Mis on DORA Määrus?

DORA määrus 2025: ELi finantssektori kübervastupidavuse tugevdamine

Käesoleval aastal võttis Euroopa Liit vastu erimääruse, mille eesmärk on ennetada võimalikke küberohte, mis võivad mõjutada finantssektoris tegutsevaid ettevõtteid.

Niinimetatud DORA määrus, ehk Digital Operational Resilience Act (EU) 2022/2554 on uus ELi õigusakt, mille eesmärk on seadusandja kavatsuse kohaselt tugevdada finantssektori ja sellega seotud organisatsioonide digitaalset operatiivset vastupanuvõimet. DORA kiideti heaks 2022. aasta lõpus, 2023. aasta jooksul toimus uute nõuete rakendamiseks ettevalmistusprotsess ning kõigi määruse sätete täielik jõustumine toimus 17. jaanuaril 2025.

DORA määruse reguleerimisala

Selle peamine eesmärk on kehtestada ühtsed nõuded ja standardid, mis võimaldaksid finantsasutustel paremini kaitsta end küberohtude eest ning reageerida ja taastuda kiiresti küberintsidentide korral.

Määrus laieneb laiale ringile finantssektoriga seotud organisatsioonidele, sealhulgas pankadele, kindlustusseltsidele, investeerimisfondidele, makseteenuste pakkujatele, krüptovahetustele jms. See hõlmab nii suuri ettevõtteid kui ka väike- ja keskmise suurusega finantssektori ettevõtteid.

DORA võib kehtida ka kolmandatele osapooltele, näiteks tehnoloogiateenuste pakkujatele (nt pilveteenused), kes pakuvad finantsasutustele kriitilisi teenuseid.

Erinevalt lähenemisviisidest, mis keskenduvad eelkõige finantsriskidele ja kapitalireservidele, nõuab DORA digitaalset vastupidavust käsitlevat süsteemset strateegiat. Finantsasutused peavad lisaks küberohtudevastase kaitse parandamisele koostama plaane, mis käsitlevad IT- ja sidetehnoloogia (IKT) katkestuste avastamist, kontrolli all hoidmist ja taastamist.

Seetõttu seab DORA esikohale IKT-riskid, sätestades nõuded riskijuhtimisele, intsidentidest teavitamisele, vastupanuvõime testimisele ning väliste IT-teenusepakkujatega seotud riskide jälgimisele. Selline lähenemine toob esile tehnoloogia olulise rolli finantssektoris ja võimalikud süsteemsed riskid, mis võivad IKT tõrgete korral tekkida.

DORA määruse poolt hõlmatud sektorid

DORA mõjutab laia valikut sektoreid ELi finantssüsteemis. Määruse sätted kehtivad erinevat liiki organisatsioonidele:

  • Finantsasutused ja pangad: Ettevõtted, kes tegelevad hoiuste vastuvõtu, laenuandmise, investeeringute, valuutavahetuse jne korraldamisega.
  • Tehnoloogiaettevõtted, kes töötlevad finantsandmeid: Organisatsioonid, mis töötlevad või talletavad finantsteavet (sealhulgas maksete töötlejad ja fintech-id).
  • Suured ettevõtted, kelle suhtes kohaldub ELi õigus: Suured korporatsioonid, kes tegutsevad ELis ja peavad järgima ulatuslikke finants- ja regulatiivseid nõudeid, sealhulgas DORA-t.
  • Väikesed ja keskmise suurusega finantssektori ettevõtted: VKE-d, kes pakuvad finantstooteid ja -teenuseid, alluvad samadele DORA nõuetele nagu suuremad organisatsioonid.

DORA põhijäreldused ja nõuded

Määruse põhinõuded hõlmavad järgmist:

  • IKT-riskide juhtimine: Organisatsioonid peavad rakendama ja regulaarselt uuendama protsesse küberriskide tuvastamiseks, hindamiseks ja haldamiseks. Selline süsteem peaks katma kogu IKT elutsükli – alates projekteerimisest ja väljatöötamisest kuni rakendamise ja kasutuselt kõrvaldamiseni.
  • Kohustuslik järelevalve ja testimine: See tähendab regulaarset IT-infrastruktuuri testimist (sh stressitestid ja küberõppused), et õigeaegselt avastada haavatavusi. Testimise ulatus peab vastama konkreetse ettevõtte riskitasemele ja võib ulatuda lihtsatest kontrolltestidest keerukamate, reaalsete küberrünnakute järgi modelleeritud katseteni.
  • Vastupanuvõime intsidentidele: Organisatsioonid peavad koostama ja hoidma ajakohasena järjepidevuse ja taastamise plaane küberintsidentideks, määratledes sisemised protseduurid, rollid ja vastutused hädaolukorras tegutsemiseks.
  • Intsidenditest teavitamine: Ühtsed reeglid regulatiivsete asutuste teavitamiseks infoturbega seotud intsidentidest ja küberrünnakutest aitavad tõsta läbipaistvust ja parandada reageerimise tõhusust. See tagab, et IKTga seotud probleemid avastatakse kiiresti, dokumenteeritakse põhjalikult ja kõrvaldatakse õigeaegselt, et minimeerida võimalikke kahjusid. Samuti tuleb pidada detailset intsidendilogi ja vajaduse korral seda regulaatoritele esitada.
  • Koostöö tarnijatega: Organisatsioonid peavad kontrollima ja jälgima riske, mis võivad tekkida sõltuvusest välistest tehnoloogiapartneritest (nt pilvepakkujatest). Nad vastutavad selle eest, et tarnijad suudaksid tagada vajaliku vastupanuvõime taseme, ning peavad kontrollima, et tarnijate tegevus vastaks DORA nõuetele.

Eesmärgid ja eelised

DORA eesmärk on ühtlustada ja standardiseerida kogu ELi finantssektori infoturbe- ja operatiivse vastupanuvõime käsitlust. Ühtsete standardite kehtestamisega püüab DORA tugevdada kaitset küberohtude vastu, parandada vastupanuvõimet küberrünnakutele ning vähendada finantskahjudest ja mainekahjust tulenevaid riske.

Rangemad reeglid ja suurem läbipaistvus suurendavad omakorda klientide usaldust finantsasutuste vastu. Ühtne normistik lihtsustab ka regulatiivset keskkonda, sest ettevõtetel ei tule järgida mitmeid erinevaid riiklikke nõudeid.

Seega on DORA määrus loodud tugevdama kübervastupanuvõimet ning tagama finantsteenuste usaldusväärsust kogu ELis, kaitstes nii organisatsioone endid kui ka nende kliente tänapäevaste küberohtude ja tehnoloogiliste riskide eest.

Määruse nõuete eiramisest tulenevad sanktsioonid

Digital Operational Resilience Act (DORA) näeb ette tõsised sanktsioonid määruse nõuete eiramisel. Need hõlmavad näiteks:

  • Halduskaristusi, mis võivad ulatuda kuni 1%ni ettevõtte keskmisest päevakäibest ülemaailmselt. Lisaks võib trahvisumma iga päevaga suureneda, kuni kõik rikkumised on kõrvaldatud.
  • Trahvidele lisaks võib eiramine kahjustada ettevõtte mainet ja tuua kaasa klientide, investorite ja teiste huvigruppide usalduse kaotuse.
  • DORA rikkumised võivad viia regulaatoripoolse järelevalve tugevdamiseni. Määruse täitmata jätmine võib põhjustada ka teenuste ja tegevuste tõrkeid, mis avaldab negatiivset mõju kliendirahulolule ja mainele.
  • Erandjuhtudel, kui tegemist on tõsiste rikkumistega, võivad otsuste tegemise eest vastutavad isikud kanda ka kriminaalvastutust.

Oluline on mõista, et need sanktsioonid ei välista üksteist. Ettevõte võib samaaegselt seista silmitsi mitme tagajärjega: trahvid, mainekahju ja võimalikud kriminaalmeetmed.

Võtke meiega ühendust

Selliste karistuste vältimiseks peavad finantsasutused ise tagama DORA nõuetele vastavuse. See tähendab regulaarset riskide hindamist, intsidendile reageerimise plaanide koostamist, vastupanuvõime testimist ning kolmandate osapoolte riskide jälgimist.

Eesti Firma tegeleb juriidilise toetuse ja konsultatsioonidega ettevõtetele, kes tegutsevad digivarade turul. Arvestades iga kliendi individuaalseid vajadusi, on Eesti Firma valmis pakkuma nõustamist ja selgitusi DORA määruse kohaldamise kohta praktikas.

Küsige konsultatsiooni
et EST
VÕTKE MEIEGA ÜHENDUST

    Method of communication:

    Required field

    Täname!

    Teie sõnum on edukalt kätte saadud!
    Võtame TeMeie konsultandid võtavad teiega ühendust esimesel võimalusel.