2024-01-25
Europos priežiūros institucijos (EPI) paskelbė pirmąjį galutinių techninių standartų projektų rinkinį pagal Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentą (angl. Digital Operational Resilience Act, DORA), kuriuo siekiama padidinti Europos Sąjungos (ES) finansų sektoriaus skaitmeninį operacinį atsparumą stiprinant finansų subjektų informacinių ir ryšių technologijų (IRT) ir trečiųjų šalių rizikos valdymo ir pranešimų apie incidentus sistemas.
Bendruosius galutinius techninių standartų projektus sudaro:
Reguliavimo techninis standartas (RTS) dėl IRT rizikos valdymo. Šiais RTS nustatomi reikalavimai, susiję su:
- IRT saugumo politika, procedūromis, protokolais ir priemonėmis, IRT projektų ir pokyčių valdymu, fizine sauga, informacijos saugumo mokymais;
- žmogiškųjų išteklių politika ir prieigos kontrole;
- su IRT susijusių incidentų aptikimu ir reagavimu;
- veiklos tęstinumo valdymu;
- IRT rizikos valdymo sistemos peržiūra ir
- proporcingumu.
RTS dėl incidentų klasifikavimo. Nustatomi reikalavimai dėl:
- su IRT susijusių incidentų klasifikavimo kriterijų,
- reikšmingumo slenksčių, nustatant didelius su IRT susijusius incidentus,
- kriterijai ir slenksčiai, kurie turi būti taikomi klasifikuojant dideles kibernetines grėsmes, ir
- kriterijai, kuriuos turi taikyti kompetentingos institucijos, siekdamos įvertinti incidentų svarbą kitoms kompetentingoms institucijoms.
RTS, kuriuo apibrėžiamas politikos turinys dėl sutarčių, susijusių su IRT paslaugomis, palaikančiomis esmines arba svarbias funkcijas. Nustatomi reikalavimai visiems trečiųjų šalių IRT paslaugų teikimo etapams:
- ikisutartiniam (sutarties planavimas ir sudarymas, rizikos vertinimas, deramas patikrinimas) etapui;
- sutarties vykdymo (sutartinių įsipareigojimų stebėsena) etapui ir
- pasitraukimo strategijos ir nutraukimo procesų etapui.
Techninis įgyvendinimo standartas (ITS) dėl informacijos, susijusios su sutartiniais susitarimais dėl IRT paslaugų teikėjų teikiamų paslaugų naudojimo, registro. Šiuo standartu nustatomi informacijos registro šablonai, apimantys IRT paslaugų teikėjus individualiu, konsoliduotu ir subkonsoliduotu lygiais. Šablonai sukurti atsižvelgiant į šiuos registro tikslus:
- registras yra finansų rinkos dalyvio (FRD) IRT rizikos valdymo sistemos dalis;
- registras suteikia galimybę veiksmingai prižiūrėti FRD ir
- trečiųjų šalių paslaugų teikėjų pripažinimą svarbiais ES lygmeniu.
Šie galutiniai techninių standartų projektai po vykusių viešų konsultacijų pateikti Europos Komisijai, kuri pradės jų peržiūrą. Tikslas – per artimiausius šių metų mėnesius priimti pirmuosius standartus.
Lietuvos bankas, įvertindamas DORA svarbą finansų rinkos dalyviams ir atsižvelgdamas į kylančius klausimus dėl būsimų reguliavimo techninių standartų įgyvendinimo ir pasirengimo juos taikyti, periodiškai organizuoja konsultacinius renginius su tikslu pristatyti būsimą teisinio reguliavimo aplinką ir reikalavimus bei aptarti praktinius techninių standartų įgyvendinimo aspektus.
Tokio pobūdžio konsultacinis renginys „DORA reglamento reikalavimai“ įvyko ir š. m. sausio 18 d., kuriame dalyvavo daugiau kaip 250 finansų rinkos atstovų. Renginio metu pristatyta aktuali informacija apie jau priimtus techninius standartus ir apžvelgti viešai konsultacijai pateikti standartų projektai. Finansų rinkos dalyvių atstovai domėjosi šiais klausimais: IRT paslaugų teikėjų ir subrangos teikėjų kontrolė, grėsmėmis grindžiamo skverbimosi testavimo organizavimas, pranešimas Lietuvos bankui apie reikšmingus incidentus, susijusius su IRT paslaugomis.