IKT drošība un kiberriski

Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā (skat. Threat Landscape — ENISA) aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:

• draudi pieejamībai (pakalpojumatteices uzbrukumi jeb DDoS) un izspiedējvīrusi – vieni no aktuālākajiem draudiem arī 2024. gadā;
• Living Off Trusted Sites (LOTS) – kibernoziedznieki paplašina savas slēptās aktivitātes mākoņpakalpojumu platformās, izmantojot uzticamas vietnes un likumīgus pakalpojumus, lai izvairītos no atklāšanas un maskētu savas aktivitātes, noformējot tās kā parastu tīkla datu plūsmu vai nevainīgus ziņojumus tādās platformās kā Slack un Telegram;
• ģeopolitika – aizvien spēcīgs kibernoziegumu veicinātājs;
• straujš biznesa e-pasta kompromitēšanas (BEC) incidentu pieaugums;
• izspiešana, izmantojot informācijas ziņošanas un atklāšanas prasības – uzņēmumi tiek spiesti izpildīt izspiešanas prasības pirms noteiktā ziņošanas termiņa, lai novērstu informācijas noplūdi;
• mākslīgā intelekta rīki – kibernoziedznieki izmanto tādus rīkus kā FraudGPT un lielo valodu modeļi, lai veidotu krāpnieciskus e-pasta sūtījumus un ģenerētu ļaunprātīgus PowerShell skriptus;
• haktīvistu pārklāšanās ar valsts sponsorētām kibernoziedznieku grupām – novērojama pieaugoša līdzības starp abām grupām tendence;
• mobilo banku ļaunatūras pieaugums un vienlaicīgs uzbrukuma vektoru sarežģītības pieaugums;
• ļaunprātīga programmatūra kā pakalpojums (MaaS) – nozīmīgs un strauji attīstīts drauds, īpaši kopš 2023. gada vidus;
• aizvien vairāk izplatīta trešo pušu kompromitēšana, izmantojot sociālo inženieriju;
• datu kompromitēšana, kas 2024. gadā palielinājusies un liecina par šīs tendences turpmāku saglabāšanos;
• DDoS uzbrukumi pēc pieprasījuma, kas ļauj lielus uzbrukumus veikt neapmācītiem lietotājiem;
• informācijas manipulācija – joprojām galvenais elements Krievijas agresijas karā pret Ukrainu. Novērojami mēģinājumi lokalizēt saturu un vienlaikus globalizēt savu klātbūtni;
• pieaugoši mākslīgā intelekta atbalstītas informācijas manipulācijas draudi, piemēram, eksperimentējot ar mākslīgo intelektu informācijas manipulācijai, lai novērtētu tehnoloģiju iespējas.

DORA 2. panta 1. punkts nosaka finanšu vienību kategorijas, kurām piemērojama DORA. Atbilstoši tiesību akta projekta Nr. 24-TA-2371 "Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums" definīcijām Latvijas Banka ir identificējusi un sarakstā apkopojusi finanšu vienības, uz kurām attiecas DORA prasības.

Vēršam uzmanību, ka saraksts var mainīties minētā likumprojekta virzības gaitā.

Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus, ievērojot ieviešanas tehniskos standartus, piemēram:

• mākoņdatošanas pakalpojumu sniedzēji;
• programmatūras piegādātāji, izstrādātāji un tās atbalsts;
• IKT projektu vadība un konsultācijas;
• IKT drošības, risku un darbības pārvaldība;
• IKT infrastruktūra, fiziskās iekārtas, telpas, datu glabāšanas platformas;
• sakaru pakalpojumu sniedzēji, sistēmas un tīkli;
• datu analīzes pakalpojumu sniedzēji;
• datu centru pakalpojumu sniedzēji;
• maksājumu pakalpojumu ekosistēmas dalībnieki, kas nodrošina maksājumu apstrādi vai uztur maksājumu infrastruktūru;
• finanšu vienības, kas nodrošina IKT pakalpojumus citām finanšu iestādēm;
• uzņēmumi, kas ietilpst finanšu vienības grupā un nodrošina IKT pakalpojumus to mātes uzņēmumiem, meitas uzņēmumiem vai filiālēm.

Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā. Tiesību aktu projekti

Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 19. pantu ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem.

Ziņojumu saturs un veidnes ir noteiktas tehniskajos un īstenošanas standartos (RTS/ITS). Incidentu un kiberdraudu ziņošanai ir izmantojamas atšķirīgas veidnes:

• saskaņā ar Komisijas 2024. gada 13. marta Deleģēto regulu (ES) 2024/1772, ar ko DORA tiek papildināta attiecībā uz regulatīvajiem tehniskajiem standartiem, kuros precizēti kritēriji ar IKT saistītu incidentu un kiberdraudu klasifikācijai, nosakot būtiskuma robežvērtības un precizējot sīkāku informāciju, kas ietverama ziņojumos par būtiskiem incidentiem;
• saskaņā ar Komisijas 2024. gada 29. novembra Īstenošanas regulu (ES) 2024/2956, ar ko nosaka īstenošanas tehniskos standartus DORA piemērošanai attiecībā uz standarta veidnēm un procedūrām, kas paredzētas, lai ziņotu par būtiskiem incidentiem un nozīmīgiem kiberdraudiem.

Finanšu iestādes ziņo Latvijas Bankai par būtiskiem ar IKT saistītiem incidentiem un nozīmīgiem kiberdraudiem XLSX (Microsoft Excel Open XML) faila formātā saskaņā ar Latvijas Bankas tīmekļvietnē publicētām XLSX failu sagatavēm un tehnisko aprakstu (nemainot abu sagatavju failu darblapu secību un tabulu novietojumu tajās).

Sākotnējā ziņojuma sniegšanas termiņš ir 4 stundas pēc incidenta klasificēšanas un 24 stundas pēc incidenta atklāšanas, 72 stundas paredzētas starpposma ziņošanai un 1 mēnesis gala ziņojuma sniegšanai.

Finanšu iestādes pēc incidenta informācijas ievākšanas, analīzes un klasificēšanas, izmantojot veidnes (Excel fails), sagatavo sākotnējo ziņojumu, kā arī tam sekojošu starpposma ziņojumu un gala ziņojumu un iesniedz tos Latvijas Bankai saskaņā ar noteiktajiem termiņiem.

Iesniedzot starpposma ziņojumu vai noslēguma ziņojumu, veidnē saglabā informāciju, kas iepriekš sniegta sākotnējā ziņojumā vai starpziņojumā. Ja nepieciešams, tad iepriekš iesniegto informāciju attiecīgajās tabulās precizē.

Incidenta ziņojuma veidnes finanšu iestādes var aizpildīt latviešu vai angļu valodā.

Ziņojumā norādīto kontaktpunktu vai darbinieku pieejamība jānodrošina visā incidenta apstrādes cikla laikā.

Ja finanšu iestāde incidenta ziņojumu ir nosūtījusi arī Nacionālās kiberdrošības centram vai ir konsultējusies ar to par incidenta ierobežošanas risinājumiem, sākotnējā ziņojumā ir jāiekļauj atbilstoša informācija.

Ja finanšu iestāde plāno deleģēt vai ir deleģējusi ziņošanas pienākumu trešajai pusei vai IKT piegādātājam, par to vispārējā saziņas kārtībā ir jāpaziņo Latvijas Bankai.

Ziņojumu failu veidnes ir lejupielādējamas šeit:

• Būtiska incidenta ziņojuma veidne
• Nozīmīgu kiberdraudu ziņojuma veidne

Faila nosaukuma formāts ir aaa_v_nn_ggggmmdd.xlsx xls, kur:

aaa – faila nosaukuma prefikss:

"DORA_IR" – būtisku incidentu ziņojumiem;

"DORA_CYB" – nozīmīgu kiberdraudu ziņojumiem;

v – iesniegtā incidenta ziņojuma versijas numurs (kiberdraudu ziņojumiem izmanto tikai ''1''), kur:

"1" – sākotnējais;

"2" – starpposma;

"3" – gala ziņojums;

nn – ziņojuma kārtas numurs, ja iesniegšanas dienā ir vairāk nekā viens ziņojums (sastāv no diviem cipariem, piemēram, 01, 02 utt.);

ggggmmdd – incidenta sākotnējā ziņojuma iesniegšanas datums, kur:

gggg – gads;

mm – mēnesis;

dd – diena.

Incidenta ziņojumus iesniedz izmantojot Latvijas Bankas paaugstinātas drošības sistēmu (FAS).

Finanšu vienības, kurām incidenta brīdī nav pieejama sistēma FAS vai kuras to neizmanto, incidenta ziņojumus iesniedz tos nosūtot uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt..

Incidenta ziņojumus var sagatavot latviešu vai angļu valodā.

Nosūtot ziņojumu uz Latvijas Bankas e-pastu Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt. tēmas (subjekta) laukā jānorāda identifikators "ICT incidents_bbb", kur:

bbb – finanšu iestādes nosaukums teksta formā, pilns juridiskais nosaukums

E-pasta konfidencialitātes nodrošināšanai izmanto šifrēšanas rīku CryptShare. 

Saskaņā ar DORA prasībām, tirgus dalībniekam izmantojot ar trešo personu saistītu IKT pakalpojumu, tā dzīves ciklā ir nepieciešams veikt šādas darbības:

1. Pirms līguma slēgšanas:

1.1 Identificēt vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju, jeb tādu funkciju,  kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus, tās pakalpojumu nepārtrauktību vai saistību izpildi. Piemēram, maksājumu apstrāde un norēķini, mākoņinfrastruktūra, kas atbalsta pamatpakalpojumu, klientu datu apstrāde un glabāšana, ir uzskatāmi par IKT pakalpojumiem, kas atbalsta kritisku vai svarīgu funkciju. Slēdzot līgumu par šādu pakalpojumu ir papildu prasības.

1.2 Izvērtēt pakalpojuma sniedzēja reputāciju, pieredzi, piedāvātā pakalpojuma kvalitāti un atbilstību regulējuma prasībām, tajā skaitā kiberdrošības un darbības nepārtrauktības spējas (DORA 28(4) pants).

1.3 Identificēt un novērtēt darbības riskus (t.sk. kiberriskus, tehnoloģiskos, ģeopolitiskos, atbilstības riskus) un reputācijas riskus, ko iestādei rada  attiecīgās trešās puses pakalpojuma izmantošana.

2. Līgums un pakalpojuma uzsākšana:

2.1. Noteikt līgumā obligātās prasības (DORA 30. pants). Ja IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas funkcijas, tad līgumā ietver RTS 2024/1773 prasības. Slēdzot līgumu var izmantot standartizētu līguma pielikumu, kas izstrādāts, ņemot vērā regulējuma prasības attiecībā uz noteikta veida pakalpojumiem. Līguma prasības attiecas arī uz tiem IKT pakalpojumiem, kuri tiek izmantoti finanšu grupas ietvaros.

Līgumā atbilstoši pakalpojuma veidam ir jāiekļauj:

• pakalpojuma apraksts un atbildības sadalījums;
• pakalpojuma kvalitātes, drošības un nepārtrauktības prasības (SLA);
• prasības datu apstrādei un aizsardzībai;
• incidentu risināšana;
• tiesības uzraudzīt un auditēt TPP;
• līguma izbeigšanas kārtība un datu atgriešana/iznīcināšana.

2.2 Reģistrēt attiecīgo pakalpojumu iestādes trešo pušu IKT pakalpojumu sniedzēju reģistrā. Iestādei ir jāizveido un jāuztur aktuāls trešo pušu IKT pakalpojumu sniedzēju reģistrs (DORA 28(3). pants), kurā jāiekļauj dati par visu trešo pušu līgumiem. Reģistra struktūru veido ņemot vērā ITS 2024/2956, kā arī var izmantot LB piedāvāto Excel veidni. Iestādes uzturētā reģistra dati pēc pieprasījuma ir jāiesniedz uzraudzības iestādei.

2.3 Savlaicīgi informēt Latvijas Banku, ja paredzēts izmantot tādu IKT pakalpojumu, kas atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Šādu būtisku pakalpojumu izmantošanas gadījumā tirgus dalībnieks savlaicīgi informē uzraudzības iestādi, 30 dienas pirms pakalpojuma  izmantošanas iesniedzot Latvijas Bankai vēstuli ar kuru informē par būtiska pakalpojuma izmantošanu,  pievienojot attiecīgā pakalpojuma aprakstu un risku novērtējumu.

2.4 Izstrādāt un uzturēt pakalpojuma izejas stratēģiju, ja esošais IKT pakalpojums atbalsta kritiski svarīgas vai svarīgas iestādes funkcijas. Izejas stratēģijā uzņēmums plāno, kā pats varētu nodrošināt attiecīgo pakalpojumu vai kādas ir darbības lai slēgtu līgumu ar citu TPP, ja līgums ar esošo TPP tiek pārtraukts vai vairs nav iespējas saņemt attiecīgo pakalpojumu.

3. IKT pakalpojuma izmantošana:

Tirgus dalībniekam ir pienākums regulāri pārraudzīt pakalpojuma sniedzēja darbību. Iestādei ir jānodrošina nepieciešamās kompetences un resursi, kā arī jāievieš procesi, lai tiktu:

• saņemta savlaicīga informācija par IKT incidentiem;
• nodrošināta regulāra pakalpojuma sniegšanas kvalitātes un drošības pārraudzība;
• periodiski pārskatīts esošais risku novērtējums un savlaicīgi identificēti jauni riski attiecīgā pakalpojuma saņemšanas kontekstā.

Trešo pušu pārvaldības kopsavilkums:

Eiropas uzraudzības iestāžu 2024. gada 8. novembra lēmums par termiņiem un nosacījumiem, kuri informācijas reģistri nacionālajām uzraudzības iestādēm jāsniedz Eiropas uzraudzības iestādēm, lai tās noteiktu īpaši svarīgus IKT trešo pušu pakalpojumu sniedzējus saskaņā ar Digitālās darbības noturības aktu (DORA)

Finanšu iestādes, kurām piemēro DORA noteiktās prasības, saskaņā ar DORA 28. panta 3. punktu uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par IKT pakalpojumiem, ko sniedz trešās puses.

Finanšu iestādes informācijas reģistru pirmo reizi Latvijas Bankai iesniedz līdz 2025. gada 15. aprīlim ar 2025. gada 31. marta aktuālajiem datiem. Turpmāk finanšu iestādes reģistru iesniedz katru gadu līdz 1. martam, izmantojot iepriekšējā gada 31. decembra datus.

Individuālas finanšu iestādes informācijas reģistrus iesniedz uzņēmuma līmenī. Grupas uzņēmumi gatavo konsolidēto informācijas reģistru un iesniedz vienu reģistru par visiem grupas uzņēmumiem (DORA subjektiem) konsolidētā līmenī.

Prasības attiecībā uz informācijas reģistru un tā standarta veidnes ir noteiktas Komisijas 2024. gada 29. novembra Īstenošanas regulā (ES) 2024/2956.

Informāciju reģistrā var ievadīt latviešu vai angļu valodā.

Informācijas reģistrs jāiesniedz atbilstoši tehniskajam aprakstam "Latvijas Bankai iesniedzamā DORA informācijas reģistra prasības".

Jautājumi un atbildes par informācijas reģistra sagatavošanu un iesniegšanu.

Eiropas Banku iestāde ir sagatavojusi skaidrojumu par informācijas reģistra veidošanu un pārbaudēm. Reģistra iesniegšanai finanšu iestādes sagatavo nepieciešamos pārskata failus vai izmanto Latvijas Bankas sagatavoto Excel veidni.

Ar tipiskākajām kļūdām un problēmām informācijas reģistra sagatavošanas procesā var iepazīties Eiropas Vērtspapīru un tirgu iestādes publicētajos secinājumos, kas izdarīti pēc reģistru iesniegšanas testa veikšanas.

DORA tiek piemērota tiešā veidā, bet, lai dotu tiesisku pamatu uzraudzības veikšanai un noteiktu uzraugošās iestādes un to pienākumus, Finanšu ministrija izstrādā Finanšu tirgus digitālās darbības noturības likumu (skat. Normatīvie akti | Finanšu ministrija (fm.gov.lv); Tiesību aktu projekti).

Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 360 "Informācijas tehnoloģiju un drošības risku pārvaldības noteikumi". Jaunās IKT drošības prasības ir noteiktas DORA regulējumā. Finanšu vienībām, kuras ir ārpus DORA tvēruma, 2025. gadā būs jānodrošina digitālās darbības noturības prasības atbilstoši vienkāršotiem IKT risku pārvaldības noteikumiem. Noteikumus Latvijas Banka plāno izdot pēc atbilstoša deleģējuma saņemšanas.

Līdz 2025. gada 17. janvārim ir spēkā Latvijas Bankas 2024. gada 2. decembra noteikumi Nr. 361 "Noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem". Incidentu ziņošana un pārvaldība pēc 2025. gada 17. janvāra būs jāveic atbilstoši DORA prasībām.

Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.

Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt. vai uzdot jautājumu, izmantojot Eiropas uzraudzības iestāžu resursu "Joint Q&As – EIOPA".

Jautājums. Kādos gadījumos un kā Latvijas Banka plāno izmantot tiesības pieprasīt finanšu iestādēm veikt draudu vadītu ielaušanās testēšanu (threat-led penetration testing; TLPT)?
Atbilde. DORA paredz plašu to finanšu vienību tvērumu, kam uzraugs var pieprasīt testa veikšanu, bet kompetentā iestāde var piemērot izņēmumu, balstoties uz proporcionalitātes principu. TLPT subjekti tiks izraudzīti, vērtējot to IKT pārvaldības un procesu brieduma pakāpi un kritiskumu saistībā ar finanšu sistēmu kopumā, primāri fokusējoties uz sistēmiski nozīmīgiem tirgus dalībniekiem. Par iekļaušanu testēšanā iestādes vadībai tiks savlaicīgi paziņots, lai tā varētu sākt plānošanas procesu un testa vadības komandu formēšanu.

Jautājums. Kā notiks Latvijā reģistrēto finanšu vienību filiāļu uzraudzība?
Atbilde. Kompetentā iestāde filiāļu uzraudzībai ir tās dalībvalsts finanšu tirgus uzraudzības iestāde, kurā reģistrēta mātes finanšu vienība.

Jautājums. Vai pareizi saprotam, ka līdz ar DORA stāšanos spēkā par incidentiem vairs nebūs jāziņo Eiropas Centrālajai bankai, bet tikai Latvijas Bankai?
Atbilde. Finanšu vienības, kas par nozīmīgiem incidentiem ziņoja Eiropas Centrālajai bankai, turpmāk ziņos Latvijas Bankai.

Jautājums. Cik tālu DORA prasības trešo pušu IKT pakalpojumu sniedzējiem attiecināmas uz programmatūras licenču distributoriem? Virkne prasību, mūsuprāt, nav īsti piemērojamas, jo distributors neveic nekādu finanšu institūcijas datu apstrādi, kā arī distributora esamība vai neesamība nekādi neietekmē pašas programmatūras darbību.
Atbilde. Ieviešanas tehniskie standarti par informācijas reģistru nosaka prasības līgumiem, kas jāreģistrē trešo pušu IKT reģistrā. Prasība ir pamatota ar informācijas nepieciešamību kritisko IKT piegādātāju noteikšanai un uzraudzībai Eiropas Savienības līmenī. Informācijas reģistrā ir jābūt informācijai par programmatūras licencēm. Lai atbildētu uz jautājumu, vai licenču distributors ir IKT pakalpojumu sniedzējs, jāvērtē saistības, ko nosaka attiecīgais piegādes līgums. Aicinām iepazīties ar Eiropas Vērtspapīru un tirgu iestādes skaidrojumu (skat. ESMA_QA_2103).

Jautājums. Vai, turpinot pilnveidot Finanšu tirgus digitālās darbības noturības likumu, ir plānots pārskatīt to finanšu vienību sarakstu, kurām piemēro vienkāršotas digitālās darbības noturības prasības, lai salāgotu prasības starp Baltijas valstīm, proti, neuzliktu atsevišķām finanšu vienībām stingrākas prasības?
Atbilde. Ir ierosināts vienkāršotas digitālās darbības noturības prasības piemērot finanšu vienībām, kuras ir ārpus DORA regulējuma. Nacionālā līmenī DORA tvērumu var paplašināt vai sašaurināt tikai attiecībā uz atsevišķām tirgus dalībnieku kategorijām, piemēram, krājaizdevu sabiedrībām. Attiecībā uz citiem tirgus segmentiem šādas iespējas nav.

Jautājums. Vai sanāk, ka nebanku kreditētāji (ātrie kredīti) nav nedz DORA, nedz NIS2 (Nacionālās kiberdrošības likuma) subjekti?
Atbilde. Nebanku kreditētāju licencēšanu un uzraudzību veic Patērētāju tiesību aizsardzības centrs. Lai noskaidrotu statusu attiecībā uz Nacionālās kiberdrošības likuma prasībām, iespējams izmantot interaktīvo rīku "NKDL tests".

Jautājums. Lūdzam precizēt, vai esam pareizi sapratuši, ka būtu jāpārjauno (jāgroza) esošie IKT pakalpojumu līgumi, kas atbalsta kritiskas vai svarīgas funkcijas, proti, nebūtu jāgroza vai jāpārjauno visi esošie IKT pakalpojumu līgumi, bet tikai tie, kas atbalsta kritiskas vai svarīgas funkcijas.
Atbilde. IKT līgumos, kas atbalsta kritiskas un būtiskas funkcijas, ir jāiekļauj obligātie nosacījumi atbilstoši Komisijas 2024. gada 13. marta Deleģētās regulas (ES) 2024/1773, ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, sīkāk precizējot politikas detalizēto saturu saistībā ar līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, prasībām, un jāizveido un jāievieš atbilstoša pārvaldības politika. Šādu līgumu izvērtēšana un pārjaunošana ir prioritāra atbilstības nodrošināšanai.

Attiecībā uz pārējiem IKT līgumiem ir jāvērtē to atbilstība ar trešo personu saistītu IKT risku pārvaldības principiem un saistītajiem riskiem (DORA 28. pants). Nepieciešamības gadījumā arī šajos līgumos jāveic izmaiņas, piemēram, lai nodrošinātu auditēšanas tiesības, piekrišanu sadarbībai ar kompetentajām iestādēm un prasības, kas minētas DORA 30. panta 1. un 2. punktā par svarīgākajiem līguma noteikumiem.

Finanšu tirgus digitālā pārveide un digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:

• organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
• jaunu, nepārbaudītu tehnoloģiju testēšana;
• darbinieku pieredzes un zināšanu trūkums;
• novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
• pārrobežu sadarbība ar piegādātājiem.

Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldības kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.

Šādas risku kultūras stūrakmens ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās pārveides projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un uzraudzību atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās pārveides iniciatīvas.

Risku pārvaldības kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērtēt tehnoloģiju iespējas un riskus.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Efektīva risku pārvaldība un atbilstošas riska apetītes noteikšana var palīdzēt līdzsvarot attīstību un ierobežot iespējamos zaudējumus.