Eiropas Parlamenta oficiālajā mājaslapā 2022. gada maijā publicēts ziņojums par Finanšu sektora digitālās darbības noturības regulu (Digital Operational Resilience Act for financial services) jeb DORA. Tas nozīmē, ka panākta konceptuāla vienošanās arī par regulas, kuras mērķis ir stiprināt digitālās noturības prasības finanšu pakalpojumu nozarē un tās infrastruktūrā, ieviešanu. Realitātē ES finanšu sektora izmaiņas, ko ietver regula, liks lielai daļai organizāciju pārskatīt informācijas un komunikācijas tehnoloģiju (IKT) politiku un pašreiz notiekošos procesus, kas saspringtas ģeopolitiskās situācijas apstākļos, ir būtiski, tāpēc svarīgi būt informētam par gaidāmajām izmaiņām.
Svarīgi atzīmēt, ka DORA izpratnē finanšu sektorā ietilpst tai skaitā, bet ne tikai: kredītiestādes, maksājumu iestādes, elektroniskās naudas iestādes, tirdzniecības vietas, alternatīvo ieguldījumu fondu pārvaldnieki un pārvaldības sabiedrības, datu paziņošanas pakalpojumu sniedzēji, revidenti, revīzijas uzņēmumi, kā arī kolektīvās finansēšanas pakalpojumu sniedzēji.
DORA, līdz ar tās stāšanos spēkā 2022. gada beigās, veido daļu no Eiropas Komisijas digitālās stratēģijas attīstības posmiem, kuras virsmērķis - atbalstīt ES digitālo finanšu attīstību, vienlaikus mazinot potenciālos apdraudējumus. Ar šīs regulas palīdzību, plānots būtiski uzlabot aizsardzību pret potenciālajiem incidentiem, kas veido organizāciju iekšējos un ārējos IKT riskus. Digitālās noturības jautājums ir sevišķi aktuāls ģeopolitiskās krīzes laikā, organizāciju vadītājiem liekot papildu fokusēties uz organizācijas digitālās drošības stiprināšanu.
Jāpiebilst gan, ka regulas ietekme neaprobežojas tikai ar IKT procesu pārskatīšanu finanšu organizācijās, bet vienlaikus arī pilnvaro nacionālo valstu finanšu sektoru uzraugošās iestādes veltīt papildu resursus organizāciju IKT atbilstības kontrolei. Latvijas gadījumā, piemēram, jau šogad FKTK (Finanšu un kapitāla tirgus komisija) uzmanības centrā un prioritāšu sarakstā ir uzraugāmo organizāciju digitālo risku pārvaldīšanas procesi, kas to starpā aptver IKT ārpakalpojumu risku vērtējumu, to efektivitāti, uzticamību un kapacitāti datu apstrādes procesos.
Vēlreiz akcentējot, ko tas praktiski nozīmēs šīs jomas uzņēmumiem, organizācijām un to uzraugošajām iestādēm, DORA prasības var iedalīt četros blokos:
1. IKT iekšējo un ārējo risku vērtējums, risku mazinošo pasākumu ieviešana jeb risku pārvaldība;
2. IKT sistēmu testēšana, paredzot digitālās un operacionālās noturības testēšanas procesu izstrādi un ieviešanu. Tās ietvaros organizācijām būtu jāievieš novērtēšana, testēšana, metodoloģija, risinājumi un rīki, kas atbilst organizācijas lielumam, biznesa un riska profilam;
3. Trešo pušu jeb kritisko IKT ārpakalpojumu sniedzēju risku vērtējums, kas paredz šī sektora organizācijas pakļaut regulatīvajām prasībām;
4. Ziņojumu sniegšana par konstatētajiem IKT incidentiem, ar mērķi apkopot un centralizēti apstrādāt ziņojumus, tādā veidā paaugstinot aizsardzību pret potenciālajiem incidentiem nākotnē.
Rezumējot augstāk minēto nevar nepiekrist, ka digitālā drošība, kas to starpā aptver arī datu uzglabāšanu un apmaiņu, kļūst par vitāli svarīgu jomu jebkurai organizācijai, jo īpaši, finanšu sektorā. Ir skaidrs, ka organizāciju vadītājiem, ne tikai DORA regulas prasību ietvarā, ir jāvelta pietiekams resurss IKT risku mazināšanai. Tas paredz personāla digitālās drošības kompetenču celšanu, IKT speciālistu un finanšu resursu piesaisti digitālās drošības risku mazināšanai, ārpakalpojuma sniedzēju riskiem atbilstošu vērtējumu un monitoringu, tai skaitā, ja ārpakalpojumu sniedz arī grupas uzņēmums.
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
