Saskaņā ar DORA prasībām, tirgus dalībniekam izmantojot ar trešo personu saistītu IKT pakalpojumu, tā dzīves ciklā ir nepieciešams veikt šādas darbības:
1. Pirms līguma slēgšanas:
1.1 Identificēt vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju, jeb tādu funkciju, kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus, tās pakalpojumu nepārtrauktību vai saistību izpildi. Piemēram, maksājumu apstrāde un norēķini, mākoņinfrastruktūra, kas atbalsta pamatpakalpojumu, klientu datu apstrāde un glabāšana, ir uzskatāmi par IKT pakalpojumiem, kas atbalsta kritisku vai svarīgu funkciju. Slēdzot līgumu par šādu pakalpojumu ir papildu prasības.
1.2 Izvērtēt pakalpojuma sniedzēja reputāciju, pieredzi, piedāvātā pakalpojuma kvalitāti un atbilstību regulējuma prasībām, tajā skaitā kiberdrošības un darbības nepārtrauktības spējas (DORA 28(4) pants).
1.3 Identificēt un novērtēt darbības riskus (t.sk. kiberriskus, tehnoloģiskos, ģeopolitiskos, atbilstības riskus) un reputācijas riskus, ko iestādei rada attiecīgās trešās puses pakalpojuma izmantošana.
2. Līgums un pakalpojuma uzsākšana:
2.1. Noteikt līgumā obligātās prasības (DORA 30. pants). Ja IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas funkcijas, tad līgumā ietver RTS 2024/1773 prasības. Slēdzot līgumu var izmantot standartizētu līguma pielikumu, kas izstrādāts, ņemot vērā regulējuma prasības attiecībā uz noteikta veida pakalpojumiem. Līguma prasības attiecas arī uz tiem IKT pakalpojumiem, kuri tiek izmantoti finanšu grupas ietvaros.
Līgumā atbilstoši pakalpojuma veidam ir jāiekļauj:
- pakalpojuma apraksts un atbildības sadalījums;
- pakalpojuma kvalitātes, drošības un nepārtrauktības prasības (SLA);
- prasības datu apstrādei un aizsardzībai;
- incidentu risināšana;
- tiesības uzraudzīt un auditēt TPP;
- līguma izbeigšanas kārtība un datu atgriešana/iznīcināšana;
- iespējas alternatīvo pakalpojumu sniedzēju izvēlei un esošā pakalpojuma sniedzēja nomaiņai, ja līgums ar esošo trešo personu pakalpojumu sniedzēju tiek pārtraukts vai vairs nav iespējams saņemt attiecīgo pakalpojumu;
- iespējas pārņemt atpakaļ trešajai personai deleģētās funkcijas izpildi, ja tas ir nepieciešams vai vēlams.
2.2 Reģistrēt attiecīgo pakalpojumu iestādes trešo pušu IKT pakalpojumu sniedzēju reģistrā. Iestādei ir jāizveido un jāuztur aktuāls trešo pušu IKT pakalpojumu sniedzēju reģistrs (DORA 28(3). pants), kurā jāiekļauj dati par visu trešo pušu līgumiem. Reģistra struktūru veido ņemot vērā ITS 2024/2956, kā arī var izmantot LB piedāvāto Excel veidni. Iestādes uzturētā reģistra dati pēc pieprasījuma ir jāiesniedz uzraudzības iestādei.
2.3 Savlaicīgi informēt Latvijas Banku, ja paredzēts izmantot tādu IKT pakalpojumu, kas atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Šādu būtisku pakalpojumu izmantošanas gadījumā tirgus dalībnieks savlaicīgi informē uzraudzības iestādi, 30 dienas pirms pakalpojuma izmantošanas iesniedzot Latvijas Bankai vēstuli ar kuru informē par būtiska pakalpojuma izmantošanu, pievienojot attiecīgā pakalpojuma aprakstu un risku novērtējumu.
2.4 Izstrādāt un uzturēt pakalpojuma izejas stratēģiju, ja esošais IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Izejas stratēģijā uzņēmums plāno, kā pats varētu nodrošināt attiecīgo pakalpojumu vai kādas ir darbības lai slēgtu līgumu ar citu TPP, ja līgums ar esošo TPP tiek pārtraukts vai vairs nav iespējas saņemt attiecīgo pakalpojumu.
3. IKT pakalpojuma izmantošana:
Tirgus dalībniekam ir pienākums regulāri pārraudzīt pakalpojuma sniedzēja darbību. Iestādei ir jānodrošina nepieciešamās kompetences un resursi, kā arī jāievieš procesi, lai tiktu:
- saņemta savlaicīga informācija par IKT incidentiem;
- nodrošināta regulāra pakalpojuma sniegšanas kvalitātes un drošības pārraudzība;
- periodiski pārskatīts esošais risku novērtējums un savlaicīgi identificēti jauni riski attiecīgā pakalpojuma saņemšanas kontekstā.
Eiropas Vērtspapīru un tirgu iestāde (ESMA) ir arī publicējusi pamatnostādnes par mākoņpakalpojumu izmantošanu. Vadlīniju mērķis ir palīdzēt tirgus dalibniekiem identificēt, risināt un uzraudzīt riskus, kas ir saistīti ar mākoņpakalpojumu izmantošanu.
|
Nepieciešamā darbība |
Darbības veikšanas brīdis |
|
Riska novērtējums |
Pirms līguma slēgšanas |
|
Due diligence pārbaude |
Būtiskiem pakalpojumiem pirms līguma slēgšanas |
|
Līguma minimālo prasību definēšana |
Līguma sagatavošanas procesā |
|
Trešo personu reģistra aktualizēšana |
Pēc līguma noslēgšanas |
|
Izejas stratēģijas izstrāde |
Būtiskiem pakalpojumiem līguma sagatavošanas procesā |
|
Regulatora informēšana |
30 dienas pirms pakalpojuma izmantošanas |
|
Regulāra pārraudzība |
Pakalpojuma darbības laikā |
Kontrolsaraksts trešo personu sniegto IKT pakalpojumu pārvaldības prasību īstenošanai
Šis kontrolsaraksts palīdz finanšu tirgus dalībniekiem novērtēt un dokumentēt Regulas (ES) 2022/2554 prasību izpildi attiecībā uz trešo personu sniegto IKT pakalpojumu pārvaldību. Tas strukturētā veidā aptver kopējās pārvaldības, līgumu dzīves cikla un līgumisko noteikumu prasības, īpaši attiecībā uz kritiski svarīgām un svarīgām funkcijām, īpaši attiecībā uz kritiski svarīgām un svarīgām funkcijām, ņemot vērā proporcionalitātes principu un riskos balstītu pieeju.
Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.
Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi
Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).
Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas.
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.
Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.