Kā nodrošināt atbilstību DORA regulai?

DORA prasības un procedūras nodrošinās vienotu pieeju ES finanšu nozares digitālās noturības stiprināšanai. Uzņēmumu atbilstību kompetentās iestādes sāks pārbaudīt, sākot ar 2025. gadu.

2023. gada 17. janvārī stājās spēkā DORA (Digital Operational Resilience Act) regula - jauns informācijas un komunikācijas tehnoloģiju (IKT) drošības regulējums, kas vērsts uz finanšu nozares digitālo noturību. Šīs regulas mērķis ir apvienot esošos ES un nacionāla līmeņa standartus un prasības, lai izveidotu detalizētu un visaptverošu sistēmu ES finanšu nozares digitālās darbības stabilitātei. DORA mērķis ir novērst potenciālu ES finanšu sektora digitālu destabilizāciju būtisku IKT incidentu rezultātā. No 2025. gada 17. janvāra DORA subjektiem būs jānodrošina atbilstība jaunajam regulējumam.

DORA finanšu sektoram sniedz iespēju uzlabot savstarpējo sadarbību, veidojot sinerģijas dažādās jomās: ISM/IRM, krīzes pārvaldībā, ārpakalpojumos un BCM/ITSCM. Tā ir iespēja uzlabot operacionālo noturību un noturību pret kiberuzbrukumiem, optimizēt izmaksas, noteikt skaidru lomu un atbildību sadalījumu, kā arī komunikācijas ietvaru. 

DORA regula aptver sešas galvenās jomas:

1. Pārvaldība - Finanšu iestādēm jāizstrādā visaptverošs un atbilstoši dokumentēts IKT risku pārvaldības ietvars, kas ļauj efektīvi pārvaldīt IKT riskus un nodrošināt augstu digitālo operacionālo noturību.
2. Informācijas apmaiņa - Uzlabota informācijas apmaiņa par kiberdrošības draudiem starp finanšu nozares dalībniekiem, lai efektīvāk pārvaldītu un novērstu kiberuzbrukumus.
3. Riski, kas saistīti ar trešajām pusēm: Uzlabota trešo pušu risku pārvaldība. Riski, kas saistīti ar ārpakalpojumu sniedzējiem un citiem partneriem.
4. IKT riska pārvaldība – IKT risku pārvaldības prasības, lai identificētu, novērtētu un pārvaldītu IKT riskus. DORA ietver konkrētas prasības un rīkus, kas iestādēm jāizmanto darbības nodrošināšanai krīzes situācijās.
5. Incidentu ziņošana – Definētas robežvērtības un prasības, lai nodrošinātu savlaicīgu un precīzu incidentu ziņošanu pakalpojumu lietotājiem un atbilstošajām iestādēm.
6. Digitālās operacionālās noturības testēšana - Regulāra vienkāršotā un padziļinātā testēšana, lai novērtētu un uzlabotu uzņēmuma digitālās darbības noturību.

Atbilstība jaunajam regulējumam jānodrošina visām Latvijā licencētajām finanšu iestādēm, tostarp:

• Kredītiestādēm;
• Apdrošināšanas sabiedrībām;
• Ieguldījumu pārvaldes sabiedrībām;
• Ieguldījumu brokeru sabiedrībām;
• Apdrošināšanas brokeriem, kas ir lielie uzņēmumi;
• Maksājumu iestādēm;
• Elektroniskās naudas iestādēm;
• Alternatīvo ieguldījumu fondu pārvaldniekiem;
• Kolektīvajām finansēšanas platformām;
• Centrālajiem vērtspapīru depozitārijiem;
• Kriptoaktīvu pakalpojumu sniedzējiem (pēc Eiropas Savienības regulējuma pieņemšanas).

Lai nodrošinātu atbilstību DORA regulai, uzņēmumiem ir būtiski jau šobrīd uzsākt procesu, ņemot vērā, ka atbilstība jānodrošina, sākot ar 2025. gada janvāri. Ieteicams veikt esošo sistēmu, procesu un politiku novērtējumu, lai noteiktu būtiskākās neatbilstības. Lai nodrošinātu sekmīgu un efektīvu pāreju uz vēlamajām sistēmām un procesiem, jāizveido detalizēts pārmaiņu vadības plāns. Būtiska DORA regulējuma ieviešanas daļa ir uzņēmuma darbinieku informēšana par izmaiņām procesos un politikās, nodrošinot izpratni par regulējumu un par pareizu rīcību, piemēram, IKT incidentu gadījumā. 

KPMG ir viens no vadošajiem uzņēmumiem operacionālās noturības risku un regulatīvās atbilstības jomā. Mūsu speciālistu komandai ir globāla pieredze un plašas zināšanas par DORA atbilstības nodrošināšanu Latvijas finanšu sektorā. Mēs izmantojam pielāgojamu metodoloģiju esošās situācijas analīzei, lai pārbaudītu atbilstību un identificētu nepilnības. Mūsu pieeja nodrošina detalizētu novērtējumu, kurā norādītas nepilnības, saistītie riski un ieteiktie uzlabojumi, lai nodrošinātu atbilstību.

Mūsu pakalpojumi ietver:

• Atbilstības pārbaudi: Novērtējam uzņēmuma procesus un procedūras, lai nodrošinātu, ka tie atbilst DORA prasībām.
• Riska novērtējumu: Identificējam un novērtējam IKT riskus un izstrādājam kontrolpasākumus to pārvaldībai atbilstoši DORA prasībām.
• Procedūru un politiku izstrādi: Izstrādājam un ieviešam IKT riska pārvaldības procesus un procedūras.
• Konsultāciju sniegšanu: Sniedzam tehniskās konsultācijas saistībā ar DORA prasībām, balstoties uz nozarē vadošo praksi.

Lai uzzinātu vairāk par DORA regulas prasībām un kā mēs varam Jums palīdzēt, aicinām sazināties ar KPMG Latvijā komandu!

Šajā dokumentā apkopotā informācija ir vispārīga un nav paredzēta kādas konkrētas fiziskas vai juridiskas personas situācijas apskatam. Lai arī mūsu mērķis ir sniegt precīzu un savlaicīgu informāciju, nav iespējams garantēt, ka informācijas saņemšanas brīdī tā vēl arvien būs precīza vai ka tā būs precīza nākotnē. Nevienam savā rīcībā nevajadzētu paļauties uz šo informāciju bez atbilstošas profesionālas konsultācijas, rūpīgi izpētot konkrēto situāciju.