​Skaitmeninės veiklos atsparumo aktas (DORA)

  • Published on Apr 15, 2025
Prev Next

Kas yra DORA?

Skaitmeninės veiklos atsparumo aktas (DORA) yra Europos Sąjungos reglamentas, skirtas stiprinti finansų sektoriaus skaitmeninį atsparumą. Jis įsigaliojo 2023 m. sausio 16 d. ir bus taikomas nuo 2025 m. sausio 17 d. Pagrindinis DORA tikslas – užtikrinti, kad finansų įstaigos galėtų atlaikyti, reaguoti į ir atsigauti po informacinių ir ryšių technologijų (IRT) sutrikimų ir grėsmių.

Lietuvos Banko straipsnis norint plačiau susipažinti - Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (DORA) | Lietuvos bankas

Pagrindiniai DORA tikslai?

  1. IRT rizikos valdymo harmonizavimas: DORA nustato vienodus reikalavimus IRT rizikos valdymui visose ES valstybėse narėse, taip pašalindamas nenuoseklumus ir užtikrindamas standartizuotą požiūrį į skaitmeninį atsparumą finansų sektoriuje. ​

  2. Trečiųjų šalių paslaugų teikėjų priežiūros stiprinimas: Reglamentas įveda priežiūros sistemą kritiniams IRT trečiųjų šalių paslaugų teikėjams, užtikrindamas, kad išorinės įmonės, teikiančios svarbias skaitmenines paslaugas finansų institucijoms, atitiktų griežtus atsparumo standartus. ​

  3. Išsamus incidentų ataskaitų teikimas: Finansų įstaigos privalo įdiegti veiksmingus mechanizmus didelių su IRT susijusių incidentų aptikimui, valdymui ir pranešimui kompetentingoms institucijoms, taip palengvinant greitą reagavimą ir galimų sisteminių rizikų mažinimą.

Taikymo sritis

DORA taikomas plačiam finansų įstaigų spektrui ES, įskaitant, bet neapsiribojant:​

  • Bankus ir kredito įstaigas​

  • Draudimo bendroves​

  • Investicines įmones​

  • Mokėjimo įstaigas​

  • Kriptoturto paslaugų teikėjus​

  • Valdymo įmones​

  • Prekybos duomenų saugyklas​

Be to, IRT trečiųjų šalių paslaugų teikėjai, teikiantys paslaugas šioms finansų įstaigoms, patenka į DORA reguliavimo sritį, ypač jei jie pripažįstami kaip kritiniai.

Pagrindiniai DORA komponentai

  1. IRT rizikos valdymo sistema: Finansų įstaigos privalo sukurti ir palaikyti išsamią IRT rizikos valdymo sistemą, apimančią identifikavimo, apsaugos, aptikimo, reagavimo ir atkūrimo priemones. ​

  2. Skaitmeninės veiklos atsparumo testavimas: Privalomas reguliarus skaitmeninės veiklos atsparumo testavimas, įskaitant pažangius testus reikšmingoms institucijoms, siekiant užtikrinti pasirengimą IRT sutrikimams. ​

  3. IRT trečiųjų šalių rizikos valdymas: DORA nustato reikalavimus stebėti ir valdyti rizikas, susijusias su IRT trečiųjų šalių paslaugų teikėjais, įskaitant pagrindines sutartines nuostatas ir priežiūros mechanizmus. ​

  4. Informacijos dalijimasis: Reglamentas skatina keitimąsi informacija ir žvalgybine medžiaga apie kibernetines grėsmes tarp finansų įstaigų, siekiant sustiprinti bendrą atsparumą. ​

Įgyvendinimo tvarkaraštis

Nors DORA įsigaliojo 2023 m. sausio 16 d., finansų įstaigos ir IRT paslaugų teikėjai privalo visiškai atitikti reikalavimus iki 2025 m. sausio 17 d. Šis pereinamasis laikotarpis leidžia organizacijoms suderinti savo vidinius procesus, rizikos valdymo sistemas ir sutartis su reglamento reikalavimais. ​

Apibendrinant, DORA yra svarbus žingsnis stiprinant ES finansų sektoriaus skaitmeninį atsparumą, užtikrinant, kad institucijos būtų geriau pasirengusios valdyti su IRT susijusius sutrikimus ir palaikyti finansinį stabilumą.