Publicēts: 15.08.2023. Aktualizēts: 14.07.2025.

IKT drošības un kiberrisku uzraudzība

IKT drošības un kiberrisku uzraudzības mērķis

Informācijas un komunikācijas tehnoloģiju (IKT) drošības un digitālās darbības uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm.

Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt, gan atjaunot darbību krīzes situācijās.

Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan pārvaldību, izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.

Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā (skat. Threat Landscape — ENISA) aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:

  • draudi pieejamībai (pakalpojumatteices uzbrukumi jeb DDoS) un izspiedējvīrusi – vieni no aktuālākajiem draudiem arī 2024. gadā;
  • Living Off Trusted Sites (LOTS) – kibernoziedznieki paplašina savas slēptās aktivitātes mākoņpakalpojumu platformās, izmantojot uzticamas vietnes un likumīgus pakalpojumus, lai izvairītos no atklāšanas un maskētu savas aktivitātes, noformējot tās kā parastu tīkla datu plūsmu vai nevainīgus ziņojumus tādās platformās kā Slack un Telegram;
  • ģeopolitika – aizvien spēcīgs kibernoziegumu veicinātājs;
  • straujš biznesa e-pasta kompromitēšanas (BEC) incidentu pieaugums;
  • izspiešana, izmantojot informācijas ziņošanas un atklāšanas prasības – uzņēmumi tiek spiesti izpildīt izspiešanas prasības pirms noteiktā ziņošanas termiņa, lai novērstu informācijas noplūdi;
  • mākslīgā intelekta rīki – kibernoziedznieki izmanto tādus rīkus kā FraudGPT un lielo valodu modeļi, lai veidotu krāpnieciskus e-pasta sūtījumus un ģenerētu ļaunprātīgus PowerShell skriptus;
  • haktīvistu pārklāšanās ar valsts sponsorētām kibernoziedznieku grupām – novērojama pieaugoša līdzības starp abām grupām tendence;
  • mobilo banku ļaunatūras pieaugums un vienlaicīgs uzbrukuma vektoru sarežģītības pieaugums;
  • ļaunprātīga programmatūra kā pakalpojums (MaaS) – nozīmīgs un strauji attīstīts drauds, īpaši kopš 2023. gada vidus;
  • aizvien vairāk izplatīta trešo pušu kompromitēšana, izmantojot sociālo inženieriju;
  • datu kompromitēšana, kas 2024. gadā palielinājusies un liecina par šīs tendences turpmāku saglabāšanos;
  • DDoS uzbrukumi pēc pieprasījuma, kas ļauj lielus uzbrukumus veikt neapmācītiem lietotājiem;
  • informācijas manipulācija – joprojām galvenais elements Krievijas agresijas karā pret Ukrainu. Novērojami mēģinājumi lokalizēt saturu un vienlaikus globalizēt savu klātbūtni;
  • pieaugoši mākslīgā intelekta atbalstītas informācijas manipulācijas draudi, piemēram, eksperimentējot ar mākslīgo intelektu informācijas manipulācijai, lai novērtētu tehnoloģiju iespējas.

DORA – jaunais IKT drošības regulējums finanšu vienībām

DORA ieviešanas nepieciešamība

DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17. janvārī.

Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem.

Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.

Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.

DORA 2. panta 1. punkts nosaka finanšu vienību kategorijas, kurām piemērojama DORA. Atbilstoši tiesību akta projekta Nr. 24-TA-2371 "Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums" definīcijām Latvijas Banka ir identificējusi un sarakstā apkopojusi finanšu vienības, uz kurām attiecas DORA prasības.

Vēršam uzmanību, ka saraksts var mainīties minētā likumprojekta virzības gaitā.

LV40003494976 "Baltijas Apdrošināšanas Nams" apdrošināšanas akciju sabiedrība
LV40003577500 "CBL Asset Management" Ieguldījumu pārvaldes akciju sabiedrība
LV40003786859 "CBL Life" apdrošināšanas akciju sabiedrība
LV40003606528 "Swedbank Atklātais Pensiju Fonds" AS
LV40003337582 "Swedbank Ieguldījumu Pārvaldes Sabiedrība" AS
LV40003074764 "Swedbank" AS
LV40103840140 AAS "BTA Baltic Insurance Company"
LV40203180478 Akciju sabiedrība "Alphinox Quality"
LV40003397312 Akciju sabiedrība "CBL Atklātais pensiju fonds"
LV40103303559 Akciju sabiedrība "Citadele banka"
LV40003377918 Akciju sabiedrība "INVL atklātais pensiju fonds"
LV40003167049 Akciju sabiedrība "Nasdaq Riga"
LV40003448943 Akciju sabiedrība "Pirmais Slēgtais Pensiju Fonds"
LV40003563375 Akciju sabiedrība "Reģionālā investīciju banka"
LV40003074497 Akciju sabiedrība "Rietumu Banka"
LV40003485047 Akciju sabiedrība "SEB atklātais pensiju fonds"
LV40003049409 Apdrošināšanas akciju sabiedrība "BALTA"
LV40003764029 AS "Aquarium Investments" IPS
LV40003194988 AS "Industra Bank"
LV40003151743 AS "SEB banka"
LV40203448611 AS INDEXO Banka
LV50103189561 AS Magnetiq Bank
LV40103903643 AS Mintos Marketplace
LV44103143823 AS TWINO Investments
LV40003159840 Balcia Insurance SE
LV40003551060 BluOr Bank AS
LV40203530771 Boku Securities SIA
LV40003344762 Dukascopy Europe IBS AS
LV40003605043 Ieguldījumu pārvaldes akciju sabiedrība "INVL Asset Management"
LV40003525797 Ieguldījumu pārvaldes akciju sabiedrība "SEB Investment Management"
LV40203401432 Indemo SIA
LV40203248944 Indexo Atklātais Pensiju Fonds AS
LV40203042988 IPAS "Indexo"
LV40003699053 Luminor Asset Management IPAS
LV40103331798 Luminor Latvijas atklātais pensiju fonds AS
LV40003242879 Nasdaq CSD SE
LV40103967358 Sabiedrība ar ierobežotu atbildību "JOOL PAY"
LV40003654405 Sabiedrība ar ierobežotu atbildību "Mobilly"
LV40103306131 Sabiedrība ar ierobežotu atbildību "SEMFOPAY"
LV41503033127 Sabiedrība ar ierobežotu atbildību "Transact Pro"
LV44103125067 Sabiedrība ar ierobežotu atbildību Andele Mandele PAY
LV40003933213 SE "Capitalia"
LV40003012938 SEB Life and Pension Baltic SE
LV50203309441 SIA "CrowdedHero Latvia"
LV40203386735 SIA "LANDE Platform"
LV40203574742 SIA "Paytegra"
LV40003979933 SIA "RĪGAS KARTE"
LV40103762043 SIA "SOLLO LV"
LV40203160700 SIA "Spirit Capital Investments"
LV40203015744 SIA "Viainvest"
LV40203411426 SIA "xpate"
LV42103092209 SIA DN Operator
LV44103143397 SIA Mintos Payments
LV40203016025 SIA Nectaro
LV40103362872 SIGNET ASSET MANAGEMENT LATVIA IPS
LV40003043232 Signet Bank AS
LV40003814724 Signet Pensiju Pārvalde IPAS
LV40203344731 TigSiPay SIA
LV40203474347 VAIRO IPAS
LV40003052790 Valsts akciju sabiedrība "Latvijas Pasts"
LV40203295309 Swedbank Baltics AS

Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus, ievērojot ieviešanas tehniskos standartus, piemēram:

  • mākoņdatošanas pakalpojumu sniedzēji;
  • programmatūras piegādātāji, izstrādātāji un tās atbalsts;
  • IKT projektu vadība un konsultācijas;
  • IKT drošības, risku un darbības pārvaldība;
  • IKT infrastruktūra, fiziskās iekārtas, telpas, datu glabāšanas platformas;
  • sakaru pakalpojumu sniedzēji, sistēmas un tīkli;
  • datu analīzes pakalpojumu sniedzēji;
  • datu centru pakalpojumu sniedzēji;
  • maksājumu pakalpojumu ekosistēmas dalībnieki, kas nodrošina maksājumu apstrādi vai uztur maksājumu infrastruktūru;
  • finanšu vienības, kas nodrošina IKT pakalpojumus citām finanšu iestādēm;
  • uzņēmumi, kas ietilpst finanšu vienības grupā un nodrošina IKT pakalpojumus to mātes uzņēmumiem, meitas uzņēmumiem vai filiālēm.

Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā. Tiesību aktu projekti

DORA noteiktā regulējuma ietvars

DORA prasības ir sadalītas piecos blokos, un tās detalizēti nosaka regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS).

IKT riska pārvaldības ietvara RTS nosaka vienotas prasības IKT riska pārvaldības sistēmas pilnveidei. Tehniskais standarts detalizēti nosaka rīkus, metodes, procesus un politikas, tostarp vienkāršoto risku pārvaldības režīmu mazākiem subjektiem. Prasības paredz, ka tirgus dalībniekam ir jānodrošina vadības līmeņa iesaiste un uzraudzība, jāveido IKT aktīvu reģistri, incidentu reģistri, jāveic apdraudējumu analīze un jānosaka kritiskās sistēmas, kā arī jāizstrādā noturības plāni un atjaunošanas procedūras.

IKT incidentu ziņošanas RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu. Būtisku incidentu ziņošana (RTS 2025/301) paredz, kas jāiekļauj sākotnējā, starpposma un galīgajā ziņojumā. Incidentu ziņojumu specifikācijas (ITS 2025/302) definē standarta veidnes, formas un procedūras incidentu ziņošanai.

IKT riska pārvaldības ietvars

IKT incidentu ziņošana

RTS "Risku pārvaldība"

RTS "Incidentu klasifikācija"
RTS "Būtisku incidentu ziņošana"
ITS "Incidentu ziņojumu saturs un termiņi"
Vadlīnijas IKT radīto zaudējumu aprēķināšanai

Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 19. pantu ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem.

Ziņojumu saturs un veidnes ir noteiktas tehniskajos un īstenošanas standartos (RTS/ITS). Incidentu un kiberdraudu ziņošanai ir izmantojamas atšķirīgas veidnes:

  • saskaņā ar Komisijas 2024. gada 13. marta Deleģēto regulu (ES) 2024/1772, ar ko DORA tiek papildināta attiecībā uz regulatīvajiem tehniskajiem standartiem, kuros precizēti kritēriji ar IKT saistītu incidentu un kiberdraudu klasifikācijai, nosakot būtiskuma robežvērtības un precizējot sīkāku informāciju, kas ietverama ziņojumos par būtiskiem incidentiem;
  • saskaņā ar Komisijas 2024. gada 29. novembra Īstenošanas regulu (ES) 2024/2956, ar ko nosaka īstenošanas tehniskos standartus DORA piemērošanai attiecībā uz standarta veidnēm un procedūrām, kas paredzētas, lai ziņotu par būtiskiem incidentiem un nozīmīgiem kiberdraudiem.

Finanšu iestādes ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem XLSX (Microsoft Excel Open XML) faila formātā saskaņā ar Latvijas Bankas tīmekļvietnē publicētām XLSX failu sagatavēm un tehnisko aprakstu (nemainot abu sagatavju failu darblapu secību un tabulu novietojumu tajās).

Sākotnējā ziņojuma sniegšanas termiņš ir 4 stundas pēc incidenta klasificēšanas un 24 stundas pēc incidenta atklāšanas, 72 stundas paredzētas starpposma ziņošanai un 1 mēnesis gala ziņojuma sniegšanai.

Finanšu iestādes pēc incidenta informācijas ievākšanas, analīzes un klasificēšanas, izmantojot veidnes (Excel fails), sagatavo sākotnējo ziņojumu, kā arī tam sekojošu starpposma ziņojumu un gala ziņojumu un iesniedz tos Latvijas Bankai saskaņā ar noteiktajiem termiņiem.

Iesniedzot starpposma ziņojumu vai noslēguma ziņojumu, veidnē saglabā informāciju, kas iepriekš sniegta sākotnējā ziņojumā vai starpziņojumā. Ja nepieciešams, tad iepriekš iesniegto informāciju attiecīgajās tabulās precizē.

Incidenta ziņojuma veidnes finanšu iestādes var aizpildīt latviešu vai angļu valodā.

Ziņojumā norādīto kontaktpunktu vai darbinieku pieejamība jānodrošina visā incidenta apstrādes cikla laikā.

Ja finanšu iestāde incidenta ziņojumu ir nosūtījusi arī Nacionālās kiberdrošības centram vai ir konsultējusies ar to par incidenta ierobežošanas risinājumiem, sākotnējā ziņojumā ir jāiekļauj atbilstoša informācija.

Ja finanšu iestāde plāno deleģēt vai ir deleģējusi ziņošanas pienākumu trešajai pusei vai IKT piegādātājam, par to vispārējā saziņas kārtībā ir jāpaziņo Latvijas Bankai.

Ziņojumu failu veidnes ir lejupielādējamas šeit:

Faila nosaukuma formāts ir aaa_v_nn_ggggmmdd.xlsx xls, kur:

aaa – faila nosaukuma prefikss:

"DORA_IR" – būtisku incidentu ziņojumiem;

"DORA_CYB" – nozīmīgu kiberdraudu ziņojumiem;

v – iesniegtā incidenta ziņojuma versijas numurs (kiberdraudu ziņojumiem izmanto tikai ''1''), kur:

"1" – sākotnējais;

"2" – starpposma;

"3" – gala ziņojums;

nn – ziņojuma kārtas numurs, ja iesniegšanas dienā ir vairāk nekā viens ziņojums (sastāv no diviem cipariem, piemēram, 01, 02 utt.);

ggggmmdd – incidenta sākotnējā ziņojuma iesniegšanas datums, kur:

gggg – gads;

mm – mēnesis;

dd – diena.

Incidenta ziņojumus iesniedz izmantojot Latvijas Bankas paaugstinātas drošības sistēmu (FAS).

Finanšu vienības, kurām incidenta brīdī nav pieejama sistēma FAS vai kuras to neizmanto, incidenta ziņojumus iesniedz tos nosūtot uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt..

Incidenta ziņojumus var sagatavot latviešu vai angļu valodā.

Nosūtot ziņojumu uz Latvijas Bankas e-pastu Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt. tēmas (subjekta) laukā jānorāda identifikators "ICT incidents_bbb", kur:

bbb – finanšu iestādes nosaukums teksta formā, pilns juridiskais nosaukums

E-pasta konfidencialitātes nodrošināšanai izmanto šifrēšanas rīku CryptShare

DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu tirgus dalībniekiem:

  • operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem ir jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
  • trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz noteikt prasības arī finanšu iestāžu trešo pušu IKT pakalpojumu sniedzējiem;
  • Eiropas pārraudzības ietvars – tas nodrošinās kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos Eiropas vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.

Digitālās noturības testēšana

Trešo pušu IKT piegādātāju risku pārvaldība

Kritisko pakalpojumu sniedzēju pārraudzības ietvars

RTS "Draudu vadītas ielaušanās testēšana"

ITS "Piegādātāju informācijas reģistrs"
RTS "Līgumu prasības attiecībā uz kritiskām funkcijām"
RTS "Prasības apakšuzņēmuma līgumiem"

RTS "Pārraudzības nosacījumu harmonizācija"

DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, nodrošinātu DORA prasību ieviešanu, noteiktu uzraugošo iestādi un tās pienākumus, Latvijā tiek pieņemts Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums. (Normatīvie akti | Finanšu ministrija (fm.gov.lv))

Saskaņā ar DORA prasībām, tirgus dalībniekam izmantojot ar trešo personu saistītu IKT pakalpojumu, tā dzīves ciklā ir nepieciešams veikt šādas darbības:

1. Pirms līguma slēgšanas:

1.1 Identificēt vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju, jeb tādu funkciju,  kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus, tās pakalpojumu nepārtrauktību vai saistību izpildi. Piemēram, maksājumu apstrāde un norēķini, mākoņinfrastruktūra, kas atbalsta pamatpakalpojumu, klientu datu apstrāde un glabāšana, ir uzskatāmi par IKT pakalpojumiem, kas atbalsta kritisku vai svarīgu funkciju. Slēdzot līgumu par šādu pakalpojumu ir papildu prasības.

1.2 Izvērtēt pakalpojuma sniedzēja reputāciju, pieredzi, piedāvātā pakalpojuma kvalitāti un atbilstību regulējuma prasībām, tajā skaitā kiberdrošības un darbības nepārtrauktības spējas (DORA 28(4) pants).

1.3 Identificēt un novērtēt darbības riskus (t.sk. kiberriskus, tehnoloģiskos, ģeopolitiskos, atbilstības riskus) un reputācijas riskus, ko iestādei rada  attiecīgās trešās puses pakalpojuma izmantošana.

2. Līgums un pakalpojuma uzsākšana:

2.1. Noteikt līgumā obligātās prasības (DORA 30. pants). Ja IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas funkcijas, tad līgumā ietver RTS 2024/1773 prasības. Slēdzot līgumu var izmantot standartizētu līguma pielikumu, kas izstrādāts, ņemot vērā regulējuma prasības attiecībā uz noteikta veida pakalpojumiem. Līguma prasības attiecas arī uz tiem IKT pakalpojumiem, kuri tiek izmantoti finanšu grupas ietvaros.

Līgumā atbilstoši pakalpojuma veidam ir jāiekļauj:

  • pakalpojuma apraksts un atbildības sadalījums;
  • pakalpojuma kvalitātes, drošības un nepārtrauktības prasības (SLA);
  • prasības datu apstrādei un aizsardzībai;
  • incidentu risināšana;
  • tiesības uzraudzīt un auditēt TPP;
  • līguma izbeigšanas kārtība un datu atgriešana/iznīcināšana.

2.2 Reģistrēt attiecīgo pakalpojumu iestādes trešo pušu IKT pakalpojumu sniedzēju reģistrā. Iestādei ir jāizveido un jāuztur aktuāls trešo pušu IKT pakalpojumu sniedzēju reģistrs (DORA 28(3). pants), kurā jāiekļauj dati par visu trešo pušu līgumiem. Reģistra struktūru veido ņemot vērā ITS 2024/2956, kā arī var izmantot LB piedāvāto Excel veidni. Iestādes uzturētā reģistra dati pēc pieprasījuma ir jāiesniedz uzraudzības iestādei.

2.3 Savlaicīgi informēt Latvijas Banku, ja paredzēts izmantot tādu IKT pakalpojumu, kas atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Šādu būtisku pakalpojumu izmantošanas gadījumā tirgus dalībnieks savlaicīgi informē uzraudzības iestādi, 30 dienas pirms pakalpojuma  izmantošanas iesniedzot Latvijas Bankai vēstuli ar kuru informē par būtiska pakalpojuma izmantošanu,  pievienojot attiecīgā pakalpojuma aprakstu un risku novērtējumu.

2.4 Izstrādāt un uzturēt pakalpojuma izejas stratēģiju, ja esošais IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Izejas stratēģijā uzņēmums plāno, kā pats varētu nodrošināt attiecīgo pakalpojumu vai kādas ir darbības lai slēgtu līgumu ar citu TPP, ja līgums ar esošo TPP tiek pārtraukts vai vairs nav iespējas saņemt attiecīgo pakalpojumu.

3. IKT pakalpojuma izmantošana:

Tirgus dalībniekam ir pienākums regulāri pārraudzīt pakalpojuma sniedzēja darbību. Iestādei ir jānodrošina nepieciešamās kompetences un resursi, kā arī jāievieš procesi, lai tiktu:

  • saņemta savlaicīga informācija par IKT incidentiem;
  • nodrošināta regulāra pakalpojuma sniegšanas kvalitātes un drošības pārraudzība;
  • periodiski pārskatīts esošais risku novērtējums un savlaicīgi identificēti jauni riski attiecīgā pakalpojuma saņemšanas kontekstā.

Trešo pušu pārvaldības kopsavilkums:

Nepieciešamā darbība

Darbības veikšanas brīdis

Riska novērtējums

Pirms līguma slēgšanas

Due diligence pārbaude

Būtiskiem pakalpojumiem pirms līguma slēgšanas

Līguma minimālo prasību definēšana

Līguma sagatavošanas procesā

Trešo personu reģistra aktualizēšana

Pēc līguma noslēgšanas

Izejas stratēģijas izstrāde

Būtiskiem pakalpojumiem līguma sagatavošanas procesā

Regulatora informēšana

30 dienas pirms pakalpojuma izmantošanas

Regulāra pārraudzība

Pakalpojuma darbības laikā

 

Eiropas uzraudzības iestāžu 2024. gada 8. novembra lēmums par termiņiem un nosacījumiem, kuri informācijas reģistri nacionālajām uzraudzības iestādēm jāsniedz Eiropas uzraudzības iestādēm, lai tās noteiktu īpaši svarīgus IKT trešo pušu pakalpojumu sniedzējus saskaņā ar Digitālās darbības noturības aktu (DORA)

Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 28. panta 3. punktu uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par IKT pakalpojumiem, ko sniedz trešās puses.

Finanšu iestādes informācijas reģistru pirmo reizi Latvijas Bankai iesniedz līdz 2025. gada 15. aprīlim ar 2025. gada 31. marta aktuālajiem datiem. Turpmāk finanšu iestādes reģistru iesniedz katru gadu līdz 1. martam, izmantojot iepriekšējā gada 31. decembra datus.

Individuālas finanšu iestādes informācijas reģistrus iesniedz uzņēmuma līmenī. Grupas uzņēmumi gatavo konsolidēto informācijas reģistru un iesniedz vienu reģistru par visiem grupas uzņēmumiem (DORA subjektiem) konsolidētā līmenī.

Prasības attiecībā uz informācijas reģistru un tā standarta veidnes ir noteiktas Komisijas 2024. gada 29. novembra Īstenošanas regulā (ES) 2024/2956.

Informāciju reģistrā var ievadīt latviešu vai angļu valodā.

Informācijas reģistrs jāiesniedz atbilstoši tehniskajam aprakstam "Latvijas Bankai iesniedzamā DORA informācijas reģistra prasības".

Jautājumi un atbildes par informācijas reģistra sagatavošanu un iesniegšanu.

Eiropas Banku iestāde ir sagatavojusi skaidrojumu par informācijas reģistra veidošanu un pārbaudēm. Reģistra iesniegšanai finanšu iestādes sagatavo nepieciešamos pārskata failus vai izmanto Latvijas Bankas sagatavoto Excel veidni.

Ar tipiskākajām kļūdām un problēmām informācijas reģistra sagatavošanas procesā var iepazīties Eiropas Vērtspapīru un tirgu iestādes publicētajos secinājumos, kas izdarīti pēc reģistru iesniegšanas testa veikšanas.

DORA otrā līmeņa regulējuma kopsavilkums:

Joma

Standarts

IKT risks

RTS 2024/1774

Incidentu klasifikācija

RTS 2024/1772

Incidentu ziņošana

RTS 2025/301, ITS 2025/302

TPP līgumu saturs

RTS 2024/1773

Apakšlīgumi

RTS 2025/532

TPP reģistrs

ITS 2024/2956

TLPT testēšana

RTS 2025/1190

DORA tiek piemērota tiešā veidā, bet, lai dotu tiesisku pamatu uzraudzības veikšanai un noteiktu uzraugošās iestādes un to pienākumus, Finanšu ministrija izstrādā Finanšu tirgus digitālās darbības noturības likumu (skat. Normatīvie akti | Finanšu ministrija (fm.gov.lv); Tiesību aktu projekti).

Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 360 "Informācijas tehnoloģiju un drošības risku pārvaldības noteikumi". Jaunās IKT drošības prasības ir noteiktas DORA regulējumā. Finanšu vienībām, kuras ir ārpus DORA tvēruma, 2025. gadā būs jānodrošina digitālās darbības noturības prasības atbilstoši vienkāršotiem IKT risku pārvaldības noteikumiem. Noteikumus Latvijas Banka plāno izdot pēc atbilstoša deleģējuma saņemšanas.

Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 361 "Noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem". Incidentu ziņošana un pārvaldība pēc 2025. gada 17. janvāra būs jāveic atbilstoši DORA prasībām.

Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.

Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt. vai uzdot jautājumu, izmantojot Eiropas uzraudzības iestāžu resursu "Joint Q&As – EIOPA".

Jautājums. Kādos gadījumos un kā Latvijas Banka plāno izmantot tiesības pieprasīt finanšu iestādēm veikt draudu vadītu ielaušanās testēšanu (threat-led penetration testing; TLPT)?
Atbilde. DORA paredz plašu to finanšu vienību tvērumu, kam uzraugs var pieprasīt testa veikšanu, bet kompetentā iestāde var piemērot izņēmumu, balstoties uz proporcionalitātes principu. TLPT subjekti tiks izraudzīti, vērtējot to IKT pārvaldības un procesu brieduma pakāpi un kritiskumu saistībā ar finanšu sistēmu kopumā, primāri fokusējoties uz sistēmiski nozīmīgiem tirgus dalībniekiem. Par iekļaušanu testēšanā iestādes vadībai tiks savlaicīgi paziņots, lai tā varētu sākt plānošanas procesu un testa vadības komandu formēšanu.

Jautājums. Kā notiks Latvijā reģistrēto finanšu vienību filiāļu uzraudzība?
Atbilde. Kompetentā iestāde filiāļu uzraudzībai ir tās dalībvalsts finanšu tirgus uzraudzības iestāde, kurā reģistrēta mātes finanšu vienība.

Jautājums. Vai pareizi saprotam, ka līdz ar DORA stāšanos spēkā par incidentiem vairs nebūs jāziņo Eiropas Centrālajai bankai, bet tikai Latvijas Bankai?
Atbilde. Finanšu vienības, kas par nozīmīgiem incidentiem ziņoja Eiropas Centrālajai bankai, turpmāk ziņos Latvijas Bankai.

Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).

Jautājums. Vai, turpinot pilnveidot Finanšu tirgus digitālās darbības noturības likumu, ir plānots pārskatīt to finanšu vienību sarakstu, kurām piemēro vienkāršotas digitālās darbības noturības prasības, lai salāgotu prasības starp Baltijas valstīm, proti, neuzliktu atsevišķām finanšu vienībām stingrākas prasības?
Atbilde. Ir ierosināts vienkāršotas digitālās darbības noturības prasības piemērot finanšu vienībām, kuras ir ārpus DORA regulējuma. Nacionālā līmenī DORA tvērumu var paplašināt vai sašaurināt tikai attiecībā uz atsevišķām tirgus dalībnieku kategorijām, piemēram, krājaizdevu sabiedrībām. Attiecībā uz citiem tirgus segmentiem šādas iespējas nav.

Jautājums. Vai sanāk, ka nebanku kreditētāji (ātrie kredīti) nav nedz DORA, nedz NIS2 (Nacionālās kiberdrošības likuma) subjekti?
Atbilde. Nebanku kreditētāju licencēšanu un uzraudzību veic Patērētāju tiesību aizsardzības centrs. Lai noskaidrotu statusu attiecībā uz Nacionālās kiberdrošības likuma prasībām, iespējams izmantot interaktīvo rīku "NKDL tests".

Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas.
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.

Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.

Pašreizējais ar DORA saistīto regulatīvo dokumentu statuss

Finanšu tirgus digitālā pārveide un digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:

  • organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
  • jaunu, nepārbaudītu tehnoloģiju testēšana;
  • darbinieku pieredzes un zināšanu trūkums;
  • novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
  • pārrobežu sadarbība ar piegādātājiem.

Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldības kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.

Šādas risku kultūras stūrakmens ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās pārveides projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un uzraudzību atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās pārveides iniciatīvas.

Risku pārvaldības kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērtēt tehnoloģiju iespējas un riskus.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Efektīva risku pārvaldība un atbilstošas riska apetītes noteikšana var palīdzēt līdzsvarot attīstību un ierobežot iespējamos zaudējumus.


Uzraudzība