mokėjimo sistemų operatoriai ir subjektai, dalyvaujantys mokėjimų apdorojimo veikloje (pvz., kortelių organizacijos VISA, Mastercard), yra IRT paslaugų teikėjai DORA kontekste?
	Ar vartojimo kredito davėjams taikomas DORA reglamentas?
	Kita
	Ar visiems IRT paslaugų teikėjams privalomas auditas?
	Ar galima pavesti IRT ir saugumo rizikos valdymo funkcijų vykdymą išorės paslaugų teikėjui, ar vis dėlto šios funkcijos turėtų būti užtikrinamos įstaigoje vidiniais resursais?
	DORA reglamento 43 str. „Priežiūros mokesčiai“ nurodoma, kad atsakingoji priežiūros institucija ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims taiko mokesčius. Prašome patikslinti, kaip nustatomas šis mokestis ir kas jį turės mokėti?

IRT paslaugos

Kur pasitikrinti, ar paslauga turi patekti į IRT paslaugų sąrašą?

Jei abejojame, kurį paslaugų teikėją priskirti prie IRT paslaugų, kur galėtume kreiptis dėl konsultacijos?

Ar sutartis dėl interneto / telekomunikacijos paslaugų, interneto svetainės palaikymo paslaugos laikomos IRT paslaugomis?

Ar pagal DORA reglamento reikalavimus tokie viešojo administravimo subjektai kaip AB „Regitra“ ir VĮ „REGISTRŲ CENTRAS“ yra laikomi IRT paslaugas teikiančiomis trečiosiomis šalimis?

Esame IT įmonė, kurianti ir tiekianti vertybinių popierių investavimo apskaitos ir valdymo programinę įrangą finansinėms įstaigoms. Programinė įranga (įrankis) yra diegiama klientų serveriuose, o visi duomenys saugomi ir tvarkomi pas klientus, tad jų neapdorojame ir nesaugome savo infrastruktūroje. Prašome paaiškinti, ar pagal DORA reglamentą tokia įmonė laikoma kritiniu trečiųjų šalių informacinių ir ryšių technologijų (IRT) paslaugų teikėju, kuriam taikytini šio reglamento reikalavimai?

Ar mobiliųjų paslaugų operatoriai (pvz., Bitė, Telia ir kt.) yra laikomi informacinių ir ryšių technologijų (IRT) paslaugų teikėjais, kuriems taikomi DORA reglamente numatyti reikalavimai?

Ar reikia teikti pranešimą Lietuvos bankui ir gauti išankstinį Lietuvos banko pritarimą, kai atlikus rizikos vertinimą trečiosios šalies teikiama paslauga perkvalifikuojama kaip ypatingos svarbos IRT paslauga?

Ar bus taikomas reikalavimas informuoti Lietuvos banką apie subrangovus ir rangovų sutartis su jais?

Kada / ar reikia pranešti Lietuvos bankui, kai: 1) paslauga buvo identifikuota kaip ypatingos svarbos veiklos funkcija, bet po DORA kvalifikuojama kaip ne kritinis ICT; 2) egzistuojanti sutartis buvo vertinta kaip ne ypatingos svarbos veiklos funkcija, bet po DORA kvalifikuojama kaip kritinis ICT. Ar pasirašant pastarosios sutarties pratęsimą reikia prieš 60 dienų pranešti Lietuvos bankui?

Ką daryti, jeigu didieji tarptautiniai IRT paslaugų teikėjai nepripažįsta savo paslaugų kaip IRT paslaugų, kurioms turėtų būti taikomi DORA reikalavimai?

IRT registrai

Ar reikia į IRT paslaugų registrą įtraukti bankus, per kuriuos klientas jungiasi prie mūsų savitarnos, kaip IRT paslaugų teikėjus? Pvz., Swedbank, SEB, Citadele.

Jeigu yra IRT paslaugų sutartis, susijusi su kritinės funkcijos palaikymu, tačiau funkcijos priklausomybė nuo IRT paslaugos yra nereikšminga, ar reikia tokį paslaugų teikėją traktuoti kaip kritinį IRT paslaugų teikėją?

Už kokį periodą IRT paslaugų registre turi būti pateikta informacija (aišku, kad iki kovo 31 d., bet nuo kada?). Ar turi būti pateikta tik galiojančių sutarčių informacija, ar taip, kaip nurodyta faile – ir nutrauktų sutarčių informacija?

Ar į IRT paslaugų registrą reikia įtraukti Microsoft ar Amazon subrangovus?

Ar pagal reglamentą įmonei, atitinkančiai „labai mažos įmonės“ apibrėžimą ir kuriai taikoma supaprastintas DORA taikymas, reikia pateikti IRT paslaugų registrą?

Kokia kalba turi būti teikiamas IRT paslaugų registras?

Ar įmonės, teikiančios tik sąskaitos informacijos paslaugą, privalo pateikti IRT paslaugų registrus Lietuvos bankui?

Kiek subrangovų lygių privaloma IRT paslaugų registre pateikti?

Kokiu periodiškumu reikės teikti IRT paslaugų registrus Lietuvos bankui?

Kokie terminai taikomi IRT paslaugų registro pateikimui LB kriptovaliutų paslaugas teikiančioms įmonėms, kurios dalyvauja MiCA licencijos gavimo procese?

Ar patronuojančioji įmonė privalo pateikti IRT paslaugų registrą, ar tai nėra privaloma, jei grupės įmonė nori pateikti registrą individualiai?

Ar turime traukti į registrą MasterCard ir Visa teikėjus? Abu teikėjai oficialiais raštais nurodo, kad jie nėra IRT teikėjai ir jų traukti į registrą nereikia. EIOPA Q&A nurodoma, kad klausimas dėl Visa ir Mastercard traktavimo kaip IRT paslaugų teikėjo jau yra pateiktas. Tačiau nurodoma, kad atsakymas dar rengiamas, t. y. nebuvo vienareikšmiškai nurodyta iš karto, kad Visa ir Mastercard yra IRT paslaugų teikėjai. Ar iš šio atsakymo reiktų suprasti, kad atsakymas jau yra (bus) būtent toks?

Ar tokie paslaugų teikėjai kaip korespondentiniai bankai ir korteles aptarnaujantys teikėjai (angl. card acquiring) partneriai turėtų būti įtraukti į IRT paslaugų registrą?

Kam finansų rinkos subjektai turi teikti IRT registro informaciją, kai jo konsoliduotą priežiūrą vykdo kita Europos Sąjungos (ES) šalis?

Kur galima rasti informaciją apie tai, kaip sudaryti trečiųjų šalių teikiamų informacinių ir ryšių technologijų (IRT) paslaugų naudojimo registrus?

Incidentai

Apie kokius incidentus ir kaip reikia pranešti Lietuvos bankui?

Ar mokėjimo įstaigos pranešimus apie IRT incidentus turėtų teikti tik dėl licencijuotos veiklos, t. y. bankinių išrašų paslaugos? Taip pat prašome patikslinti ir dėl kitų teikiamų paslaugų, naudojamų finansų įstaigų, kaip pavyzdžiui Lietuvos banko PRDB registras ir jo patirti sutrikimai?

Numatoma panaikinti Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimą Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“. Ar pareigos informuoti apie OSRI tipo incidentus (kaip jie apibrėžiami dabar) nebeliks? (išskyrus atvejus, jei OSRI incidentai atitiks DORA kriterijus)?

Bankas turi filialą kitoje ES valstybėje narėje ir dar keliose valstybėse veikia neįsteigęs filialo. Didžioji dalis pagrindinių IRT sistemų yra bendros visoms šalims ir yra tikimybė, kad dideli incidentai (jei įvyktų) turėtų poveikį iš karto keliose šalyse. Kurių valstybių priežiūros institucijoms bankas tokiais atvejais turėtų teikti pranešimą apie didelį IRT incidentą – tik Lietuvos bankui, Lietuvos bankui ir filialo valstybės narės priežiūros institucijai ar Lietuvos bankui ir visų priimančiųjų valstybių priežiūros institucijoms?

Jei vienas iš didelio incidento kriterijų yra paveiktų daugiau kaip 10 proc. klientų, kurie naudojasi kritine funkcija, ar turime atsižvelgti į kriterijų, jei tokių klientų dalis visų banko klientų atžvilgiu būtų nereikšminga?

Paaiškinkite „geografinio pasiskirstymo“ kriterijaus taikymą pagal DORA reglamentą – jei vienas kriterijus pasiekė lygį ir kartu incidentas minimaliai turėjo įtakos kitai šaliai (aktyvuojasi antras kriterijus), ar laikoma, kad poveikio lygis yra identiškas?

Ar visos paslaugos, palaikančios finansinius produktus, yra laikomos ypatingos svarbos paslaugomis (angl. critical service) pagal DORA reglamentą?

Jei įmonėje įvyko incidentas, susijęs su trimis Baltijos šalimis, ar tokiu atvejų įmonė turi informuoti atskirai kiekvieną Baltijos šalių priežiūros instituciją, ar pakaktų informuoti tik tos šalies, kurioje įsteigti jos būstinė ir IT paslaugų teikėjas, priežiūros instituciją?

Ar tarpiniai pranešimai teikiami tik vieną kartą po 72 val. nuo pradinio pranešimo, ar juos reikia teikti kas 72 val., kol incidentas nebus išspręstas (jei nors ir mažai tikėtinu atveju jo sprendimas užtruktų ilgiau)?

Ar liks pareiga atskirai informuoti apie taikomųjų programų sąsajaos (angl. application programming interface,API) pažeidimus (tais atvejais, kai API sutrikimai nėra kito didesnio incidento dalis)?

Įsiskverbimo testavimai

Ar informacinių sistemų saugumo spragų „bug-bounty“ programos gali atstoti (būti alternatyva) įsiskverbimo testavimus pagal DORA?

Kam privalomas grėsmėmis grindžiamo skverbimosi testavimas (angl. threat-led penetration test, TLPT)?

Ar Lietuvos bankas yra paskirtas grėsmėmis grindžiamo skverbimosi testavimo (angl. threat-led penetration test, TLPT) institucija?

Ataskaitų teikimas

Kaip gauti prieigą prie testavimo aplinkos?

Kaip prisijungti prie REGATA dirbantiems ne iš Lietuvos, o iš ES šalių arba ne EEE (pvz., Jungtinės Karalystės)?

Ar pranešimus / ataskaitas apie incidentus į REGATĄ sistemą bus galima teikti per API sąsają? Jei taip, kokie bus prisijungimo autorizavimo reikalavimai?

Kada gamybinėje aplinkoje reikia pateikti ataskaitą ir už kokį laikotarpį?

Jeigu incidentą išsprendėme per parą, ar tikrai būtina palaikyti seką teikiant pirminį, tarpinį ir galutinį? Ar negalima po pirminio pildyti iš karto galutinio, jeigu jau visa informacija yra žinoma ir incidentas išspręstas?

Jei finansų rinkos dalyvis (FRD) patenka į Kibernetinio saugumo įstatymo (KSĮ) taikymo sritį, jam nereikia pranešti apie incidentus per KSĮ sistemą?

DORA reglamento taikymas

Ar DORA reglamentas taikomas Lietuvos Respublikos transporto priemonių draudikų biurui?

DORA numatyta, kad reglamentas taikomas draudimo tarpininkams, perdraudimo tarpininkams ir papildomos draudimo veiklos tarpininkams, išskyrus draudimo tarpininkus, perdraudimo tarpininkus ir papildomos draudimo veiklos tarpininkus, kurie yra labai mažos įmonės arba mažosios ar vidutinės įmonės. Įmonė pagal parametrus nėra vidutinė įmonė, turi daugiau darbuotojų ir bendroji veikla viršija 50 mln. Eur, jos pagrindinė veikla nėra susijusi su finansinių paslaugų teikimu, o pajamos iš draudimo tarpininko veiklos yra mažos. Ar tokiai įmonei taikomas DORA reglamentas, jei draudimo tarpininko veikla yra nepagrindinė veikla ir įmonė pagal pajamas iš draudimo tarpininko veiklos (ne pagal bendrąsias pajamas), netenkina vidutinės įmonės kriterijų?

Ar teisingai suprantame, kad kartu vertinant DORA 58 straipsnio, DORA 63 konstatuojamosios dalies ir Europos Komisijos ataskaitos COM/2023/0365 nuostatas, tokie paslaugų teikėjai, kaip mokėjimo sistemų operatoriai ir subjektai, dalyvaujantys mokėjimų apdorojimo veikloje (pvz., kortelių organizacijos VISA, Mastercard), yra IRT paslaugų teikėjai DORA kontekste?

Ar vartojimo kredito davėjams taikomas DORA reglamentas?

Kita

Ar visiems IRT paslaugų teikėjams privalomas auditas?

Ar galima pavesti IRT ir saugumo rizikos valdymo funkcijų vykdymą išorės paslaugų teikėjui, ar vis dėlto šios funkcijos turėtų būti užtikrinamos įstaigoje vidiniais resursais?

DORA reglamento 43 str. „Priežiūros mokesčiai“ nurodoma, kad atsakingoji priežiūros institucija ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims taiko mokesčius. Prašome patikslinti, kaip nustatomas šis mokestis ir kas jį turės mokėti?

Užduokite klausimą