Europos priežiūros institucijos skelbia viešas konsultacijas dėl Skaitmeninės veiklos atsparumo finansų sektoriuje reglamento (angl. Digital Operational Resilience Act, DORA) dokumentų antrojo paketo.
Šį paketą sudaro keturi techninių reguliavimo standartų (angl. Regulatory Technical Standards, RTS) projektai, vienas techninių įgyvendinimo standartų (angl. Implementing Technical Standards, ITS) projektų rinkinys ir du gairių rinkiniai. Šiomis priemonėmis siekiama užtikrinti nuoseklią ir suderintą teisinę sistemą didelių su informacinėmis ir ryšių technologijomis (IRT) susijusių incidentų pranešimų teikimo, skaitmeninio operacinio atsparumo testavimo, IRT trečiųjų šalių rizikos valdymo ir ypatingos svarbos IRT trečiųjų šalių teikėjų priežiūros srityse.
Konsultacinis dokumentas dėl RTS ir ITS dėl pranešimo apie incidentus turinio, terminų ir šablonų. RTS projekte numatyti trys pagrindiniai aspektai:
- pirminio, tarpinio ir galutinio pranešimų apie didelius incidentus pateikimo terminai;
- pranešimų apie su IRT susijusius didelius incidentus turinys;
- pranešimų apie dideles kibernetines grėsmes turinio nustatymas.
Gairės dėl bendrų išlaidų ir nuostolių, patirtų dėl didelių su IRT susijusių incidentų. Šių gairių projekte nurodoma, kaip apskaičiuoti bendras metines išlaidas ir nuostolius, patirtus dėl didelių su IRT susijusių incidentų.
RTS dėl grėsmėmis pagrįstų įsilaužimo testų. DORA 26 straipsnyje nustatyta, kad tam tikri finansų rinkos subjektai ne rečiau kaip kas trejus metus turi atlikti išplėstinį testavimą naudodami grėsmėmis pagrįstus įsilaužimo testus (angl. threat-led penetration testing, TLPT). Šiame RTS apibrėžti:
- kriterijai, pagal kuriuos nustatomos įstaigos, privalančios atlikti TLPT;
- reikalavimai dėl TLPT apimties, metodikos ir rezultatų;
- reikalavimai ir standartai, reglamentuojantys vidaus testuotojų pasitelkimą;
- reikalavimai dėl bendradarbiavimo, kai rengiami bendri TLPT.
RTS dėl kritinių ar svarbių funkcijų subrangos. RTS projekte nurodoma, ką finansų rinkos dalyvis turi nustatyti ir įvertinti, kai yra linkęs sutikti su subranga IRT paslaugų sutartyse, kurios palaiko esmines ar svarbias funkcijas.
Gairės dėl Europos priežiūros institucijų ir kompetentingų institucijų bendradarbiavimo priežiūros srityje. Siekiant užtikrinti veiksmingą kritinių IRT paslaugų teikėjų priežiūrą, svarbu, kad Europos priežiūros ir kitos kompetentingos institucijos glaudžiai bendradarbiautų ir keistųsi informacija. Šiomis gairėmis nustatoma: a) kokiose srityse būtina keistis informacija; b) kaip bendradarbiauti vykdant kritinių IRT paslaugų teikėjų priežiūrą, siekiant užtikrinti veiksmingumą ir išvengti dubliavimosi.
RTS dėl priežiūros suderinimo. DORA reglamente nustatyta kritinių IRT paslaugų teikėjų, kurie bus nustatyti pagal DORA kriterijus, priežiūros sistema. RTS dokumente nustatyta:
- informacija, kurią IRT paslaugų teikėjas turi pateikti savanoriškai prašydamas būti priskirtas prie kritinių IRT paslaugų teikėjų;
- informacijos, kurią kritiniai IRT paslaugų teikėjai turi pateikti, atskleisti ar pranešti pagrindiniam prižiūrėtojui, turinys, struktūra ir formatas;
- išsami informacija, kaip kompetentingos institucijos turėtų vertinti priemones, kurių ėmėsi kritiniai IRT paslaugų teikėjai, kai taiso trūkumus.
Vieša konsultacija vyksta iki 2024 m. kovo 4 d. Visus susijusius dokumentus rasite čia
Europos priežiūros institucijos, siekdamos išsamiau pristatyti viešai konsultacijai teikiamus dokumentus ir atsakyti į suinteresuotųjų šalių klausimus, 2024 m. sausio 23 d. nuotoliniu būdu organizuoja viešąjį klausymą.
Į renginį būtina registracija vyksta iki 2024 m. sausio 19 d., ją rasite čia.
***
Europos priežiūros institucijos – Europos bankininkystės institucija, Europos vertybinių popierių ir rinkų institucija ir Europos draudimo ir profesinių pensijų institucija.