Saskaņā ar DORA prasībām, tirgus dalībniekam izmantojot ar trešo personu saistītu IKT pakalpojumu, tā dzīves ciklā ir nepieciešams veikt šādas darbības:
1. Pirms līguma slēgšanas:
1.1 Identificēt vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju, jeb tādu funkciju, kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus, tās pakalpojumu nepārtrauktību vai saistību izpildi. Piemēram, maksājumu apstrāde un norēķini, mākoņinfrastruktūra, kas atbalsta pamatpakalpojumu, klientu datu apstrāde un glabāšana, ir uzskatāmi par IKT pakalpojumiem, kas atbalsta kritisku vai svarīgu funkciju. Slēdzot līgumu par šādu pakalpojumu ir papildu prasības.
1.2 Izvērtēt pakalpojuma sniedzēja reputāciju, pieredzi, piedāvātā pakalpojuma kvalitāti un atbilstību regulējuma prasībām, tajā skaitā kiberdrošības un darbības nepārtrauktības spējas (DORA 28(4) pants).
1.3 Identificēt un novērtēt darbības riskus (t.sk. kiberriskus, tehnoloģiskos, ģeopolitiskos, atbilstības riskus) un reputācijas riskus, ko iestādei rada attiecīgās trešās puses pakalpojuma izmantošana.
2. Līgums un pakalpojuma uzsākšana:
2.1. Noteikt līgumā obligātās prasības (DORA 30. pants). Ja IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas funkcijas, tad līgumā ietver RTS 2024/1773 prasības. Slēdzot līgumu var izmantot standartizētu līguma pielikumu, kas izstrādāts, ņemot vērā regulējuma prasības attiecībā uz noteikta veida pakalpojumiem. Līguma prasības attiecas arī uz tiem IKT pakalpojumiem, kuri tiek izmantoti finanšu grupas ietvaros.
Līgumā atbilstoši pakalpojuma veidam ir jāiekļauj:
- pakalpojuma apraksts un atbildības sadalījums;
- pakalpojuma kvalitātes, drošības un nepārtrauktības prasības (SLA);
- prasības datu apstrādei un aizsardzībai;
- incidentu risināšana;
- tiesības uzraudzīt un auditēt TPP;
- līguma izbeigšanas kārtība un datu atgriešana/iznīcināšana.
2.2 Reģistrēt attiecīgo pakalpojumu iestādes trešo pušu IKT pakalpojumu sniedzēju reģistrā. Iestādei ir jāizveido un jāuztur aktuāls trešo pušu IKT pakalpojumu sniedzēju reģistrs (DORA 28(3). pants), kurā jāiekļauj dati par visu trešo pušu līgumiem. Reģistra struktūru veido ņemot vērā ITS 2024/2956, kā arī var izmantot LB piedāvāto Excel veidni. Iestādes uzturētā reģistra dati pēc pieprasījuma ir jāiesniedz uzraudzības iestādei.
2.3 Savlaicīgi informēt Latvijas Banku, ja paredzēts izmantot tādu IKT pakalpojumu, kas atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Šādu būtisku pakalpojumu izmantošanas gadījumā tirgus dalībnieks savlaicīgi informē uzraudzības iestādi, 30 dienas pirms pakalpojuma izmantošanas iesniedzot Latvijas Bankai vēstuli ar kuru informē par būtiska pakalpojuma izmantošanu, pievienojot attiecīgā pakalpojuma aprakstu un risku novērtējumu.
2.4 Izstrādāt un uzturēt pakalpojuma izejas stratēģiju, ja esošais IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Izejas stratēģijā uzņēmums plāno, kā pats varētu nodrošināt attiecīgo pakalpojumu vai kādas ir darbības lai slēgtu līgumu ar citu TPP, ja līgums ar esošo TPP tiek pārtraukts vai vairs nav iespējas saņemt attiecīgo pakalpojumu.
3. IKT pakalpojuma izmantošana:
Tirgus dalībniekam ir pienākums regulāri pārraudzīt pakalpojuma sniedzēja darbību. Iestādei ir jānodrošina nepieciešamās kompetences un resursi, kā arī jāievieš procesi, lai tiktu:
- saņemta savlaicīga informācija par IKT incidentiem;
- nodrošināta regulāra pakalpojuma sniegšanas kvalitātes un drošības pārraudzība;
- periodiski pārskatīts esošais risku novērtējums un savlaicīgi identificēti jauni riski attiecīgā pakalpojuma saņemšanas kontekstā.
|
Nepieciešamā darbība |
Darbības veikšanas brīdis |
|
Riska novērtējums |
Pirms līguma slēgšanas |
|
Due diligence pārbaude |
Būtiskiem pakalpojumiem pirms līguma slēgšanas |
|
Līguma minimālo prasību definēšana |
Līguma sagatavošanas procesā |
|
Trešo personu reģistra aktualizēšana |
Pēc līguma noslēgšanas |
|
Izejas stratēģijas izstrāde |
Būtiskiem pakalpojumiem līguma sagatavošanas procesā |
|
Regulatora informēšana |
30 dienas pirms pakalpojuma izmantošanas |
|
Regulāra pārraudzība |
Pakalpojuma darbības laikā |
Eiropas uzraudzības iestāžu 2024. gada 8. novembra lēmums par termiņiem un nosacījumiem, kuri informācijas reģistri nacionālajām uzraudzības iestādēm jāsniedz Eiropas uzraudzības iestādēm, lai tās noteiktu īpaši svarīgus IKT trešo pušu pakalpojumu sniedzējus saskaņā ar Digitālās darbības noturības aktu (DORA)
Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 28. panta 3. punktu uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par IKT pakalpojumiem, ko sniedz trešās puses.
Finanšu iestādes informācijas reģistru pirmo reizi Latvijas Bankai iesniedz līdz 2025. gada 15. aprīlim ar 2025. gada 31. marta aktuālajiem datiem. Turpmāk finanšu iestādes reģistru iesniedz katru gadu līdz 1. martam, izmantojot iepriekšējā gada 31. decembra datus.
Individuālas finanšu iestādes informācijas reģistrus iesniedz uzņēmuma līmenī. Grupas uzņēmumi gatavo konsolidēto informācijas reģistru un iesniedz vienu reģistru par visiem grupas uzņēmumiem (DORA subjektiem) konsolidētā līmenī.
Prasības attiecībā uz informācijas reģistru un tā standarta veidnes ir noteiktas Komisijas 2024. gada 29. novembra Īstenošanas regulā (ES) 2024/2956.
Informāciju reģistrā var ievadīt latviešu vai angļu valodā.
Informācijas reģistrs jāiesniedz atbilstoši tehniskajam aprakstam "Latvijas Bankai iesniedzamā DORA informācijas reģistra prasības".
Jautājumi un atbildes par informācijas reģistra sagatavošanu un iesniegšanu.
Eiropas Banku iestāde ir sagatavojusi skaidrojumu par informācijas reģistra veidošanu un pārbaudēm. Reģistra iesniegšanai finanšu iestādes sagatavo nepieciešamos pārskata failus vai izmanto Latvijas Bankas sagatavoto Excel veidni.
Ar tipiskākajām kļūdām un problēmām informācijas reģistra sagatavošanas procesā var iepazīties Eiropas Vērtspapīru un tirgu iestādes publicētajos secinājumos, kas izdarīti pēc reģistru iesniegšanas testa veikšanas.
Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus, ievērojot ieviešanas tehniskos standartus, piemēram:
- mākoņdatošanas pakalpojumu sniedzēji;
- programmatūras piegādātāji, izstrādātāji un tās atbalsts;
- IKT projektu vadība un konsultācijas;
- IKT drošības, risku un darbības pārvaldība;
- IKT infrastruktūra, fiziskās iekārtas, telpas, datu glabāšanas platformas;
- sakaru pakalpojumu sniedzēji, sistēmas un tīkli;
- datu analīzes pakalpojumu sniedzēji;
- datu centru pakalpojumu sniedzēji;
- maksājumu pakalpojumu ekosistēmas dalībnieki, kas nodrošina maksājumu apstrādi vai uztur maksājumu infrastruktūru;
- finanšu vienības, kas nodrošina IKT pakalpojumus citām finanšu iestādēm;
- uzņēmumi, kas ietilpst finanšu vienības grupā un nodrošina IKT pakalpojumus to mātes uzņēmumiem, meitas uzņēmumiem vai filiālēm.
Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā. Tiesību aktu projekti
Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.
Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi
Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).
Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas.
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.
Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.
|
Nepieciešamā darbība |
Darbības veikšanas brīdis |
|
Riska novērtējums |
Pirms līguma slēgšanas |
|
Due diligence pārbaude |
Būtiskiem pakalpojumiem pirms līguma slēgšanas |
|
Līguma minimālo prasību definēšana |
Līguma sagatavošanas procesā |
|
Trešo personu reģistra aktualizēšana |
Pēc līguma noslēgšanas |
|
Izejas stratēģijas izstrāde |
Būtiskiem pakalpojumiem līguma sagatavošanas procesā |
|
Regulatora informēšana |
30 dienas pirms pakalpojuma izmantošanas |
|
Regulāra pārraudzība |
Pakalpojuma darbības laikā |
Eiropas uzraudzības iestāžu 2024. gada 8. novembra lēmums par termiņiem un nosacījumiem, kuri informācijas reģistri nacionālajām uzraudzības iestādēm jāsniedz Eiropas uzraudzības iestādēm, lai tās noteiktu īpaši svarīgus IKT trešo pušu pakalpojumu sniedzējus saskaņā ar Digitālās darbības noturības aktu (DORA)
Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 28. panta 3. punktu uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par IKT pakalpojumiem, ko sniedz trešās puses.
Finanšu iestādes informācijas reģistru pirmo reizi Latvijas Bankai iesniedz līdz 2025. gada 15. aprīlim ar 2025. gada 31. marta aktuālajiem datiem. Turpmāk finanšu iestādes reģistru iesniedz katru gadu līdz 1. martam, izmantojot iepriekšējā gada 31. decembra datus.
Individuālas finanšu iestādes informācijas reģistrus iesniedz uzņēmuma līmenī. Grupas uzņēmumi gatavo konsolidēto informācijas reģistru un iesniedz vienu reģistru par visiem grupas uzņēmumiem (DORA subjektiem) konsolidētā līmenī.
Prasības attiecībā uz informācijas reģistru un tā standarta veidnes ir noteiktas Komisijas 2024. gada 29. novembra Īstenošanas regulā (ES) 2024/2956.
Informāciju reģistrā var ievadīt latviešu vai angļu valodā.
Informācijas reģistrs jāiesniedz atbilstoši tehniskajam aprakstam "Latvijas Bankai iesniedzamā DORA informācijas reģistra prasības".
Jautājumi un atbildes par informācijas reģistra sagatavošanu un iesniegšanu.
Eiropas Banku iestāde ir sagatavojusi skaidrojumu par informācijas reģistra veidošanu un pārbaudēm. Reģistra iesniegšanai finanšu iestādes sagatavo nepieciešamos pārskata failus vai izmanto Latvijas Bankas sagatavoto Excel veidni.
Ar tipiskākajām kļūdām un problēmām informācijas reģistra sagatavošanas procesā var iepazīties Eiropas Vērtspapīru un tirgu iestādes publicētajos secinājumos, kas izdarīti pēc reģistru iesniegšanas testa veikšanas.
Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus, ievērojot ieviešanas tehniskos standartus, piemēram:
- mākoņdatošanas pakalpojumu sniedzēji;
- programmatūras piegādātāji, izstrādātāji un tās atbalsts;
- IKT projektu vadība un konsultācijas;
- IKT drošības, risku un darbības pārvaldība;
- IKT infrastruktūra, fiziskās iekārtas, telpas, datu glabāšanas platformas;
- sakaru pakalpojumu sniedzēji, sistēmas un tīkli;
- datu analīzes pakalpojumu sniedzēji;
- datu centru pakalpojumu sniedzēji;
- maksājumu pakalpojumu ekosistēmas dalībnieki, kas nodrošina maksājumu apstrādi vai uztur maksājumu infrastruktūru;
- finanšu vienības, kas nodrošina IKT pakalpojumus citām finanšu iestādēm;
- uzņēmumi, kas ietilpst finanšu vienības grupā un nodrošina IKT pakalpojumus to mātes uzņēmumiem, meitas uzņēmumiem vai filiālēm.
Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā. Tiesību aktu projekti
Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.
Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi
Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).
Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas.
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.
Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.