IKT drošības un kiberrisku uzraudzība
IKT drošības un kiberrisku uzraudzības mērķis
Informācijas un komunikācijas tehnoloģiju (IKT) drošības un digitālās darbības uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm.
Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt, gan atjaunot darbību krīzes situācijās.
Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan pārvaldību, izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.
Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā (skat. Threat Landscape — ENISA) aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:
DORA – jaunais IKT drošības regulējums finanšu vienībām
DORA ieviešanas nepieciešamība
DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17. janvārī.
Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem.
Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.
Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.
DORA 2. panta 1. punkts nosaka finanšu vienību kategorijas, kurām piemērojama DORA. Atbilstoši tiesību akta projekta Nr. 24-TA-2371 "Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums" definīcijām Latvijas Banka ir identificējusi un sarakstā apkopojusi finanšu vienības, uz kurām attiecas DORA prasības. Vēršam uzmanību, ka saraksts var mainīties minētā likumprojekta virzības gaitā. Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus, ievērojot ieviešanas tehniskos standartus, piemēram: Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā. Tiesību aktu projekti
LV40003494976
"Baltijas Apdrošināšanas Nams" apdrošināšanas akciju sabiedrība
LV40003577500
"CBL Asset Management" Ieguldījumu pārvaldes akciju sabiedrība
LV40003786859
"CBL Life" apdrošināšanas akciju sabiedrība
LV40003606528
"Swedbank Atklātais Pensiju Fonds" AS
LV40003337582
"Swedbank Ieguldījumu Pārvaldes Sabiedrība" AS
LV40003074764
"Swedbank" AS
LV40103840140
AAS "BTA Baltic Insurance Company"
LV40203180478
Akciju sabiedrība "Alphinox Quality"
LV40003397312
Akciju sabiedrība "CBL Atklātais pensiju fonds"
LV40103303559
Akciju sabiedrība "Citadele banka"
LV40003377918
Akciju sabiedrība "INVL atklātais pensiju fonds"
LV40003167049
Akciju sabiedrība "Nasdaq Riga"
LV40003448943
Akciju sabiedrība "Pirmais Slēgtais Pensiju Fonds"
LV40003563375
Akciju sabiedrība "Reģionālā investīciju banka"
LV40003074497
Akciju sabiedrība "Rietumu Banka"
LV40003485047
Akciju sabiedrība "SEB atklātais pensiju fonds"
LV40003049409
Apdrošināšanas akciju sabiedrība "BALTA"
LV40003764029
AS "Aquarium Investments" IPS
LV40003194988
AS "Industra Bank"
LV40003151743
AS "SEB banka"
LV40203448611
AS INDEXO Banka
LV50103189561
AS Magnetiq Bank
LV40103903643
AS Mintos Marketplace
LV44103143823
AS TWINO Investments
LV40003159840
Balcia Insurance SE
LV40003551060
BluOr Bank AS
LV40203530771
Boku Securities SIA
LV40003344762
Dukascopy Europe IBS AS
LV40003605043
Ieguldījumu pārvaldes akciju sabiedrība "INVL Asset Management"
LV40003525797
Ieguldījumu pārvaldes akciju sabiedrība "SEB Investment Management"
LV40203401432
Indemo SIA
LV40203248944
Indexo Atklātais Pensiju Fonds AS
LV40203042988
IPAS "Indexo"
LV40003699053
Luminor Asset Management IPAS
LV40103331798
Luminor Latvijas atklātais pensiju fonds AS
LV40003242879
Nasdaq CSD SE
LV40103967358
Sabiedrība ar ierobežotu atbildību "JOOL PAY"
LV40003654405
Sabiedrība ar ierobežotu atbildību "Mobilly"
LV40103306131
Sabiedrība ar ierobežotu atbildību "SEMFOPAY"
LV41503033127
Sabiedrība ar ierobežotu atbildību "Transact Pro"
LV44103125067
Sabiedrība ar ierobežotu atbildību Andele Mandele PAY
LV40003933213
SE "Capitalia"
LV40003012938
SEB Life and Pension Baltic SE
LV50203309441
SIA "CrowdedHero Latvia"
LV40203386735
SIA "LANDE Platform"
LV40203574742
SIA "Paytegra"
LV40003979933
SIA "RĪGAS KARTE"
LV40103762043
SIA "SOLLO LV"
LV40203160700
SIA "Spirit Capital Investments"
LV40203015744
SIA "Viainvest"
LV40203411426
SIA "xpate"
LV42103092209
SIA DN Operator
LV44103143397
SIA Mintos Payments
LV40203016025
SIA Nectaro
LV40103362872
SIGNET ASSET MANAGEMENT LATVIA IPS
LV40003043232
Signet Bank AS
LV40003814724
Signet Pensiju Pārvalde IPAS
LV40203344731
TigSiPay SIA
LV40203474347
VAIRO IPAS
LV40003052790
Valsts akciju sabiedrība "Latvijas Pasts"
LV40203295309
Swedbank Baltics AS
DORA noteiktā regulējuma ietvars
DORA prasības ir sadalītas piecos blokos, un tās detalizēti nosaka regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS).
IKT riska pārvaldības ietvara RTS nosaka vienotas prasības IKT riska pārvaldības sistēmas pilnveidei. Tehniskais standarts detalizēti nosaka rīkus, metodes, procesus un politikas, tostarp vienkāršoto risku pārvaldības režīmu mazākiem subjektiem. Prasības paredz, ka tirgus dalībniekam ir jānodrošina vadības līmeņa iesaiste un uzraudzība, jāveido IKT aktīvu reģistri, incidentu reģistri, jāveic apdraudējumu analīze un jānosaka kritiskās sistēmas, kā arī jāizstrādā noturības plāni un atjaunošanas procedūras.
IKT incidentu ziņošanas RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu. Būtisku incidentu ziņošana (RTS 2025/301) paredz, kas jāiekļauj sākotnējā, starpposma un galīgajā ziņojumā. Incidentu ziņojumu specifikācijas (ITS 2025/302) definē standarta veidnes, formas un procedūras incidentu ziņošanai.
IKT riska pārvaldības ietvars |
IKT incidentu ziņošana |
RTS "Incidentu klasifikācija" |
Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 19. pantu ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem. Ziņojumu saturs un veidnes ir noteiktas tehniskajos un īstenošanas standartos (RTS/ITS). Incidentu un kiberdraudu ziņošanai ir izmantojamas atšķirīgas veidnes: Finanšu iestādes ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem XLSX (Microsoft Excel Open XML) faila formātā saskaņā ar Latvijas Bankas tīmekļvietnē publicētām XLSX failu sagatavēm un tehnisko aprakstu (nemainot abu sagatavju failu darblapu secību un tabulu novietojumu tajās). Sākotnējā ziņojuma sniegšanas termiņš ir 4 stundas pēc incidenta klasificēšanas un 24 stundas pēc incidenta atklāšanas, 72 stundas paredzētas starpposma ziņošanai un 1 mēnesis gala ziņojuma sniegšanai. Finanšu iestādes pēc incidenta informācijas ievākšanas, analīzes un klasificēšanas, izmantojot veidnes (Excel fails), sagatavo sākotnējo ziņojumu, kā arī tam sekojošu starpposma ziņojumu un gala ziņojumu un iesniedz tos Latvijas Bankai saskaņā ar noteiktajiem termiņiem. Iesniedzot starpposma ziņojumu vai noslēguma ziņojumu, veidnē saglabā informāciju, kas iepriekš sniegta sākotnējā ziņojumā vai starpziņojumā. Ja nepieciešams, tad iepriekš iesniegto informāciju attiecīgajās tabulās precizē. Incidenta ziņojuma veidnes finanšu iestādes var aizpildīt latviešu vai angļu valodā. Ziņojumā norādīto kontaktpunktu vai darbinieku pieejamība jānodrošina visā incidenta apstrādes cikla laikā. Ja finanšu iestāde incidenta ziņojumu ir nosūtījusi arī Nacionālās kiberdrošības centram vai ir konsultējusies ar to par incidenta ierobežošanas risinājumiem, sākotnējā ziņojumā ir jāiekļauj atbilstoša informācija. Ja finanšu iestāde plāno deleģēt vai ir deleģējusi ziņošanas pienākumu trešajai pusei vai IKT piegādātājam, par to vispārējā saziņas kārtībā ir jāpaziņo Latvijas Bankai. Ziņojumu failu veidnes ir lejupielādējamas šeit: Faila nosaukuma formāts ir aaa_v_nn_ggggmmdd.xlsx xls, kur: aaa – faila nosaukuma prefikss: "DORA_IR" – būtisku incidentu ziņojumiem; "DORA_CYB" – nozīmīgu kiberdraudu ziņojumiem; v – iesniegtā incidenta ziņojuma versijas numurs (kiberdraudu ziņojumiem izmanto tikai ''1''), kur: "1" – sākotnējais; "2" – starpposma; "3" – gala ziņojums; nn – ziņojuma kārtas numurs, ja iesniegšanas dienā ir vairāk nekā viens ziņojums (sastāv no diviem cipariem, piemēram, 01, 02 utt.); ggggmmdd – incidenta sākotnējā ziņojuma iesniegšanas datums, kur: gggg – gads; mm – mēnesis; dd – diena. Incidenta ziņojumus iesniedz izmantojot Latvijas Bankas paaugstinātas drošības sistēmu (FAS). Finanšu vienības, kurām incidenta brīdī nav pieejama sistēma FAS vai kuras to neizmanto, incidenta ziņojumus iesniedz tos nosūtot uz e-pasta adresi Incidenta ziņojumus var sagatavot latviešu vai angļu valodā. Nosūtot ziņojumu uz Latvijas Bankas e-pastu bbb – finanšu iestādes nosaukums teksta formā, pilns juridiskais nosaukums E-pasta konfidencialitātes nodrošināšanai izmanto šifrēšanas rīku CryptShare.
DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu tirgus dalībniekiem:
- operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem ir jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
- trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz noteikt prasības arī finanšu iestāžu trešo pušu IKT pakalpojumu sniedzējiem;
- Eiropas pārraudzības ietvars – tas nodrošinās kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos Eiropas vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.
Digitālās noturības testēšana |
Trešo pušu IKT piegādātāju risku pārvaldība |
Kritisko pakalpojumu sniedzēju pārraudzības ietvars |
ITS "Piegādātāju informācijas reģistrs" |
DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, nodrošinātu DORA prasību ieviešanu, noteiktu uzraugošo iestādi un tās pienākumus, Latvijā tiek pieņemts Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums. (Normatīvie akti | Finanšu ministrija (fm.gov.lv))
Saskaņā ar DORA prasībām, tirgus dalībniekam izmantojot ar trešo personu saistītu IKT pakalpojumu, tā dzīves ciklā ir nepieciešams veikt šādas darbības: 1. Pirms līguma slēgšanas: 1.1 Identificēt vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju, jeb tādu funkciju, kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus, tās pakalpojumu nepārtrauktību vai saistību izpildi. Piemēram, maksājumu apstrāde un norēķini, mākoņinfrastruktūra, kas atbalsta pamatpakalpojumu, klientu datu apstrāde un glabāšana, ir uzskatāmi par IKT pakalpojumiem, kas atbalsta kritisku vai svarīgu funkciju. Slēdzot līgumu par šādu pakalpojumu ir papildu prasības. 1.2 Izvērtēt pakalpojuma sniedzēja reputāciju, pieredzi, piedāvātā pakalpojuma kvalitāti un atbilstību regulējuma prasībām, tajā skaitā kiberdrošības un darbības nepārtrauktības spējas (DORA 28(4) pants). 1.3 Identificēt un novērtēt darbības riskus (t.sk. kiberriskus, tehnoloģiskos, ģeopolitiskos, atbilstības riskus) un reputācijas riskus, ko iestādei rada attiecīgās trešās puses pakalpojuma izmantošana. 2. Līgums un pakalpojuma uzsākšana: 2.1. Noteikt līgumā obligātās prasības (DORA 30. pants). Ja IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas funkcijas, tad līgumā ietver RTS 2024/1773 prasības. Slēdzot līgumu var izmantot standartizētu līguma pielikumu, kas izstrādāts, ņemot vērā regulējuma prasības attiecībā uz noteikta veida pakalpojumiem. Līguma prasības attiecas arī uz tiem IKT pakalpojumiem, kuri tiek izmantoti finanšu grupas ietvaros. Līgumā atbilstoši pakalpojuma veidam ir jāiekļauj: 2.2 Reģistrēt attiecīgo pakalpojumu iestādes trešo pušu IKT pakalpojumu sniedzēju reģistrā. Iestādei ir jāizveido un jāuztur aktuāls trešo pušu IKT pakalpojumu sniedzēju reģistrs (DORA 28(3). pants), kurā jāiekļauj dati par visu trešo pušu līgumiem. Reģistra struktūru veido ņemot vērā ITS 2024/2956, kā arī var izmantot LB piedāvāto Excel veidni. Iestādes uzturētā reģistra dati pēc pieprasījuma ir jāiesniedz uzraudzības iestādei. 2.3 Savlaicīgi informēt Latvijas Banku, ja paredzēts izmantot tādu IKT pakalpojumu, kas atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Šādu būtisku pakalpojumu izmantošanas gadījumā tirgus dalībnieks savlaicīgi informē uzraudzības iestādi, 30 dienas pirms pakalpojuma izmantošanas iesniedzot Latvijas Bankai vēstuli ar kuru informē par būtiska pakalpojuma izmantošanu, pievienojot attiecīgā pakalpojuma aprakstu un risku novērtējumu. 2.4 Izstrādāt un uzturēt pakalpojuma izejas stratēģiju, ja esošais IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Izejas stratēģijā uzņēmums plāno, kā pats varētu nodrošināt attiecīgo pakalpojumu vai kādas ir darbības lai slēgtu līgumu ar citu TPP, ja līgums ar esošo TPP tiek pārtraukts vai vairs nav iespējas saņemt attiecīgo pakalpojumu. 3. IKT pakalpojuma izmantošana: Tirgus dalībniekam ir pienākums regulāri pārraudzīt pakalpojuma sniedzēja darbību. Iestādei ir jānodrošina nepieciešamās kompetences un resursi, kā arī jāievieš procesi, lai tiktu: Trešo pušu pārvaldības kopsavilkums: Nepieciešamā darbība Darbības veikšanas brīdis Riska novērtējums Pirms līguma slēgšanas Due diligence pārbaude Būtiskiem pakalpojumiem pirms līguma slēgšanas Līguma minimālo prasību definēšana Līguma sagatavošanas procesā Trešo personu reģistra aktualizēšana Pēc līguma noslēgšanas Izejas stratēģijas izstrāde Būtiskiem pakalpojumiem līguma sagatavošanas procesā Regulatora informēšana 30 dienas pirms pakalpojuma izmantošanas Regulāra pārraudzība Pakalpojuma darbības laikā Eiropas uzraudzības iestāžu 2024. gada 8. novembra lēmums par termiņiem un nosacījumiem, kuri informācijas reģistri nacionālajām uzraudzības iestādēm jāsniedz Eiropas uzraudzības iestādēm, lai tās noteiktu īpaši svarīgus IKT trešo pušu pakalpojumu sniedzējus saskaņā ar Digitālās darbības noturības aktu (DORA) Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 28. panta 3. punktu uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par IKT pakalpojumiem, ko sniedz trešās puses. Finanšu iestādes informācijas reģistru pirmo reizi Latvijas Bankai iesniedz līdz 2025. gada 15. aprīlim ar 2025. gada 31. marta aktuālajiem datiem. Turpmāk finanšu iestādes reģistru iesniedz katru gadu līdz 1. martam, izmantojot iepriekšējā gada 31. decembra datus. Individuālas finanšu iestādes informācijas reģistrus iesniedz uzņēmuma līmenī. Grupas uzņēmumi gatavo konsolidēto informācijas reģistru un iesniedz vienu reģistru par visiem grupas uzņēmumiem (DORA subjektiem) konsolidētā līmenī. Prasības attiecībā uz informācijas reģistru un tā standarta veidnes ir noteiktas Komisijas 2024. gada 29. novembra Īstenošanas regulā (ES) 2024/2956. Informāciju reģistrā var ievadīt latviešu vai angļu valodā. Informācijas reģistrs jāiesniedz atbilstoši tehniskajam aprakstam "Latvijas Bankai iesniedzamā DORA informācijas reģistra prasības". Jautājumi un atbildes par informācijas reģistra sagatavošanu un iesniegšanu. Eiropas Banku iestāde ir sagatavojusi skaidrojumu par informācijas reģistra veidošanu un pārbaudēm. Reģistra iesniegšanai finanšu iestādes sagatavo nepieciešamos pārskata failus vai izmanto Latvijas Bankas sagatavoto Excel veidni. Ar tipiskākajām kļūdām un problēmām informācijas reģistra sagatavošanas procesā var iepazīties Eiropas Vērtspapīru un tirgu iestādes publicētajos secinājumos, kas izdarīti pēc reģistru iesniegšanas testa veikšanas.
DORA otrā līmeņa regulējuma kopsavilkums:
Joma |
Standarts |
IKT risks |
|
Incidentu klasifikācija |
|
Incidentu ziņošana |
|
TPP līgumu saturs |
|
Apakšlīgumi |
|
TPP reģistrs |
|
TLPT testēšana |
DORA tiek piemērota tiešā veidā, bet, lai dotu tiesisku pamatu uzraudzības veikšanai un noteiktu uzraugošās iestādes un to pienākumus, Finanšu ministrija izstrādā Finanšu tirgus digitālās darbības noturības likumu (skat. Normatīvie akti | Finanšu ministrija (fm.gov.lv); Tiesību aktu projekti). Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 360 "Informācijas tehnoloģiju un drošības risku pārvaldības noteikumi". Jaunās IKT drošības prasības ir noteiktas DORA regulējumā. Finanšu vienībām, kuras ir ārpus DORA tvēruma, 2025. gadā būs jānodrošina digitālās darbības noturības prasības atbilstoši vienkāršotiem IKT risku pārvaldības noteikumiem. Noteikumus Latvijas Banka plāno izdot pēc atbilstoša deleģējuma saņemšanas. Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 361 "Noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem". Incidentu ziņošana un pārvaldība pēc 2025. gada 17. janvāra būs jāveic atbilstoši DORA prasībām. Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus. Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi Jautājums. Kādos gadījumos un kā Latvijas Banka plāno izmantot tiesības pieprasīt finanšu iestādēm veikt draudu vadītu ielaušanās testēšanu (threat-led penetration testing; TLPT)? Jautājums. Kā notiks Latvijā reģistrēto finanšu vienību filiāļu uzraudzība? Jautājums. Vai pareizi saprotam, ka līdz ar DORA stāšanos spēkā par incidentiem vairs nebūs jāziņo Eiropas Centrālajai bankai, bet tikai Latvijas Bankai? Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību. Jautājums. Vai, turpinot pilnveidot Finanšu tirgus digitālās darbības noturības likumu, ir plānots pārskatīt to finanšu vienību sarakstu, kurām piemēro vienkāršotas digitālās darbības noturības prasības, lai salāgotu prasības starp Baltijas valstīm, proti, neuzliktu atsevišķām finanšu vienībām stingrākas prasības? Jautājums. Vai sanāk, ka nebanku kreditētāji (ātrie kredīti) nav nedz DORA, nedz NIS2 (Nacionālās kiberdrošības likuma) subjekti? Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas. Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.
Atbilde. DORA paredz plašu to finanšu vienību tvērumu, kam uzraugs var pieprasīt testa veikšanu, bet kompetentā iestāde var piemērot izņēmumu, balstoties uz proporcionalitātes principu. TLPT subjekti tiks izraudzīti, vērtējot to IKT pārvaldības un procesu brieduma pakāpi un kritiskumu saistībā ar finanšu sistēmu kopumā, primāri fokusējoties uz sistēmiski nozīmīgiem tirgus dalībniekiem. Par iekļaušanu testēšanā iestādes vadībai tiks savlaicīgi paziņots, lai tā varētu sākt plānošanas procesu un testa vadības komandu formēšanu.
Atbilde. Kompetentā iestāde filiāļu uzraudzībai ir tās dalībvalsts finanšu tirgus uzraudzības iestāde, kurā reģistrēta mātes finanšu vienība.
Atbilde. Finanšu vienības, kas par nozīmīgiem incidentiem ziņoja Eiropas Centrālajai bankai, turpmāk ziņos Latvijas Bankai.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).
Atbilde. Ir ierosināts vienkāršotas digitālās darbības noturības prasības piemērot finanšu vienībām, kuras ir ārpus DORA regulējuma. Nacionālā līmenī DORA tvērumu var paplašināt vai sašaurināt tikai attiecībā uz atsevišķām tirgus dalībnieku kategorijām, piemēram, krājaizdevu sabiedrībām. Attiecībā uz citiem tirgus segmentiem šādas iespējas nav.
Atbilde. Nebanku kreditētāju licencēšanu un uzraudzību veic Patērētāju tiesību aizsardzības centrs. Lai noskaidrotu statusu attiecībā uz Nacionālās kiberdrošības likuma prasībām, iespējams izmantot interaktīvo rīku "NKDL tests".
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.
Pašreizējais ar DORA saistīto regulatīvo dokumentu statuss
Finanšu tirgus digitālā pārveide un digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā: Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldības kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu. Šādas risku kultūras stūrakmens ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās pārveides projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un uzraudzību atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās pārveides iniciatīvas. Risku pārvaldības kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērtēt tehnoloģiju iespējas un riskus. Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Efektīva risku pārvaldība un atbilstošas riska apetītes noteikšana var palīdzēt līdzsvarot attīstību un ierobežot iespējamos zaudējumus.