Eiropas regula par finanšu nozares digitālo operacionālo noturību (DORA) uzliek finanšu vienībām - un netieši to IKT pakalpojumu sniedzējiem - pienākumu veidot izsmeļošu līgumu reģistru, precīzus līguma noteikumus un datētus audita pierādījumus. SYAGA DORA-Express palīdz jums izpildīt šīs prasības bez improvizācijas, neatkarīgi no tā, vai esat finanšu vienība vai pakalpojumu sniedzējs.
DORA ir regula, nevis direktīva: tā tiek piemērota tieši visās dalībvalstīs, negaidot nacionālo transpozīcijas likumu.
Regula (ES) 2022/2554 no 2022. gada 14. decembra, publicēta ES OV 2022. gada 27. decembrī, stājās spēkā 2023. gada 16. janvārī un ir piemērojama kopš 2025. gada 17. janvāra. Nacionāla transpozīcija nav nepieciešama: tā ir tieši saistoša.
Katrai finanšu vienībai jāuztur un ikgadēji jānodod iestādēm pilnīgs savu IKT līgumu reģistrs: pakalpojumu sniedzējs, pakalpojuma veids, funkcijas kritiskums, datu hostinga valsts.
Audita un pārbaudes tiesības, datu pieejamības un integritātes garantijas, testēti izstāšanās plāni, nekavējoša incidentu paziņošana. Šie noteikumi nonāk pie jums no jūsu finanšu klienta, ja esat viņa IKT pakalpojumu sniedzējs.
Pirms līguma parakstīšanas vai atjaunošanas banka, apdrošinātājs vai investors nosūta kiberdrošības anketu (pārvaldība, MFA, EDR, šifrēšana, izpratnes veicināšana). Atbildot bez dokumentētiem pierādījumiem, var zaudēt līgumu.
2025. gada 18.-19. novembrī Eiropas uzraudzības iestādes (EBA, ESMA, EIOPA) publicēja pirmo oficiālo kritisko IKT pakalpojumu sniedzēju sarakstu saskaņā ar DORA 32. pantu. Starp oficiālajos paziņojumos apstiprinātajiem nosaukumiem: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (un vēl 14 pakalpojumu sniedzēji, kas mūsu avotos nav vārdiski apstiprināti).
Konkrētas sekas: ja jūsu kritiskie pakalpojumi balstās uz kādu no šiem pakalpojumu sniedzējiem, jūsu finanšu klientam tas turpmāk jādokumentē savā IKT reģistrā - un tas var jums uzdot jautājumus par jūsu pašu apakšuzņēmēju ķēdi.
Avots: EIOPA un ESMA oficiālie paziņojumi, 2025. gada 18.-19. novembris (eiopa.europa.eu, esma.europa.eu).
Strukturēts 5 soļu atbalsts jūsu atbilstības dokumentēšanai - nesolot to, ko ne rīks, ne konsultāciju firma nevar apliecināt jūsu vietā.
Vai esat tieši pakļauta finanšu vienība (viena no 21 kategorijas 2. pantā), vai netieši skarts IKT pakalpojumu sniedzējs caur jūsu finanšu klientu līguma noteikumiem (30. pants)? Precīzs apjoms nosaka visu turpmāko.
Mēs atbildam uz jūsu bankas, investora vai apdrošinātāja uzticamības pārbaudes anketu (pārvaldība, MFA, EDR, šifrēšana, izpratnes veicināšana...), balstoties uz jūsu Microsoft 365 vides tehnisko auditu kā datētu un pārbaudāmu pierādījumu.
Mēs palīdzam strukturēt jūsu IKT līgumu reģistru (28. panta 3. punkts) un pārbaudīt vai iekļaut minimālos un pastiprinātos 30. panta līguma noteikumus jūsu pakalpojumu sniedzēju līgumos.
Mūsu BAP/DAP komplekts piedāvā Finanšu nozares profilu (DORA, PSD2, ACPR), kas aptver DORA IV nodaļas operacionālās noturības testēšanas prasības, saskaņots ar ISO 22301.
Konsolidētas dokumentācijas nodošana jūsu vadībai, IT drošības vadītājam vai finanšu direktoram, ar precīziem punktiem, kas jāizlemj jūsu juridiskajam konsultantam pirms jebkādas saziņas ar iestādēm.
Konkrēti, avotos balstīti rezultāti, bez sertifikācijas solījuma, ko neviens nevar garantēt
10 tipveida bankas/M&A uzticamības pārbaudes jautājumi, dokumentēti un avotos balstīti (ILPA DDQ, CSA CAIQ, kiberapdrošināšanas anketas).
Avotos balstīts regulas (ES) 2022/2554 kopsavilkums.
Iestāžu pieprasītā izsmeļošā reģistra struktūra.
Iekļaujami vai pārbaudāmi jūsu IKT pakalpojumu sniedzēju līgumos.
Darbības nepārtrauktības un atjaunošanas plāns, dedicēts nozares profils.
PDF un DOCX formāti, kas konsolidē visus rezultātus.
Izvilkums no 10 jautājumiem, ko mēs jums dokumentējam, ar katra jautājuma avotu
| Tēma | Jautājums | Avots |
|---|---|---|
| Pārvaldība | Vai jūsu drošības politika balstās uz atzītu ietvaru (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Trešo pušu audits | Vai jūs veicat ikgadēju neatkarīgu auditu un iekļūšanas testus? | CSA CAIQ v4 |
| Incidentu plāns | Vai pastāv formāls, dokumentēts un uzturēts incidentu reaģēšanas plāns? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Kuriem pakalpojumiem jūs pieprasāt daudzfaktoru autentifikāciju? | Travelers - MFA Supplement |
| Privileģēti konti | Vai piekļuve seko mazākās privilēģijas principam, periodiski pārskatīta? | CSA CAIQ v4 IAM |
| E-pasts | Kādu M365 licenci jūs izmantojat? Vai aktīvs Defender / uzlabota apdraudējumu meklēšana? | vCSO.ai Cyber DD Checklist |
| Šifrēšana | Vai gala iekārtu diski ir pilnībā šifrēti? | Google VSAQ |
| Apmācība | Vai ir izveidota drošības izpratnes veicināšanas programma visiem darbiniekiem? | CSA CAIQ v4 HRS |
Katrs rezultāts skaidri norāda, ko tas aptver - un ko tas neaptver
IKT reģistrs (28. p.), līguma noteikumi (30. p.), paziņošanas termiņi (19. p.), atsauce uz noteiktajiem kritiskajiem IKT pakalpojumu sniedzējiem (32. p.).
DORA ir lex specialis attiecībā pret NIS2 finanšu nozarē: skartās vienības piemēro DORA nevis līdzvērtīgus NIS2 pasākumus.
Finanšu nozares BAP/DAP profils ir saskaņots ar ISO 22301, darbības nepārtrauktības pārvaldības ietvaru, ko izmanto papildus DORA.
DORA incidentu paziņošana (ACPR/AMF) atšķiras no VDAR paziņošanas (CNIL) personas datu pārkāpuma gadījumā: abas var būt nepieciešamas vienlaicīgi.
Katra DORA lieta atšķiras atkarībā no jūsu statusa - individuāls piedāvājums visos gadījumos
Jūs sniedzat pakalpojumus vienai vai vairākām finanšu vienībām
Jūs esat tieši pakļauti DORA (viena no 21 kategorijas, 2. p.)
Regulāra dokumentācijas atjaunināšana (pienākumi, līgumi, reģistrs)
Sazinieties ar mums, lai saņemtu individuālu piedāvājumu atbilstoši jūsu statusam (finanšu vienība vai IKT pakalpojumu sniedzējs).
DORA vienkārši izskaidrota, bez juridiska žargona. Katrs zemāk minētais punkts atsaucas uz oficiālo tekstu, kas to apstiprina.
DORA attiecas uz Eiropas finanšu dalībniekiem: bankām, apdrošinātājiem, ieguldījumu sabiedrībām, tirgus platformām, fondu pārvaldniekiem, maksājumu pakalpojumu sniedzējiem... kā arī uz to IT pakalpojumu sniedzējiem. Ļoti mazām struktūrām ir atvieglotie noteikumi.
Regula aptver 6 galvenās tēmas: IT riska pārvaldību, jūsu ārējo pakalpojumu sniedzēju uzraudzību, regulārus noturības testus, nopietnu incidentu ziņošanu, informācijas apmaiņu par draudiem un lielāko IT pakalpojumu sniedzēju uzraudzību.
Teksts pieņemts 2022. gada 14. decembrī, publicēts ES Oficiālajā Vēstnesī 2022. gada 27. decembrī (OV L 333). Stājās spēkā 2023. gada 16. janvārī. Pienākumi ir reāli spēkā kopš 2025. gada 17. janvāra.
Lielākie IT pakalpojumu sniedzēji (mākonis, hostings...), kas atzīti par "kritiskiem" finanšu nozarei, tagad tiek tieši kontrolēti Eiropas līmenī, ar vadošo uzraugu, kas var tiem uzlikt pasākumus.
Pirms DORA katrai ES valstij bija savi noteikumi nopietna IT incidenta paziņošanai. Tagad tiek piemērota vienota Eiropas procedūra: nozīmīgi incidenti tiek paziņoti tieši kompetentajām iestādēm.
Teksts paredz, ka iestādes publicē to piespriestos administratīvos sodus. Precīzas naudas sodu summas šobrīd izmantotajos avotos nav noteiktas - jāapstiprina, kad parādīsies oficiāli precizējumi.