Digitālās operacionālās noturības regula (DORA) nosaka vienotu tiesisko ietvaru, kas attiecināms uz visiem finanšu tirgus dalībniekiem Eiropas Savienībā. Atbilstoši regulas mērķim, katrai iestādei ir jāspēj nodrošināt savas informācijas un komunikāciju tehnoloģiju (IKT) drošību, noturību un atbilstību risku vadības principiem. Lai to īstenotu praksē, ir būtiski, ka finanšu tirgus dalībnieks, uzsākot savu darbību un to turpinot, nodrošina skaidri strukturētu, savlaicīgi aktualizētu dokumentāciju, kas aptver politikas, praktiskas procedūras un instrukcijas, risinājumu aprakstus un citu operacionālo darbību atbalstošu materiālu.
Dokumentācijai ir jābūt hierarhiski sakārtotai un sistemātiski uzturētai – sākot no pamatprincipiem un nostādnēm, līdz konkrētu procesu aprakstiem un risinājumu piemērošanai praksē. Regulatora skatījumā nav noteikts konkrēts formāts vai apjoms – būtiskākais ir nodrošināt, ka šī dokumentācija atspoguļo iestādes faktisko nostāju un spēju pārvaldīt IKT riskus, uzturēt uzņēmējdarbības nepārtrauktību un uzraudzīt trešo pušu IKT pakalpojumu sniedzējus (neatkarīgi vai tas ir ārpakalpojums vai nav).
Šādas dokumentācijas esamība liecina par iestādes izpratni un gatavību pilnvērtīgi atbalstīt ne tikai biznesa procesus, bet arī ievērot DORA un citus normatīvos aktus gan Eiropas Savienības, gan nacionālā līmenī. Vienlaikus jāņem vērā, ka dokumentācijas saturs un detalizācija ir jābūt pielāgota iestādes darbības specifikai – piemēram, lielākās iestādēs informācija var būt sadalīta vairākos atsevišķos dokumentos vai IT pārvaldības procesos, savukārt mazākām iestādēm – ietverta apvienotās politikās, strukturētos noteikumos vai kārtībās.
Regulators sagaida, ka katrs tirgus dalībnieks proaktīvi uztur šo dokumentāciju, periodiski to pārskata, un vajadzības gadījumā papildina, lai nodrošinātu atbilstību aktuālajiem riskiem, regulatīvajām prasībām un iestādes darbības attīstībai.
Tirgus dalībniekam jāspēj formulēt konsekventu pieeju informācijas un IKT drošībai, kas ietver organizācijas nostādnes par IKT risku vadību un to toleranci, aizsardzības līmeņiem un sistēmisko kontroli. Šim ietvaram jābūt saskaņotam ar iestādes kopējo risku pārvaldības stratēģiju un jāaptver gan preventīvie, gan reakcijas pasākumi. Šāds ietvars bieži tiek atspoguļots augstākā līmeņa politikas dokumentā (visbiežāk IKT drošības politikā), kuru apstiprina iestādes vadība un kuram tālāk pakārtojas detalizētākas procedūras, iekšējie noteikumi vai darbības apraksti. Stingra nostāja un skaidri definēti principi IKT jomā nodrošina pamatu, lai organizācija sistemātiski pārvaldītu tehnoloģiskos riskus un izpildītu regulatīvās prasības. Jānodrošina, ka šī pieeja nav statiska – tai ir jābūt aktualizētai atbilstoši mainīgajiem riskiem un tehnoloģiju attīstībai. Regulatīvā atsauce: DORA 5. pants – finanšu iestādēm ir jāizveido IKT riska pārvaldības ietvars, kas ietver politikas, procedūras un kontroļu sistēmu. DORA 6. pants – prasa, lai augstākā vadība apstiprina un pārrauga IKT risku pārvaldības stratēģijas īstenošanu. Lai nodrošinātu savlaicīgu un koordinētu reakciju uz informācijas un IKT incidentiem, iestādei jānosaka konkrēta kārtība šādu situāciju identificēšanai, reģistrēšanai, klasificēšanai un eskalācijai, ziņojumiem vadībai un uzraudzības iestādei. Šis process kalpo kā apliecinājums tam, ka iestāde praktiski ievieš noturības principus un nodrošina caurskatāmību incidentu gadījumā. Šāda kārtība visbiežāk tiek noformēta kā procedūra (piemēram, IKT incidentu pārvaldības procedūra) vai darbības plūsmas apraksts, kas precizē konkrētos soļus, pienākumu sadalījumu un atbildību incidentu pārvaldībā. Tā tiek izstrādāta, balstoties uz iepriekš definētajiem drošības principiem un ir būtiska sastāvdaļa organizācijas operacionālās noturības nodrošināšanā. Ievērojot proporcionalitātes principu, arī mazākas iestādes tiek aicinātas definēt šādu kārtību, kas piemērota to darbības mērogam un specifikai. Regulatīvā atsauce: DORA 17. pants – paredz pienākumu ieviest IKT incidentu reģistrēšanas, klasificēšanas un ziņošanas kārtību. DORA 18. pants – noteic prasību ziņot par būtiskiem IKT incidentiem kompetentajām iestādēm. Pieaugot trešo pušu IKT pakalpojumu lomas nozīmei finanšu sektorā, tirgus dalībniekam ir jāspēj sniegt skaidrs priekšstats par to, kā ārējie IKT pakalpojumi saplūst ar iestādes iekšējo IKT vidi un biznesa procesiem. Šī informācija ir būtiska jau licencēšanas posmā, ļaujot uzraugošajai iestādei izvērtēt tehnoloģiskās arhitektūras noturību, sadarbspēju un atbildības sadalījumu starp iesaistītajām pusēm. Tirgus dalībniekam ir jāuztur iekšējā dokumentācija, kas ilustrē tā IKT struktūru gan tehniskajā (piemēram, platformas, tīklu topoloģija), gan funkcionālajā līmenī (piemēram, pakalpojumu loģika, datu plūsmas, pieejas tiesību pārvaldība). Šādai dokumentācijai ir jābūt sasaistītai ar uzņēmuma darbības modeļiem un jāatspoguļo faktiskā pakalpojumu nodrošināšanas kārtība. Dokumentētā infrastruktūra kalpo kā pamats arī trešo pušu pakalpojumu pārvaldības izvērtējumam, jo ļauj identificēt kritiskās atkarības un potenciālos riskus, kas izriet no šādas sadarbības. Informācija par esošajiem vai plānotajiem visiem trešo pušu IKT pakalpojumiem un pārliecība par to atbilstību DORA prasībām sniedz pamatu uzraugošajai iestādei izvērtēt ārējo piegādātāju pārvaldības mehānismu pietiekamību. Šī informācija apliecina, ka iestāde ir apzinājusi un izvērtējusi visus ārējos IKT piegādātājus, pārvaldības līgumu ietvarus un ir gatava īstenot attiecīgus uzraudzības pasākumus. Nepietiekami pārvaldīti ārpakalpojumi ir biežs tehnoloģisko incidentu un datu apdraudējumu avots, un tādēļ iestādēm ir jāievieš strukturēta pieeja piegādātāju atbilstības novērtēšanai, tostarp nosakot kritiskuma līmeni, datu apstrādes vai glabāšanas jomu un iespējamos rezerves risinājumus. Lai uzsāktu darbību ir pietiekami identificēt uzņēmuma trešo pušu pakalpojuma sniedzējus un to kritiskumu infrastruktūras apraksta ietvaros, vienlaikus der pievērst uzmanību un laikus sistematizēt trešo pušu pakalpojumu sniedzēju datus atbilstoši ikgadēji iesniedzamā trešo pušu informācijas reģistra taksonomijas prasībām. Regulatīvā atsauce: DORA 28.–30. pants – nosaka prasības trešo pušu IKT pakalpojumu pārvaldībai, tostarp nepieciešamību novērtēt piegādātāju atbilstību. DORA 25. pants – paredz, ka līgumos ar kritiskajiem pakalpojumu sniedzējiem jāiekļauj specifiski noteikumi.
Papildinājumi, kas apliecina gatavību ilgtermiņa atbilstības nodrošināšanai
Atsevišķi elementi, piemēram, uzņēmējdarbības ietekmes analīze vai iekšējā audita funkcijas dokumentēšana, nav tieši prasīti visiem tirgus dalībniekiem jau sākotnējā licencēšanas posmā. Tomēr, jo īpaši gadījumos, kad licenci pieprasa tirgus dalībnieks, kurš jau darbojas citā jurisdikcijā vai pārstāv lielāka mēroga organizāciju, šādu aspektu iekļaušana dokumentācijā tiek uzskatīta par labu praksi. Tie kalpo kā skaidrs signāls uzraugam, ka iestāde ne tikai izprot, bet arī ir gatava īstenot DORA prasības praksē.
Uzņēmējdarbības ietekmes analīze sniedz iespēju identificēt kritiskās funkcijas un to atkarības no konkrētiem IKT resursiem. Tās mērķis ir palīdzēt saprast, kāda būtu dažādu traucējumu ietekme uz uzņēmuma darbību, un savlaicīgi izstrādāt nepieciešamos atjaunošanas pasākumus. Uz BIA pamata tiek veidots uzņēmējdarbības nepārtrauktības plāns (BCP) un katastrofu atjaunošanas plāns (DRP), kas ir būtiski elementi DORA noturības prasību īstenošanā. Tirgus dalībniekam, kas spēj veikt regulārus iekšējos auditus vai pašvērtējumus attiecībā uz DORA atbilstību, ir būtiskas priekšrocības ilgtermiņa atbilstības uzturēšanā. Šādas pārbaudes nodrošina neatkarīgu novērtējumu par to, kā iestāde piemēro savas politikas un procedūras praksē, kā arī sniedz iespēju laikus identificēt trūkumus un pilnveides vajadzības. Jo īpaši gadījumos, kad iestādei jau ir izveidota iekšējā audita funkcija vai pieejamas ārējo konsultantu izstrādātas atbilstības pārbaudes, šāda informācija ir nozīmīgs elements regulatora vērtējumā. Audita aktivitātes visbiežāk tiek sasaistītas ar vadības uzraudzības mehānismiem un kalpo kā pierādījums atbilstības kultūras esamībai organizācijā.