2023-07-03
Europos priežiūros institucijos kviečia konsultuotis dėl skaitmeninio operacinio atsparumo didinimo, svarstys pirmą dokumentų paketą
Europos priežiūros institucijos (EPI) – Europos bankininkystės institucija, Europos vertybinių popierių ir rinkų institucija, Europos draudimo ir profesinių pensijų institucija – konsultuojasi dėl Skaitmeninės veiklos atsparumo finansų sektoriuje reglamento (angl. Digital Operational Resilience Act, DORA) antrojo lygio dokumentų paketo, sudaryto iš keturių techninių reguliavimo standartų (RTS) ir vieno techninių įgyvendinimo standartų (ITS) projektų rinkinio. Šiais standartais siekiama užtikrinti nuoseklią ir suderintą teisinę sistemą informacinių ir ryšių technologijų (IRT) rizikos valdymo, pranešimų apie didelius su IRT susijusius incidentus ir IRT trečiųjų šalių rizikos valdymo srityse. EPI liepos 13 d. organizuoja viešą nuotolinį dokumentų pirmojo paketo svarstymą ir kviečia registruotis į renginį iki liepos 10 d.
EPI, įgaliotos DORA, turi iš viso parengti trylika politikos priemonių. Pirmasis techninių standartų paketas, dėl kurių EPI konsultuojasi:
RTS dėl IRT rizikos valdymo. Jame nustatyti reikalavimai, susiję su: 1) IRT saugumo politika, procedūromis, protokolais ir priemonėmis, IRT projektų ir pokyčių valdymu, fizine sauga, informacijos saugumo mokymais; 2) žmogiškųjų išteklių politika ir prieigos kontrole; 3) su IRT susijusių incidentų aptikimu ir reagavimu; 4) veiklos tęstinumo valdymu; 5) IRT rizikos valdymo sistemos peržiūra ir 6) proporcingumu.
RTS dėl incidentų klasifikavimo nustatomų reikalavimų. Konsultuojamasi dėl: 1) su IRT susijusių incidentų klasifikavimo kriterijų; 2) reikšmingumo ribos, nustatant didelius su IRT susijusius incidentus; 3) kriterijų ir ribų, kurie turi būti taikomi klasifikuojant dideles kibernetines grėsmes; 4) kriterijų, kuriuos turi taikyti kompetentingos institucijos, siekdamos įvertinti incidentų svarbą atitinkamoms priimančiosios šalies institucijoms.
RTS dėl veiklos funkcijų perdavimo. Konsultuojamasi dėl nustatomų reikalavimų visiems trečiųjų šalių paslaugų teikimo (angl. outsourcing) etapams: 1) ikisutartinam (sutarties planavimas ir sudarymas, rizikos vertinimas, deramas patikrinimas); 2) sutarties vykdymo (sutartinių įsipareigojimų stebėsena) ir 3) pasitraukimo strategija ir nutraukimo procesai.
ITS dėl perduotų funkcijų sutarčių informacijos. Šiuo standartu nustatomi informacijos registro šablonai, apimantys IRT paslaugų teikėjus individualiu, konsoliduotu ir subkonsoliduotu lygiais. Šablonai sukurti atsižvelgiant į šiuos registro tikslus: 1) registras yra finansų rinkos dalyvio (FRD) IRT rizikos valdymo sistemos dalis; 2) registras suteikia galimybę veiksmingai prižiūrėti FRD ir 3) trečiųjų šalių paslaugų teikėjų pripažinimą svarbiais Europos Sąjungos (ES) lygmeniu.
Vieša konsultacija vyksta Europos bankininkystės institucijos, Europos draudimo ir profesinių pensijų institucijos ir Europos vertybinių popierių ir rinkų institucijos interneto svetainėse iki 2023 m. rugsėjo 11 d.
DORA įsigaliojo 2023 m. sausio 16 d. ir bus pradėtas taikyti nuo 2025 m. sausio 17 d. Šiuo reglamentu siekiama padidinti viso ES finansų sektoriaus subjektų skaitmeninį operacinį atsparumą ir suvienodinti pagrindinius skaitmeninio operacinio atsparumo reikalavimus visiems ES finansų subjektams. Šis reguliavimas apima tokias pagrindines sritis kaip IRT rizikos valdymas, su IRT susijusių incidentų valdymas ir ataskaitų teikimas, skaitmeninio operacinio atsparumo testavimas ir IRT trečiųjų šalių rizikos valdymas.
Viešajai konsultacijai teikiami techninių standartų projektai parengti pagal DORA (Reglamentas (ES) 2022/2554) 15 straipsnį, 16 straipsnio 3 dalį, 18 straipsnio 3 dalį, 28 straipsnio 9 ir 10 dalis. EPI šiuos techninių standartų projektus Europos Komisijai planuoja pateikti iki 2024 m. sausio 17 d.
Finansų rinkos dalyvių dėmesiui – EPI 2023 m. liepos 13 d. organizuoja viešą antrojo lygio dokumentų pirmojo paketo svarstymą. Renginys vyks nuotoliniu būdu. EPI kviečia suinteresuotąsias šalis registruotis į renginį iki 2023 m. liepos 10 d.