VIEDOKĻI
>
Par Latviju. Par Tevi Latvijā.
TĒMAS
Arnis Šinka
Finanšu un kapitāla tirgus komisijas Finanšu inovāciju departamenta galvenais informācijas sistēmu auditors
14. jūlijā, 2021
Lasīšanai: 7 minūtes
RUBRIKA: Viedoklis
TĒMA: Eiropas Savienība
3
3

Top regulējums ES finanšu sektora digitālās darbības noturības stiprināšanai

Publicitātes attēls

Eiropas Savienībā (ES) top jauns regulējums finanšu sektora digitālās darbības noturības stiprināšanai, kas būs jāievēro plašam finanšu institūciju lokam. Kādas informācijas un komunikācijas tehnoloģiju (IKT) riska pārvaldības prasības tas paredzēs, un par ko finanšu pakalpojumu nozares uzņēmumiem jādomā jau tagad?

īsumā
  • Digitālās darbības noturības regulas projekts (DORA) ir daļa no Eiropas Komisijas digitālās finanšu stratēģijas, kas attieksies uz ļoti plašu finanšu institūciju loku.
  • DORA noteiks vairākas papildu prasības ziņošanai par incidentiem, drošības testēšanai un trešo pušu pakalpojumu (tostarp mākoņpakalpojumu sniedzēju) pārvaldībai.
  • DORA regulējums pašlaik tiek virzīts, izmantojot ES likumdošanas procedūru, un, iespējams, būs nelielas izmaiņas, pirms jaunais regulējums tiks pabeigts un stāsies spēkā.
  • Finanšu sektora dalībnieki tiek aicināti Inovāciju centrā saņemt bezmaksas FKTK ekspertu konsultāciju.

Eiropas Komisija 2020. gada septembrī publicēja Digitālās darbības noturības regulas projektu jeb DORA (Digital Operational Resilience Act). DORA ir daļa no Eiropas Komisijas digitālās finanšu stratēģijas, kuras mērķis ir atbalstīt digitālo finanšu attīstību, vienlaikus mazinot saistītos riskus. Likumdošanas priekšlikums balstās uz pašreizējām IKT riska pārvaldības prasībām, kuras jau izstrādājušas citas ES iestādes, kā arī tas vienotā regulējumā sasaista vairākas nesenās ES iniciatīvas ziņošanai par IKT incidentiem, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai, lai izveidotu saskaņotu pieeju visā ES finanšu pakalpojumu nozarē.

DORA attieksies uz ļoti plašu finanšu institūciju loku, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu un ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, alternatīvo ieguldījumu fondu pārvaldniekiem, apdrošināšanas un pārapdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, kolektīvās finansēšanas pakalpojumu sniedzējiem. Svarīgi ir tas, ka DORA noteiks vairākas papildu prasības ziņošanai par incidentiem, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai. Pēc DORA ieviešanas arī kritisko IT trešo pušu pakalpojumu sniedzēji, tostarp mākoņpakalpojumu sniedzēji, pirmo reizi nonāks Eiropas uzraudzības iestāžu pārraudzībā un ES iestādes varēs arī uzlikt ievērojamus sodus IKT pakalpojumu sniedzējam par neatbilstību.

DORA prasības var sadalīt četros virzienos.

  • IKT risku pārvaldība. Šis virziens ietver IKT risku pārvaldības likumu prasību harmonizēšanu, balstoties uz vienotām vadlīnijām, piemēram, Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.
  • Ziņošana par IKT incidentiem. Šis virziens paredz harmonizēt ietvaru ziņošanai par incidentiem, tostarp arī incidentu klasifikācijas un ziņošanas prasības. Tas sniegs finanšu iestādēm un regulatoriem labāku priekšstatu par jauniem riskiem, apdraudējumiem un spēju apmainīties ar informāciju.
  • Trešo pušu IKT pakalpojumu sniedzēju risku pārvaldība. Šis virziens paredz pakļaut regulatorajām prasībām arī trešo pušu kritisko IKT pakalpojumu sniedzējus.
  • Operacionālās noturības testēšana. Šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot riskos bāzētu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst organizācijas lielumam, biznesa un riska profilam.

Finanšu tirgus dalībniekiem ir jānovērtē, vai to pašreizējā sistēma un procesi atbilst paplašinātajam regulējumam, un attiecīgi jāplāno darbības, lai reaģētu uz galvenajām prasību jomām.

  • Digitālās operacionālās noturības testēšanas prasību harmonizācija un standartizācija – uzņēmumiem jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, ievērojot riskos bāzētu pieeju.
  • Organizācijām jāpārskata procesi, kā tiek ziņots par incidentiem, īpaši tie, kas attiecas uz incidentu identificēšanu, klasifikāciju, cēloņu analīzi un ziņošanu. Tas ļaus izprast, kas pilnveidojams, lai šie procesi atbilstu regulējumam un industrijas labajai praksei.
  • Organizācijām jānovērtē trešo pušu sniegtie pakalpojumi un jānosaka, vai tie uzskatāmi par kritiskiem un jāpakļauj papildu pārvaldības un pārraudzības prasībām.
  • Nozīmīgām finanšu organizācijām jāpārskata savu operacionālās noturības testēšanas procedūru tvērums, iekļaujot draudu vadītu ielaušanās testu ietvaru atbilstoši DORA piedāvātajam regulējumam; tas nepieciešams, lai identificētu testēšanas ietvaru nepilnības.

DORA regulējums pašlaik tiek virzīts, izmantojot ES likumdošanas procedūru, un, iespējams, būs nelielas izmaiņas, pirms jaunais regulējums tiks pabeigts un stāsies spēkā.

DORA galīgā versija ir gaidāma nākamajos 18 mēnešos. Tomēr jau tagad ir svarīgi, lai finanšu iestāžu un IKT pakalpojumu sniedzēji būtu informēti par normatīvā regulējuma būtiskākajām izmaiņām, kas skar uzņēmumu digitālo operacionālo noturību jeb digital operational resilience.

Uzņēmumiem jau tagad jāsāk vērtēt, kā jaunais regulējums ietekmēs to IKT riska vadības sistēmu, un jāplāno nepieciešamie pasākumi, lai izpildītu DORA regulu.

Viens no Finanšu un kapitāla tirgus komisijas (FKTK) uzdevumiem ir radīt inovatīvu un draudzīgu vidi finanšu pakalpojumu sektorā, tostarp veicot IT drošības uzraudzības pasākumus, risku regulāciju un izvērtēšanu. Līdz ar jaunu tehnoloģiju attīstību un ieviešanu parādās jauna veida kiberriski. Lai nodrošinātu patērētajiem finanšu pakalpojumu sniegšanas nepārtrauktību, iepriekš ir jārūpējas par IKT drošību organizācijā.

Bezmaksas konsultācijas finanšu sektora dalībniekiem

Aicinām finanšu sektora dalībniekus Inovāciju centrā saņemt bezmaksas FKTK ekspertu konsultāciju. Inovācijas centrs ir īpašs kontaktpunkts, kurā gan pašreizējie tirgus dalībnieki, gan jaunie finanšu uzņēmumi var uzdot jautājumus par IKT drošību un risku pārvaldību un saņemt ieteikumus par atbilstību normatīvajiem aktiem un prasībām. Inovāciju centra atbalsta komandu veido FKTK eksperti, kas specializējušies dažādu finanšu tiesību normu pārzināšanā un to interpretācijā saistībā ar inovatīvu finanšu pakalpojumu risinājumiem un IT jautājumiem. Pieteikties tiešsaistes konsultācijai var pa tālruni 6 7774800 vai sūtot jautājumus uz e-pasta adresi fintech@fktk.lv.

Labs saturs
3
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI
LIETOTĀJU IEVĒRĪBAI
Informējam, ka šajā tīmekļa vietnē tiek izmantotas sīkdatnes. Turpinot lietot LV portālu, jūs piekrītat sīkdatņu izmantošanai. Uzzināt vairāk
SAPRATU