Digitālās operacionālās noturības regula (DORA) nosaka vienotu tiesisko ietvaru, kas attiecināms uz visiem finanšu tirgus dalībniekiem Eiropas Savienībā. Atbilstoši regulas mērķim katrai iestādei ir jāspēj nodrošināt savu informācijas un komunikācijas tehnoloģiju (IKT) drošību, noturību un atbilstību risku vadības principiem. Lai to īstenotu praksē, ir būtiski, ka finanšu tirgus dalībnieks, uzsākot darbību un to turpinot, nodrošina skaidri strukturētu un savlaicīgi aktualizētu dokumentāciju, kas aptver politikas, praktiskas procedūras un instrukcijas, risinājumu aprakstus un citus operacionālo darbību atbalstošus materiālus.
Dokumentācijai ir jābūt hierarhiski sakārtotai un sistemātiski uzturētai – sākot ar pamatprincipiem un nostādnēm un beidzot ar konkrētu procesu aprakstiem un risinājumu piemērošanu praksē. Uzraudzības iestādes skatījumā nav noteikts konkrēts formāts vai apjoms – būtiskākais ir nodrošināt, ka šī dokumentācija atspoguļo iestādes faktisko nostāju un spēju pārvaldīt IKT riskus, uzturēt uzņēmējdarbības nepārtrauktību un uzraudzīt trešo pušu IKT pakalpojumu sniedzējus (neatkarīgi no tā, vai tas ir vai nav ārpakalpojums).
Šādas dokumentācijas esamība liecina par iestādes izpratni un gatavību ne tikai pilnvērtīgi atbalstīt biznesa procesus, bet arī ievērot DORA un citus normatīvos aktus gan Eiropas Savienības, gan nacionālā līmenī. Vienlaikus jāņem vērā, ka dokumentācijas saturam un detalizācijai ir jābūt pielāgotai iestādes darbības specifikai – piemēram, lielākās iestādēs informācija var būt sadalīta vairākos atsevišķos dokumentos vai informācijas tehnoloģiju pārvaldības procesos, savukārt mazākās iestādēs tā var būt ietverta apvienotās politikās, strukturētos noteikumos vai kārtībās.
Uzraudzības iestāde sagaida, ka katrs finanšu tirgus dalībnieks proaktīvi uztur šo dokumentāciju, periodiski to pārskata un vajadzības gadījumā papildina, lai nodrošinātu atbilstību aktuālajiem riskiem, regulatīvajām prasībām un finanšu tirgus dalībnieka darbības attīstībai.
Finanšu tirgus dalībniekam jāspēj formulēt konsekventu pieeju informācijas un IKT drošībai, kas ietver iestādes nostādnes par IKT risku vadību un to toleranci, aizsardzības līmeņiem un sistēmisko kontroli. Šim ietvaram jābūt saskaņotam ar iestādes kopējo risku pārvaldības stratēģiju un jāaptver gan preventīvie, gan reakcijas pasākumi. Šāds ietvars bieži tiek atspoguļots augstākā līmeņa politikas dokumentā (visbiežāk IKT drošības politikā), kuru apstiprina iestādes vadība un kuram tālāk pakārtojas detalizētākas procedūras, iekšējie noteikumi vai darbības apraksti. Stingra nostāja un skaidri definēti principi IKT jomā nodrošina pamatu, lai iestāde sistemātiski pārvaldītu tehnoloģiskos riskus un izpildītu regulatīvās prasības. Jānodrošina, ka šī pieeja nav statiska – tā jāaktualizē atbilstoši mainīgajiem riskiem un tehnoloģiju attīstībai. Regulatīvās atsauces: DORA 5. pants – noteic, ka iestādēm ir jāizveido IKT riska pārvaldības ietvars, kas ietver politikas, procedūras un kontroļu sistēmu; DORA 6. pants – paredz, ka augstākā vadība apstiprina un pārrauga IKT risku pārvaldības stratēģijas īstenošanu. Lai nodrošinātu savlaicīgu un koordinētu reakciju uz informācijas un IKT incidentiem, iestādei jānosaka konkrēta kārtība šādu situāciju identificēšanai, reģistrēšanai, klasificēšanai un eskalācijai, ziņojumiem vadībai un uzraudzības iestādei. Šis process kalpo kā apliecinājums tam, ka iestāde praktiski ievieš noturības principus un nodrošina caurskatāmību incidentu gadījumā. Šāda kārtība visbiežāk tiek noformēta kā procedūra (piemēram, IKT incidentu pārvaldības procedūra) vai darbību plūsmas apraksts, kas precizē konkrētos soļus, pienākumu sadalījumu un atbildību incidentu pārvaldībā. Kārtība tiek izstrādāta, balstoties uz iepriekš definētajiem drošības principiem, un ir būtiska iestādes operacionālās noturības nodrošināšanas procesa sastāvdaļa. Ievērojot proporcionalitātes principu, arī mazākas iestādes tiek aicinātas definēt šādu kārtību, kas piemērota to darbības mērogam un specifikai. Regulatīvās atsauces: DORA 17. pants – paredz pienākumu ieviest IKT incidentu reģistrēšanas, klasificēšanas un ziņošanas kārtību; DORA 18. pants – noteic prasību ziņot par būtiskiem IKT incidentiem kompetentajām iestādēm; Pieaugot trešo pušu IKT pakalpojumu lomai finanšu sektorā, finanšu tirgus dalībniekam ir jāspēj sniegt skaidrs priekšstats par to, kā ārējie IKT pakalpojumi saplūst ar iestādes iekšējo IKT vidi un biznesa procesiem. Šī informācija ir būtiska jau licencēšanas posmā, ļaujot uzraudzības iestādei izvērtēt tehnoloģiskās arhitektūras noturību, sadarbspēju un atbildības sadalījumu starp iesaistītajām pusēm. Finanšu tirgus dalībniekam ir jāuztur iekšējā dokumentācija, kas ilustrē tā IKT struktūru gan tehniskajā (piemēram, platformas, tīklu topoloģija), gan funkcionālajā līmenī (piemēram, pakalpojumu loģika, datu plūsmas, pieejas tiesību pārvaldība). Šādai dokumentācijai ir jābūt sasaistītai ar iestādes darbības modeļiem un jāatspoguļo faktiskā pakalpojumu nodrošināšanas kārtība. Dokumentētā infrastruktūra kalpo kā pamats arī trešo pušu pakalpojumu pārvaldības izvērtējumam, jo ļauj identificēt kritiskās atkarības un potenciālos riskus, kas izriet no šādas sadarbības. Informācija par visiem esošajiem vai plānotajiem trešo pušu IKT pakalpojumiem un pārliecība par to atbilstību DORA prasībām sniedz pamatu uzraudzības iestādei izvērtēt ārējo piegādātāju pārvaldības mehānismu pietiekamību. Šī informācija apliecina, ka iestāde ir apzinājusi un izvērtējusi visus ārējos IKT piegādātājus un pārvaldības līgumu ietvarus un ir gatava īstenot attiecīgos uzraudzības pasākumus. Nepietiekami pārvaldīti ārpakalpojumi ir biežs tehnoloģisko incidentu un datu apdraudējumu avots, un tādēļ iestādēm ir jāievieš strukturēta pieeja piegādātāju atbilstības novērtēšanai, tostarp jānosaka kritiskuma līmenis, datu apstrādes vai glabāšanas joma un iespējamie rezerves risinājumi. Lai uzsāktu darbību, ir pietiekami identificēt iestādes trešo pušu pakalpojumu sniedzējus un to kritiskumu infrastruktūras apraksta ietvaros, bet vienlaikus ir lietderīgi pievērst uzmanību un laikus sistematizēt trešo pušu pakalpojumu sniedzēju datus atbilstoši ikgadēji iesniedzamā trešo pušu pakalpojumu sniedzēju reģistra taksonomijas prasībām. Regulatīvā atsauce: DORA 28.–30. pants – nosaka prasības trešo pušu IKT pakalpojumu pārvaldībai, tostarp nepieciešamību novērtēt piegādātāju atbilstību; DORA 25. pants – paredz, ka līgumos ar kritiskajiem pakalpojumu sniedzējiem jāiekļauj specifiski noteikumi.
Papildinājumi, kas apliecina gatavību nodrošināt ilgtermiņa atbilstību
Atsevišķi elementi, piemēram, uzņēmējdarbības ietekmes analīze vai iekšējā audita funkcijas dokumentēšana, nav tieši prasīti visiem finanšu tirgus dalībniekiem jau sākotnējā licencēšanas posmā. Tomēr, īpaši gadījumos, kad licenci pieprasa finanšu tirgus dalībnieks, kurš jau darbojas citā jurisdikcijā vai pārstāv lielāka mēroga organizāciju, šādu aspektu iekļaušana dokumentācijā tiek uzskatīta par labo praksi. Tie kalpo kā skaidrs signāls uzraudzības iestādei, ka finanšu tirgus dalībnieks ne tikai izprot, bet arī ir gatavs īstenot DORA prasības praksē.
Uzņēmējdarbības ietekmes analīze sniedz iespēju identificēt kritiskās funkcijas un to atkarību no konkrētiem IKT resursiem. Tās mērķis ir palīdzēt saprast, kāda būtu dažādu traucējumu ietekme uz iestādes darbību, un savlaicīgi izstrādāt nepieciešamos atjaunošanas pasākumus. Uz BIA pamata tiek veidots uzņēmējdarbības nepārtrauktības plāns (BCP) un negadījuma seku novēršanas plāns (DRP), kas ir būtiski elementi DORA noturības prasību īstenošanā. Finanšu tirgus dalībniekam, kas spēj veikt regulārus iekšējos auditus vai pašvērtējumus attiecībā uz atbilstību DORA prasībām, ir būtiskas priekšrocības ilgtermiņa atbilstības uzturēšanā. Šādas pārbaudes nodrošina neatkarīgu novērtējumu par to, kā iestāde piemēro savas politikas un procedūras praksē, kā arī sniedz iespēju laikus identificēt trūkumus un pilnveides vajadzības. Īpaši gadījumos, kad iestādei jau ir izveidota iekšējā audita funkcija vai pieejamas ārējo konsultantu izstrādātas atbilstības pārbaudes, šāda informācija ir nozīmīgs elements uzraudzības iestādes vērtējumā. Audita aktivitātes visbiežāk tiek sasaistītas ar vadības uzraudzības mehānismiem un kalpo kā pierādījums atbilstības kultūras esamībai iestādē.