Lietuvos bankas

Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (ES) 2022/2554 (angl. Digital Operational Resilience Act, DORA) – tai 2023 m. sausio 16 d. įsigaliojęs Europos Sąjungos (ES) reglamentas, kuris bus taikomas nuo 2025 m. sausio 17 d.

DORA – tiesiogiai taikomas ES teisės aktas, kuriuo siekiama padidinti ES finansų sektoriaus skaitmeninės veiklos atsparumą stiprinant finansų sektoriaus subjektų, pavyzdžiui, bankų, draudimo bendrovių, elektroninių pinigų ir mokėjimo įstaigų, investicinių įmonių ir kt., informacinių ir ryšių technologijų (IRT) ir trečiųjų šalių rizikos valdymo bei pranešimų apie incidentus sistemas.

DORA sukuriama skaitmeninės veiklos atsparumo reguliavimo sistema, pagal kurią visos įmonės, kurioms taikomas šis reglamentas, turi užtikrinti veiklos pajėgumus atlaikyti, reaguoti ir atsigauti po visų rūšių su IRT susijusių sutrikimų ir grėsmių. Šie reikalavimai yra vienodai taikomi visose ES valstybėse narėse ir apibrėžia IRT riziką, nustato IRT rizikos valdymo, pranešimų apie incidentus teikimo, operacinio atsparumo testavimo ir IRT trečiųjų šalių rizikos stebėsenos taisykles. DORA skirtas 20 skirtingų tipų finansų sektoriaus subjektams ir informacinių ir ryšių technologijų (IRT) ir trečiųjų šalių paslaugų teikėjams.

[[#ex]]

Informacija dėl pranešimų apie didelius su IRT susijusius incidentus ir kibernetines grėsmes

Informacinių ir ryšių technologijų (IRT) incidentų bei kibernetinių grėsmių ataskaitos Lietuvos bankui bus teikiamos json formatu arba pildomos (koreguojamos) tiesiogiai  REGATA sistemoje. Informuojame, kad LB APS, iAPS ir REGATA pagalbos centre galite rasti IRT incidentų ir kibernetinių grėsmių pagal DORA reglamentą ataskaitų teikimo formas ir taikomas duomenų tikrinimo taisykles. Šiuo metu Lietuvos bankas vykdo IRT incidentų ir kibernetinių grėsmių ataskaitos testavimo ir diegimo darbus. Nuo 2025 m. sausio 13 d. suteikta prieiga prie IRT incidentų ir kibernetinių grėsmių ataskaitų testinėje REGATA aplinkoje. Kilus klausimų, prašome juos teikti Lietuvos banko pagalbos centrui.

Lietuvos banko pagalbos centre incidentas išsprendžiamas vidutiniškai per 12 val. Norėdami prisijungti prie APS, iAPS ir REGATA JIRA pagalbos centro, turite pateikti atsakingų asmenų el. pašto adresus ir nurodyti atstovaujamą organizaciją el. pašto adresu tl.bl@noitcellocatad. Daugiau informacijos apie REGATA rasite čia.

Atkreipiame dėmesį, kad, esant teisės aktų kolizijai, taikomas aukštesnės galios teisės aktas. Atsižvelgiant į tai, nuo 2025 m. sausio 17 d. pradėjus taikyti DORA reglamentą, Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimo Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“ dalis, susijusi su pranešimų teikimu apie didelius su IRT susijusius incidentus, tampa neaktuali. Turėtų būti taikomos DORA reglamento ir atitinkamų reguliuojamų techninių standartų (RTS)nuostatos.

Siekiant užtikrinti teisinį aiškumą, rengiamas ir artimiausiu metu konsultacijoms su finansų rinkos dalyviais bus teikiamas Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimo Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“ pakeitimas – neaktualūs skyriai bus laikomi netekusiais galios.


Informacija dėl pranešimų apie planuojamą sudaryti naują susitarimą dėl IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos

Siekiant užtikrinti teisinį aiškumą, kaip įgyvendinti DORA reglamento reikalavimus, rengiami ir artimiausiu metu konsultacijoms su finansų rinkos dalyviais bus teikiami Lietuvos banko valdybos 2020 m. lapkričio 10 d. nutarimo Nr. 03-166 „Dėl Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklių patvirtinimo“ (toliau – Taisyklės) ir 2014 m. gegužės 29 d. Lietuvos banko valdybos nutarimo Nr. 03-95 „Dėl draudimo įmonių skaidraus, patikimo ir apdairaus valdymo nuostatų patvirtinimo” (toliau – Valdymo nuostatai) pakeitimo projektai. Juose bus nustatyti išsamūs terminų ir pateikiamos informacijos reikalavimai pagal DORA reglamento 28 straipsnio 3 dalį.

Kol nėra atlikti Taisyklių ir Valdymo nuostatų pakeitimai, po 2025 m sausio 17 d. įgyvendinant DORA reglamento 28 straipsnio 3 dalies nuostatas ir pranešant Lietuvos bankui apie ketinimus sudaryti naujus susitarimus dėl IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, siūlome vadovautis šiomis rekomendacijomis:

  • rinkos dalyviams, kuriems taikomos Taisyklės, iki momento, kol neįsigaliojo jų pakeitimai, įgyvendinantys DORA reglamento 28 straipsnio 3 dalies nuostatas, rekomenduojame vadovautis šiuo metu galiojančių Taisyklių IX skyriaus nuostatomis;
  • draudimo įmonėms iki momento, kol neįsigaliojo Valdymo nuostatų pakeitimai, įgyvendinantys DORA reglamento 28 straipsnio 3 dalies nuostatas, rekomenduojame vadovautis šiuo metu galiojančių Valdymo nuostatų 54 straipsnio reikalavimais;
  • rinkos dalyviams, kuriems iki DORA reglamento įsigaliojimo nebuvo pareigos pranešti Lietuvos bankui apie svarbių veiklos funkcijų perdavimą kitiems asmenims, rekomenduojame apie planuojamą sudaryti susitarimą dėl IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, pranešti Lietuvos bankui el. paštu tl.bl@aruizeirp. Pranešimą rekomenduojame pateikti likus ne mažiau kaip 1 mėn. iki naujos sutarties sudarymo dienos.

Numatomi Lietuvos banko valdybos nutarimų pakeitimai

DORA reglamentas ir jo tam tikrus reikalavimus detalizuojantys techniniai reguliavimo standartai (RTS ir ITS) yra tiesioginio taikymo teisės aktai ir jų nuostatos nebus perkeliamos į nacionalinius teisės aktus. Šiuo metu kai kurie galiojantys Lietuvos banko valdybos nutarimai iki DORA įsigaliojimo bus peržiūrėti ir atitinkamai atnaujinti eliminuojant tuos reikalavimus, kuriuos apima DORA ir jį detalizuojantys RTS ir ITS.

Planuojami šiuo metu galiojančių Lietuvos banko valdybos nutarimų pakeitimai

Lietuvos banko valdybos 2020 m. lapkričio 10 d. nutarimas Nr. 03-166 „Dėl Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklių patvirtinimo“

Šis nutarimas išliks, tačiau bus peržiūrėta jo taikymo sritis, kuri neapims veiklos funkcijų perdavimo sutarčių, kai trečiosioms šalims perduodamos IRT paslaugos. Pastarosioms bus taikomi DORA reglamento reikalavimai.

Lietuvos banko valdybos 2020 m. lapkričio 26 d. nutarimas Nr. 03-174 „Dėl Informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimų aprašo patvirtinimo“

Planuojama panaikinti absoliučią daugumą šio nutarimo reikalavimų, atsižvelgiant į tai, kad nutarimo nuostatos didžiąja dalimi perkeltos į DORA reglamentą ir jį lydinčius techninius standartus. Šiuo metu dar svarstomi sprendimai dėl nutarimo nuostatų (pvz., dėl operacinės ir saugumo rizikos vertinimo ataskaitos), kurios įgyvendina LR mokėjimų įstatymo reikalavimus ir nėra susijusios su DORA reglamentu.

Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimas Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“

Planuojama panaikinti šiuo nutarimu patvirtintų Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių nuostatas, susijusias su pranešimų apie incidentus teikimu. Taip pat planuojama panaikinti šias pranešimų formas: OPRISK-MOSRI ir OPRISK-OSRI.

[[#ex]]

Kita informacija:

[[#ex]]

Techniniai reguliavimo standartai

  • Komisijos deleguotasis reglamentas (ES) 2024/1774, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais nustatomos IRT rizikos valdymo priemonės, metodai, procesai bei politika ir supaprastinta IRT rizikos valdymo sistema
  • Komisijos deleguotasis reglamentas (ES) 2024/1773, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais nustatomas politikos, taikomos sutartimi įformintiems susitarimams dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo, išsamus turinys
  • Komisijos deleguotasis reglamentas (ES) 2024/1772, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais patikslinami su IRT susijusių incidentų ir kibernetinių grėsmių klasifikavimo kriterijai, nustatomos reikšmingumo ribos ir nurodomi pranešimų apie didelius incidentus duomenys
  • Komisijos įgyvendinimo reglamentas (ES) 2024/2956, kuriuo nustatomi Europos Parlamento ir Tarybos reglamento (ES) 2022/2554 taikymo techniniai įgyvendinimo standartai, susiję su standartiniais informacijos registro šablonais

Techninių standartų (RTS/ITS) projektai


Nuorodos į ES priežiūros institucijų aktualią informaciją

[[#ex]]

Paskutinė atnaujinimo data: 2024-04-09