Softera taisyklės pagal DORA reglamentą (ES) 2022/2554
UAB „Softera Baltic“ (toliau – Softera arba Bendrovė), kaip informacinių ir ryšių technologijų (IRT) paslaugų teikėja finansų sektoriaus subjektams, vykdydama veiklą vadovaujasi 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos reglamentu (ES) 2022/2554 dėl skaitmeninio veiklos atsparumo finansų sektoriuje (toliau – DORA reglamentas). Šis reglamentas yra privalomas visiems Europos Sąjungoje veiklą vykdantiems finansų sektoriaus subjektams, taip pat IRT paslaugų teikėjams, teikiantiems paslaugas minėtiems subjektams.
Pagrindinis DORA reglamento tikslas – užtikrinti finansų sektoriaus subjektų atsparumą IRT sutrikimams ir kibernetinėms grėsmėms, tuo pačiu įtvirtinant pareigą IRT paslaugų teikėjams laikytis nustatytų saugumo, atsakomybės ir bendradarbiavimo principų.
Atsižvelgdama į DORA reglamentą, Softera yra patvirtinusi taisykles ir procedūras, užtikrinančias DORA reglamento laikymąsi, skaidrų bendradarbiavimą su klientais ir veiklos tęstinumą bei atsparumą. Softera, teikdama paslaugas savo klientams – finansų įstaigoms (toliau – Klientai), užtikrina DORA reglamento reikalavimų įgyvendinimą kaip numatyta šiose taisyklėse.
1. Paslaugų apibrėžimas ir paslaugų lygio apibrėžimas (angl. Service Level Agreements, SLA)
Išsamus visų funkcijų ir IRT paslaugų, kurias teikia IRT paslaugų teikėjas, aprašymas, paslaugų lygio susitarimai (SLA), taip pat paslaugų nutraukimo sąlygos ir tvarka yra įtvirtinti pagrindinėje paslaugų teikimo sutartyje, sudaromoje tarp Softeros ir Kliento (toliau – Sutartis). Paslaugų teikimo susitarimai apima visus esminius aspektus, užtikrinančius paslaugų kokybę, tęstinumą bei aiškų atsakomybės pasidalijimą tarp šalių.
2. Subrangovų naudojimo sąlygos
Softera gali pasitelkti subrangovus paslaugų teikimui tik gavusi išankstinį rašytinį Kliento sutikimą. Patvirtinto subrangovo pakeitimas kitu subrangovu taip pat vykdomas tik gavus tokį išankstinį Kliento sutikimą. Jei Softera nutraukia subrangovo paslaugų naudojimą, apie tai jį raštu (el. paštu) praneša Klientui ne vėliau kaip prieš 30 dienų.
Softera su visais subrangovais sudaro sutartis, kuriose nustatyti įsipareigojimai yra lygiaverčiai ar ne mažiau griežti nei įsipareigojimai, numatyti Kliento su Softera sudarytoje sutartyje, įskaitant informacinių technologijų saugumo, konfidencialumo, asmens duomenų apsaugos bei operacinio atsparumo reikalavimus.
Visais atvejais, kai dalį paslaugų ar funkcijų vykdo subrangovas, Softera lieka visiškai atsakinga už visus subrangovų veiksmus ar neveikimą tokiu pačiu mastu, tarsi atitinkamą paslaugą būtų atlikusi pati.
3. Duomenų tvarkymo ir paslaugų teikimo vieta
Softera įsipareigoja, kad visas savo funkcijas ir teikiamas IRT paslaugas vykdys Lietuvos Respublikos teritorijoje arba Europos Sąjungos / Europos ekonominės erdvės valstybėse.
Jeigu Softera pasitelkia subrangovus, visi subrangovai turi veikti Europos Sąjungos (ES) arba Europos ekonominės erdvės (EEE) teritorijoje, laikydamiesi tokių pačių duomenų apsaugos ir paslaugų vykdymo reikalavimų.
Apie ketinimą keisti paslaugų teikimo ar duomenų tvarkymo vietą Softera iš anksto, bet ne vėliau kaip prieš 30 kalendorinių dienų informuos Klientą raštu (el. paštu).
4. Duomenų sauga ir prieigos kontrolė
Softera užtikrina informacijos ir duomenų saugumą įgyvendindama įvairias organizacines ir technines priemones, atitinkančias tarptautinę gerąją praktiką, yra įdiegusi ir sertifikavusi informacijos saugumo valdymo sistemą (ISVS) pagal ISO/IEC 27001:2022 standarto reikalavimus, siekdama užtikrinti tinkamą Kliento duomenų apsaugos lygį nuo sunaikinimo, praradimo, pakeitimo ar neteisėtos prieigos. Visos taikomos saugumo priemonės atitinka DORA reglamento nuostatas, įskaitant proporcingą kibernetinio ir informacinio saugumo kontrolės taikymą, rizikos mažinimo mechanizmus bei nuolatinį atsparumo stiprinimą.
Softera užtikrina, kad prieiga prie informacijos ir duomenų, įskaitant asmens duomenis, suteikiama tik tiems darbuotojams, subrangovams ar kitoms įgaliotoms šalims, kuriems tokia prieiga būtina jų funkcijoms ar teikiamoms paslaugoms atlikti.
Prieigos teisių valdymui Softera įgyvendina ir palaiko prieigos valdymo sistemą, apimančią mažiausios būtinos prieigos principą, daugiapakopį autentifikavimą (MFA), reguliarią prieigos teisių peržiūrą, savalaikes suteikimo ir atšaukimo procedūras bei audito žurnalų tvarkymą incidentų tyrimams ir patikroms.
Įgyvendindama DORA reglamento reikalavimus dėl nuolatinės stebėsenos, incidentų identifikavimo ir reagavimo, Softera yra įdiegusi CyberSOC (Security Operations Center). Tai yra SIEM sprendimas NRD CS Natrix, paremtas Elastic Stack, Zeek, Suricata ir kitais komponentais. Šis sprendimas užtikrina:
nuolatinę IT infrastruktūros ir duomenų srautų stebėseną;
incidentų ir anomalijų identifikavimą bei reagavimą pagal SLA;
pažeidžiamumų skenavimą ir reguliarias ataskaitas;
SOC analitikų reagavimą į grėsmes 24/7 režimu.
Tokiu būdu Softera užtikrina, kad DORA reglamente nustatyti reikalavimai dėl IRT incidentų valdymo, žurnalų rinkimo, pažeidžiamumų valdymo, prieigos kontrolės, grėsmių stebėsenos ir ataskaitų teikimo būtų įgyvendinami tiek organizacinėmis (politikos ir procesai, eskalavimo tvarka, ataskaitos), tiek techninėmis (SIEM/NDR, EDR/XDR, pažeidžiamumų skeneriai, prieigos valdymo sprendimai) priemonėmis.
Softera įsipareigoja savo patalpose ir naudojamose sistemose įgyvendinti, palaikyti ir reguliariai tikrinti tinkamas fizinio ir loginio saugumo priemones bei procedūras, užtikrinančias Kliento duomenų, sistemų ir kitų susijusių išteklių konfidencialumą, vientisumą ir prieinamumą, taip pat užkertančias kelią neteisėtai prieigai, naudojimui ar atskleidimui.
5. Duomenų grąžinimas/prieinamumas nutraukus paslaugas
Softera, nutraukiant sutartį, užtikrina organizuotą, saugų ir DORA reglamento reikalavimus atitinkantį paslaugų bei duomenų perdavimą Klientui arba naujam paslaugų teikėjui. Perdavimo procesas vykdomas siekiant užtikrinti paslaugų tęstinumą, operacinį atsparumą ir duomenų apsaugą, užtikrinant šių reikalavimų įgyvendinimą: bendradarbiauti su Klientu planuojant ir vykdant perėjimo procesą, kad jis būtų dokumentuotas, kontroliuojamas ir iš anksto suderintas; Paslaugų teikėjas įsipareigoja:
perduoti Kliento duomenis, dokumentus ir kitus būtinus išteklius tinkamu, sąveikiu ir prieinamu formatu;
suteikti prieigą prie visos svarbios informacijos, įrankių ir dokumentacijos, reikalingos sklandžiam paslaugų perėmimui;
bendradarbiauti ir teikti pagalbą viso perėjimo proceso metu;
užtikrinti, kad duomenų ir sistemų perdavimas vyktų saugiai, laikantis taikomų duomenų apsaugos ir kibernetinio saugumo reikalavimų;
po sėkmingo duomenų ir/ar paslaugų perdavimo, ištrinti arba patikimai pašalinti visus Kliento duomenis, jei jų saugojimo nereikalauja teisės aktai;
laikytis konfidencialumo bei duomenų apsaugos įsipareigojimų ir po paslaugų nutraukimo.
6. Incidentų valdymas
Softera įsipareigoja nedelsiant informuoti Klientą apie bet kokius su teikiamomis paslaugomis susijusius IRT incidentus, kurie gali turėti poveikį Kliento veiklai, duomenų konfidencialumui, vientisumui ar prieinamumui ir teikti visą reikiamą pagalbą Klientui, įskaitant:
suteikti Klientui visą reikiamą informaciją, paaiškinimus ir techninę paramą incidento tyrimui ir pasekmių šalinimui;
bendradarbiauti su Klientu incidento nustatymo, analizės, ataskaitų teikimo ir rizikos mažinimo veiksmų procese;
teikti pagalbą nedelsiant, profesionaliai, nuosekliai ir be jokio papildomo mokesčio, nebent su Klientu iš anksto susitariama dėl mokesčio už tokią pagalbą.
7. Bendradarbiavimas su kompetentingomis institucijomis
Softera įsipareigoja visapusiškai bendradarbiauti su kompetentingomis institucijomis, įskaitant Kliento pertvarkymo institucijas (pvz., Lietuvos banką) bei jų paskirtais atstovais. Bendradarbiavimas apima:
tikslios ir išsamios informacijos teikimą apie teikiamas IRT paslaugas, jų sąlygas, rizikas, incidentus bei operacinio atsparumo priemones;
prieigos suteikimą prie dokumentų, duomenų ir sistemų, reikalingų priežiūros, patikrinimų, auditų ar kitų teisės aktuose numatytų vertinimų atlikimui;
sklandų ir operatyvų informacijos keitimąsi, būtiną priežiūros, krizių valdymo ar pertvarkymo procesams;
aktyvų dalyvavimą incidentų tyrimuose, rizikų vertinime ir veiklos atsparumo stiprinimo veiksmuose.
8. Sutarties nutraukimas institucijos reikalavimu
Klientas turi teisę vienašališkai nutraukti Sutartį, jeigu to reikalauja kompetentinga priežiūros ar pertvarkymo institucija (pvz., Lietuvos bankas) ar jos įgalioti atstovai, vadovaudamiesi DORA reglamentu. Softera įsipareigoja:
visapusiškai bendradarbiauti su Klientu ir institucijomis, užtikrindamas sklandų ir nepertraukiamą paslaugų perėmimą;
netaikyti jokių papildomų mokesčių, išskyrus iš anksto suderintas, objektyviai pagrįstas ir tinkamai dokumentuotas išlaidas (mokestį), susijusias su paslaugų perdavimu;
veikti taip, kad nebūtų sudaroma kliūčių Kliento veiklos tęstinumui, operaciniam atsparumui ar priežiūros ar pertvarkymo institucijų teisėto reikalavimo įgyvendinimui.
9. Darbuotojų mokymai
Softera užtikrina, kad jos darbuotojai, teikiantys paslaugas Klientui, laiku ir tinkamu mastu dalyvautų Kliento organizuojamuose IRT saugumo ir skaitmeninės veiklos atsparumo mokymuose, kai tai numatyta teisės aktuose ar Kliento vidaus politikoje.
Dalyvavimas tokiuose mokymuose laikomas paslaugų teikimo dalimi ir apmokamas pagal pagrindinės Sutarties įkainius, nebent Šalys susitaria kitaip.
10. Pranešimų tvarka apie pokyčius
Softera įsipareigoja nedelsiant, bet ne vėliau kaip prieš 30 (trisdešimt) kalendorinių dienų nuo aplinkybių paaiškėjimo, raštu (el. paštu) informuoti Klientą apie bet kokius faktinius ar numatomus organizacinius, teisinius, techninius ar finansinius pokyčius, galinčius reikšmingai paveikti gebėjimą veiksmingai teikti paslaugas, susijusias su ypatingos svarbos ar svarbiomis funkcijomis pagal Sutartyje sutartus paslaugų lygius (SLA).
11. Veiklos tęstinumo ir atkūrimo planai
Softera užtikrina veiklos tęstinumą ir atkūrimą, taikydama nuosekliai palaikomus ir įgyvendinamus veiklos tęstinumo bei atkūrimo planus, kurie apima teikiamas paslaugas. Šie planai yra testuojami ne rečiau kaip kartą per 12 mėnesių, naudojant realistiškus scenarijus, imituojančius galimus IRT sutrikimus ar neplanuotus incidentus.
Atsižvelgiant į tai, kad „Microsoft Dynamics 365 Business Central“ paslaugos teikiamos kaip programinė įranga kaip paslauga (angl. Software as a Service, SaaS), infrastruktūra, reikalinga paslaugoms palaikyti, yra teikiama/integruota kartu su programine įranga, o paslaugų teikimui naudojamas „Microsoft Azure Cloud“ duomenų centras, kuris atitinka aukščiausius saugumo ir patikimumo standartus. Softera nevykdo realių klientų duomenų ar aplinkų atkūrimo (angl. Disaster Recovery) testų – už šiuos procesus yra atsakinga Microsoft. Softera savo ruožtu įsipareigoja teikti Klientui reikiamą paramą incidento, sutrikdžiusio Kliento veiklą, metu, o Klientas už tokią pagalbą (paslaugas) apmoka pagal Sutartyje nustatytus įkainius.
Softera reguliariai testuoja savo vidinių sistemų IRT incidentų scenarijus, pavyzdžiui, prieigos prie serverių praradimą, interneto ryšio ar elektros energijos tiekimo sutrikimus, nuotolinio darbo (darbo iš namų) organizavimą, jei dėl incidento ar kitų nepalankių aplinkybių tampa neįmanoma vykdyti veiklą iš Bendrovės ofiso, vidinių sistemų veiklos sutrikimus ir pan.Tokiu būdu Softera užtikrina, kad veiklos tęstinumo planai būtų realūs ir atitiktų tiek DORA reglamento, tiek informacijos ir kibernetinio saugumo reikalavimus, taikomus sertifikuojant ISVS pagal ISO 27001:2022 standarto reikalavimus, o testuojami scenarijai būtų orientuoti į realistišką organizacijos atsparumo užtikrinimą.
12. Grėsmėmis grindžiamas testavimas (TLPT)
Softera įsipareigoja dalyvauti ir visapusiškai bendradarbiauti su Klientu atliekant grėsmėmis grindžiamą skverbimosi testavimą (TLPT), kai tai taikoma pagal DORA reglamento 26–27 straipsnius, ir suteikti reikiamą prieigą, informaciją bei paramą testavimo ir rezultatų analizės metu.
Bendradarbiavimas vykdomas nedelsiant ir be nepagrįsto delsimo, o prieiga prie duomenų, sistemų ir dokumentų, jei Softera gali ją suteikti, suteikiama tik tiek, kiek būtina TLPT atlikimui ir rezultatų įvertinimui. Klientas už paslaugas apmoka pagal Sutartyje nustatytus įkainius.
13. Prieiga, auditas ir stebėsena
Vadovaujantis DORA reglamento 28 straipsniu, Softera įsipareigoja užtikrinti Klientui, kompetentingoms institucijoms ir jų paskirtoms trečiosioms šalims teisę vykdyti stebėseną, patikrinimus ir auditus, susijusius su teikiamomis IRT paslaugomis. Tai apima Kliento teisę stebėti Softeros veiklą, susijusią su teikiamomis IRT paslaugomis, vertinti Softeros veiklos saugumą, atsparumą ir atitiktį DORA reglamento reikalavimams.
Softera įsipareigoja visapusiškai bendradarbiauti su Klientu ir priežiūros institucijomis, užtikrindama skaidrumą ir operatyvų informacijos teikimą, tačiau apie planuojamus patikrinimus Klientas privalo iš anksto Šalių sutartais terminais pranešti Softerai raštu (el. paštu), pateikdamas informaciją apie jų apimtį, procedūras ir dažnumą.
Patikrinimai ir auditai turi būti vykdomi įprastomis darbo valandomis, nepažeidžiant įprastinės Softeros veiklos, nesukeliant nepagrįstų išlaidų ir užtikrinant konfidencialios informacijos bei duomenų apsaugą. Klientas, vykdydamas auditą pats arba per trečiąją šalį, privalo laikytis proporcingumo principo ir užtikrinti, kad audito veiksmai būtų pagrįsti, tikslingi ir atitiktų DORA reglamento nuostatas.
14. Pasitraukimo strategija
Softera įsipareigoja, pasibaigus Sutarčiai ar bet kuriai Šaliai nutraukus Sutartį, užtikrinti pakankamos trukmės ir DORA reglamento reikalavimus atitinkantį pereinamąjį laikotarpį. Šio laikotarpio metu Softera tęs kritinių ar svarbių funkcijų vykdymą ar IRT paslaugų Klientui teikimą už sutartą atlygį, siekiant sumažinti veiklos sutrikimų riziką ir sudaryti sąlygas sklandžiam Kliento pertvarkymui ar restruktūrizavimui.
Softera taip pat įsipareigoja bendradarbiauti su Klientu, pereinamuoju laikotarpiu ir perduoti IRT paslaugų teikimą kitam Kliento pasirinktam IRT paslaugų teikėjui ar įgyvendinti vidinius sprendimus, užtikrinančius tęstinį IRT paslaugų vykdymą, jei Klientas nuspręstų pats perimti IRT funkcijų vykdymą. Pereinamojo laikotarpio trukmė, terminai ir sąlygos nustatomi Sutartyje arba atskirame jos priede – kartu su Klientu parengtoje ir suderintoje Pasitraukimo strategijoje.
Softera Rules in Accordance with the DORA Regulation (EU) 2022/2554
UAB “Softera Baltic” (hereinafter referred to as – Softera or the Company), as a provider of information and communication technology (ICT) services to entities in the financial sector, conducts its activities in accordance with Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (hereinafter – the DORA Regulation). This Regulation is mandatory for all financial sector entities operating within the European Union, as well as for ICT service providers delivering services to such entities.The main objective of the DORA Regulation is to ensure the resilience of financial sector entities against ICT disruptions and cyber threats, while also establishing the obligation for ICT service providers to comply with the prescribed principles of security, responsibility, and cooperation.Taking the DORA Regulation into account, Softera has approved internal rules and procedures ensuring compliance with the DORA Regulation, transparent cooperation with clients, as well as operational continuity and resilience. When providing services to its clients — financial institutions (hereinafter referred to as – Clients) — Softera ensures the implementation of the DORA Regulation requirements as set out in these rules.
1. Definition of Services and Service Levels (Service Level Agreements, SLA)
A detailed description of all functions and ICT services provided by the ICT service provider, the service level agreements (SLA), as well as the conditions and procedures for service termination are defined in the main service agreement concluded between Softera and the Client (hereinafter referred to as – the Agreement). The service agreements cover all essential aspects ensuring service quality, continuity, and a clear allocation of responsibilities between the parties.
2. Conditions for the Use of Subcontractors
Softera may engage subcontractors for service provision only with the prior written consent of the Client. Any replacement of an approved subcontractor with another subcontractor shall also require such prior written consent from the Client. If Softera discontinues the use of a subcontractor’s services, it shall notify the Client in writing (by e-mail) no later than 30 days in advance.
Softera concludes agreements with all subcontractors, stipulating obligations that are equivalent to or no less stringent than those set out in the Agreement between the Client and Softera, including requirements relating to information technology security, confidentiality, personal data protection, and operational resilience.
In all cases where part of the services or functions is performed by a subcontractor, Softera remains fully liable for all actions or omissions of the subcontractors to the same extent as if the relevant service had been performed by Softera itself.
3. Location of Data Processing and Service Provision
Softera undertakes to perform all its functions and provide all ICT services within the territory of the Republic of Lithuania or within the Member States of the European Union / European Economic Area.
If Softera engages subcontractors, all such subcontractors must operate within the territory of the European Union (EU) or the European Economic Area (EEA) and must comply with the same data protection and service performance requirements.
Should Softera intend to change the location of service provision or data processing, it shall notify the Client in advance, but no later than 30 calendar days prior to the change, in writing (by e-mail).
4. Data Security and Access Control
Softera ensures the security of information and data by implementing a range of organizational and technical measures that conform to international best practices. The company has implemented and certified an Information Security Management System (ISMS) in accordance with the ISO/IEC 27001:2022 standard to ensure an appropriate level of protection of Client data against destruction, loss, alteration, or unauthorized access. All applied security measures comply with the provisions of the DORA Regulation, including proportional implementation of cyber and information security controls, risk-mitigation mechanisms, and continuous enhancement of resilience.
Softera ensures that access to information and data, including personal data, is granted only to those employees, subcontractors, or other authorized parties who require such access to perform their functions or provide services.
For access-rights management, Softera implements and maintains an access control system based on the principle of least privilege, multi-factor authentication (MFA), regular access rights reviews, timely granting and revocation procedures, and audit-log management for incident investigations and inspections.
To meet the DORA Regulation requirements for continuous monitoring, incident detection, and response, Softera has implemented a CyberSOC (Security Operations Center). This is an NRD CS Natrix SIEM solution based on Elastic Stack, Zeek, Suricata, and other components. This solution ensures:
continuous monitoring of IT infrastructure and data flows;
identification of incidents and anomalies, and response in accordance with SLA;
vulnerability scanning and regular reporting;
SOC analyst response to threats on a 24/7 basis.
Softera undertakes to implement, maintain, and regularly review appropriate physical and logical security measures and procedures within its premises and systems to ensure the confidentiality, integrity, and availability of Client data, systems, and other related assets, as well as to prevent any unauthorized access, use, or disclosure.
In this way, Softera ensures that the DORA Regulation requirements for ICT incident management, log collection, vulnerability management, access control, threat monitoring, and reporting are implemented through both organizational measures policies and procedures, escalation process, reporting) and technical measures (SIEM/NDR, EDR/XDR, vulnerability scanners, access management solutions).
5. Data Return / Availability upon Termination of Services
Upon termination of the Agreement, Softera ensures an organized, secure transfer of services and data to the Client or to a new service provider, in full compliance with the DORA Regulation requirements. The transfer process is carried out so as to ensure service continuity, operational resilience, and data protection, by fulfilling the following requirements: cooperating with the Client in planning and carrying out the transition process so that it is documented, controlled, and preagreed;
The service provider undertakes to:
transfer Client data, documents, and other necessary resources in an appropriate, interoperable, and accessible format;
provide access to all relevant information, tools, and documentation necessary for a smooth service handover;
cooperate and provide assistance throughout the transition process;
ensure that the transfer of data and systems is carried out securely and in compliance with applicable data protection and cybersecurity requirements;
upon successful transfer of data and/or services, delete or reliably destroy all Client data if retention is not required by law;
maintain confidentiality and data protection obligations even after service termination.
6. Incident Management
Softera undertakes to immediately inform the Client of any ICT incidents related to the provided services that may affect the Client’s operations, data confidentiality, integrity, or availability, and to provide all necessary support to the Client, including:
providing the Client with all necessary information, explanations, and technical support for investigating the incident and mitigating its consequences;
cooperating with the Client in the process of incident identification, analysis, reporting, and risk mitigation;
providing support promptly, professionally, consistently, and without additional charge, unless a fee for such support has been pre-agreed with the Client.
7. Cooperation with Competent Authorities
Softera undertakes to fully cooperate with competent authorities, including the Client’s resolution authorities (e.g., the Bank of Lithuania) and their appointed representatives. Cooperation includes:
providing accurate and comprehensive information regarding ICT services, their conditions, risks, incidents, and operational resilience measures;
granting access to documents, data, and systems necessary for supervision, inspections, audits, or other legally required assessments;
ensuring smooth and timely information exchange necessary for supervision, crisis management, or resolution processes;
actively participating in incident investigations, risk assessments, and operational resilience enhancement actions.
8. Contract Termination at the Request of an Authority
The Client has the right to unilaterally terminate the Agreement if required by a competent supervisory or resolution authority (e.g., the Bank of Lithuania) or its authorized representatives, in accordance with the DORA Regulation. Softera undertakes to:
fully cooperate with the Client and authorities, ensuring a smooth and uninterrupted handover of services;
not apply any additional fees, except for pre-agreed, objectively justified, and properly documented costs (fees) related to service transfer;
act in a way that does not hinder the Client’s operational continuity, operational resilience, or the lawful enforcement of requirements by supervisory or resolution authorities.
9. Employee Training
Softera ensures that its employees providing services to the Client participate in ICT security and digital operational resilience training organized by the Client, as required by law or the Client's internal policy.
Participation in such training is considered part of service provision and is compensated according to the rates specified in the main Agreement, unless otherwise agreed by the Parties.
10. Notification of Changes
Softera undertakes to promptly, and no later than 30 (thirty) calendar days from the occurrence of circumstances, notify the Client in writing (by e-mail) of any actual or anticipated organizational, legal, technical, or financial changes that may significantly affect its ability to effectively provide services related to critical or important functions under the service levels (SLA) agreed in the Agreement.
11. Business Continuity and Recovery Plans
Softera ensures business continuity and recovery by implementing and maintaining operationally feasible business continuity and recovery plans that cover the services provided. These plans are tested at least once every 12 months using realistic scenarios simulating potential ICT disruptions or unplanned incidents.
Given that Microsoft Dynamics 365 Business Central services are provided as Software as a Service (SaaS), the infrastructure required to support the services is provided/integrated together with the software, and service delivery relies on the Microsoft Azure Cloud data center, which meets the highest standards of security and reliability. Softera does not conduct actual client data or environment disaster recovery tests—these processes are the responsibility of Microsoft. Softera, in turn, undertakes to provide the Client with necessary support in the event of an incident affecting the Client’s operations, with the Client paying for such assistance (services) according to the rates specified in the Agreement.
Softera regularly tests ICT incident scenarios within its internal systems, such as loss of server access, internet connectivity or power supply disruptions, arrangements for remote work (working from home) if it becomes impossible to operate from the Company’s office due to an incident or other adverse circumstances, internal system malfunctions, and similar events. In this way, Softera ensures that its business continuity plans are realistic and comply with both the DORA Regulation and information/cybersecurity requirements applied in the certification of the ISMS according to ISO 27001:2022, with test scenarios focused on ensuring practical organizational resilience.
12. Threat-Led Penetration Testing (TLPT)
Softera undertakes to participate in and fully cooperate with the Client in conducting threat-led penetration testing (TLPT) where applicable under Articles 26–27 of the DORA Regulation, providing necessary access, information, and support during testing and result analysis.
Cooperation shall be prompt and without undue delay, and access to data, systems, and documentation, if available from Softera, shall be provided only to the extent necessary for TLPT execution and evaluation of results. The Client pays for these services according to the rates specified in the Agreement.
13. Access, Audit, and Monitoring
Pursuant to Article 28 of the DORA Regulation, Softera undertakes to ensure the Client, competent authorities, and their appointed third parties have the right to carry out monitoring, inspections, and audits related to the ICT services provided. This includes the Client’s right to monitor Softera’s activities related to ICT services, assess operational security, resilience, and compliance with DORA Regulation requirements.
Softera undertakes to fully cooperate with the Client and supervisory authorities, ensuring transparency and timely provision of information; however, the Client must notify Softera in advance, within the timelines agreed by the Parties, of any planned inspections in writing (by email), providing information on their scope, procedures, and frequency.
Inspections and audits shall be conducted during normal business hours, without disrupting regular Softera operations, without causing undue costs, and while ensuring confidentiality and data protection. The Client, whether conducting audits directly or through a third party, must observe the principle of proportionality and ensure that audit actions are justified, purposeful, and compliant with DORA Regulation provisions.
14. Exit Strategy
Softera undertakes, upon the expiration of the Agreement or its termination by either Party, to ensure a transition period of adequate duration in compliance with the requirements of the DORA Regulation During this period, Softera will continue to perform critical or important functions and provide ICT services to the Client for the agreed remuneration, aiming to minimize the risk of operational disruptions and facilitate a smooth Client resolution or restructuring.
Softera also undertakes to cooperate with the Client during the transition period, either by transferring ICT service provision to another ICT service provider selected by the Client, or by implementing internal solutions to ensure the uninterrupted execution of ICT services if the Client decides to assume the ICT functions itself. The duration, deadlines, and conditions of the transition period shall be specified in the Agreement or in a separate annex — in the Exit Strategy prepared and agreed upon together with the Client.