REGULA (ES) 2022/2554 - PIEMĒROJAMA KOPŠ 2025. GADA 17. JANVĀRA

Jūsu DORA atbilstība,
dokumentēta un aizstāvama

Eiropas regula par finanšu nozares digitālo operacionālo noturību (DORA) uzliek finanšu vienībām - un netieši to IKT pakalpojumu sniedzējiem - pienākumu veidot izsmeļošu līgumu reģistru, precīzus līguma noteikumus un datētus audita pierādījumus. SYAGA DORA-Express palīdz jums izpildīt šīs prasības bez improvizācijas, neatkarīgi no tā, vai esat finanšu vienība vai pakalpojumu sniedzējs.

17/01
Piemērojama kopš 2025. gada
21
Skarto vienību kategorijas (2. p.)
4h
Nozīmīga incidenta paziņošanas termiņš
19
Jau noteikti kritiski IKT pakalpojumu sniedzēji

Normatīvais konteksts

DORA ir regula, nevis direktīva: tā tiek piemērota tieši visās dalībvalstīs, negaidot nacionālo transpozīcijas likumu.

DORA tiek piemērota tieši kopš 2025. gada 17. janvāra

Regula (ES) 2022/2554 no 2022. gada 14. decembra, publicēta ES OV 2022. gada 27. decembrī, stājās spēkā 2023. gada 16. janvārī un ir piemērojama kopš 2025. gada 17. janvāra. Nacionāla transpozīcija nav nepieciešama: tā ir tieši saistoša.

📋

Nepieciešams izsmeļošs IKT reģistrs (28. panta 3. punkts)

Katrai finanšu vienībai jāuztur un ikgadēji jānodod iestādēm pilnīgs savu IKT līgumu reģistrs: pakalpojumu sniedzējs, pakalpojuma veids, funkcijas kritiskums, datu hostinga valsts.

📄

Jūsu līgumos jābūt precīziem noteikumiem (30. pants)

Audita un pārbaudes tiesības, datu pieejamības un integritātes garantijas, testēti izstāšanās plāni, nekavējoša incidentu paziņošana. Šie noteikumi nonāk pie jums no jūsu finanšu klienta, ja esat viņa IKT pakalpojumu sniedzējs.

📧

Uzticamības pārbaudes anketa jau ir jūsu e-pastā

Pirms līguma parakstīšanas vai atjaunošanas banka, apdrošinātājs vai investors nosūta kiberdrošības anketu (pārvaldība, MFA, EDR, šifrēšana, izpratnes veicināšana). Atbildot bez dokumentētiem pierādījumiem, var zaudēt līgumu.

2025. gada 18. novembra notikums

Jūsu mākoņpakalpojumu sniedzēji tikko oficiāli atzīti par "kritiskiem"

2025. gada 18.-19. novembrī Eiropas uzraudzības iestādes (EBA, ESMA, EIOPA) publicēja pirmo oficiālo kritisko IKT pakalpojumu sniedzēju sarakstu saskaņā ar DORA 32. pantu. Starp oficiālajos paziņojumos apstiprinātajiem nosaukumiem: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (un vēl 14 pakalpojumu sniedzēji, kas mūsu avotos nav vārdiski apstiprināti).

Konkrētas sekas: ja jūsu kritiskie pakalpojumi balstās uz kādu no šiem pakalpojumu sniedzējiem, jūsu finanšu klientam tas turpmāk jādokumentē savā IKT reģistrā - un tas var jums uzdot jautājumus par jūsu pašu apakšuzņēmēju ķēdi.

Avots: EIOPA un ESMA oficiālie paziņojumi, 2025. gada 18.-19. novembris (eiopa.europa.eu, esma.europa.eu).

Mūsu risinājums: DORA-Express

Strukturēts 5 soļu atbalsts jūsu atbilstības dokumentēšanai - nesolot to, ko ne rīks, ne konsultāciju firma nevar apliecināt jūsu vietā.

1
1. solis - Kvalifikācija

Identificēsim jūsu reālo pakļautību

Vai esat tieši pakļauta finanšu vienība (viena no 21 kategorijas 2. pantā), vai netieši skarts IKT pakalpojumu sniedzējs caur jūsu finanšu klientu līguma noteikumiem (30. pants)? Precīzs apjoms nosaka visu turpmāko.

2
2. solis - Uzticamības pārbaude

Atbilde uz jūsu kiberdrošības anketu

Mēs atbildam uz jūsu bankas, investora vai apdrošinātāja uzticamības pārbaudes anketu (pārvaldība, MFA, EDR, šifrēšana, izpratnes veicināšana...), balstoties uz jūsu Microsoft 365 vides tehnisko auditu kā datētu un pārbaudāmu pierādījumu.

3
3. solis - Reģistrs un līgumi

IKT reģistrs un 30. panta noteikumi

Mēs palīdzam strukturēt jūsu IKT līgumu reģistru (28. panta 3. punkts) un pārbaudīt vai iekļaut minimālos un pastiprinātos 30. panta līguma noteikumus jūsu pakalpojumu sniedzēju līgumos.

4
4. solis - Nepārtrauktība un noturība

Finanšu nozares BAP/DAP profils

Mūsu BAP/DAP komplekts piedāvā Finanšu nozares profilu (DORA, PSD2, ACPR), kas aptver DORA IV nodaļas operacionālās noturības testēšanas prasības, saskaņots ar ISO 22301.

5
5. solis - Nodošana

Dokumentēta atbilstības dokumentācija

Konsolidētas dokumentācijas nodošana jūsu vadībai, IT drošības vadītājam vai finanšu direktoram, ar precīziem punktiem, kas jāizlemj jūsu juridiskajam konsultantam pirms jebkādas saziņas ar iestādēm.

Ko jūs saņemat

Konkrēti, avotos balstīti rezultāti, bez sertifikācijas solījuma, ko neviens nevar garantēt

📝

Uzticamības pārbaudes atbildes

10 tipveida bankas/M&A uzticamības pārbaudes jautājumi, dokumentēti un avotos balstīti (ILPA DDQ, CSA CAIQ, kiberapdrošināšanas anketas).

  • Drošības politika / atzīts ietvars
  • MFA, mazākās privilēģijas princips, privileģēti konti
  • M365 licence, EDR / apdraudējumu meklēšana
  • Novecojušie protokoli, disku šifrēšana
  • Izpratnes veicināšanas programma
📄

DORA atsauces lapa

Avotos balstīts regulas (ES) 2022/2554 kopsavilkums.

  • Apjoms: 21 vienību kategorija (2. p.)
  • 5 pienākumu jomas
  • Paziņošanas termiņi (4h / 72h / 1 mēnesis)
  • Saistība ar NIS2 (lex specialis)
📋

IKT reģistrs (veidne 28.3. p.)

Iestāžu pieprasītā izsmeļošā reģistra struktūra.

  • Pakalpojumu sniedzējs un pakalpojuma veids
  • Atbalstītās funkcijas kritiskums
  • Datu hostinga valsts
  • Formāts gatavs ikgadējai iesniegšanai
🔐

Līguma noteikumi (veidne 30. p.)

Iekļaujami vai pārbaudāmi jūsu IKT pakalpojumu sniedzēju līgumos.

  • Minimālie noteikumi (visi līgumi)
  • Pastiprinātie noteikumi (kritiskās funkcijas)
  • Audita un pārbaudes tiesības
  • Izstāšanās plāni un datu izgūstamība
🏗

Finanšu nozares BAP/DAP profils

Darbības nepārtrauktības un atjaunošanas plāns, dedicēts nozares profils.

  • DORA IV nodaļas pārklājums (noturības testi)
  • Saskaņots ar ISO 22301
  • DORA / PSD2 / ACPR nozares profils
  • No mūsu esošā BAP/DAP komplekta
💾

Dokumentēta atbilstības dokumentācija

PDF un DOCX formāti, kas konsolidē visus rezultātus.

  • Gatava jūsu vadībai / IT drošības vadītājam / finanšu direktoram
  • Punkti, kas jāapstiprina jūsu advokātam, norādīti
  • Pamats jūsu sarakstei ar ACPR / AMF
  • Rediģējama ikgadējai atjaunināšanai

Piemērs: bankas uzticamības pārbaudes anketa

Izvilkums no 10 jautājumiem, ko mēs jums dokumentējam, ar katra jautājuma avotu

Tēma Jautājums Avots
Pārvaldība Vai jūsu drošības politika balstās uz atzītu ietvaru (NIST, ISO 27001)? ILPA DDQ 2.0
Trešo pušu audits Vai jūs veicat ikgadēju neatkarīgu auditu un iekļūšanas testus? CSA CAIQ v4
Incidentu plāns Vai pastāv formāls, dokumentēts un uzturēts incidentu reaģēšanas plāns? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Kuriem pakalpojumiem jūs pieprasāt daudzfaktoru autentifikāciju? Travelers - MFA Supplement
Privileģēti konti Vai piekļuve seko mazākās privilēģijas principam, periodiski pārskatīta? CSA CAIQ v4 IAM
E-pasts Kādu M365 licenci jūs izmantojat? Vai aktīvs Defender / uzlabota apdraudējumu meklēšana? vCSO.ai Cyber DD Checklist
Šifrēšana Vai gala iekārtu diski ir pilnībā šifrēti? Google VSAQ
Apmācība Vai ir izveidota drošības izpratnes veicināšanas programma visiem darbiniekiem? CSA CAIQ v4 HRS

Aptvertie teksti un ietvari

Katrs rezultāts skaidri norāda, ko tas aptver - un ko tas neaptver

DO

DORA (Regula ES 2022/2554)

IKT reģistrs (28. p.), līguma noteikumi (30. p.), paziņošanas termiņi (19. p.), atsauce uz noteiktajiem kritiskajiem IKT pakalpojumu sniedzējiem (32. p.).

N2

NIS2 - saistība ar DORA

DORA ir lex specialis attiecībā pret NIS2 finanšu nozarē: skartās vienības piemēro DORA nevis līdzvērtīgus NIS2 pasākumus.

ISO

ISO 22301 - darbības nepārtrauktība

Finanšu nozares BAP/DAP profils ir saskaņots ar ISO 22301, darbības nepārtrauktības pārvaldības ietvaru, ko izmanto papildus DORA.

VD

VDAR - atsevišķa paziņošana

DORA incidentu paziņošana (ACPR/AMF) atšķiras no VDAR paziņošanas (CNIL) personas datu pārkāpuma gadījumā: abas var būt nepieciešamas vienlaicīgi.

Jūsu situācijai pielāgots atbalsts

Katra DORA lieta atšķiras atkarībā no jūsu statusa - individuāls piedāvājums visos gadījumos

IKT pakalpojumu sniedzējs

Jūs sniedzat pakalpojumus vienai vai vairākām finanšu vienībām

Piedāvājums
atkarībā no apjoma
  • Kiberdrošības uzticamības pārbaudes atbilde
  • IKT reģistrs pakalpojumu sniedzēja pusē
  • 30. panta noteikumu pārbaude
  • Dokumentēta, iesniegšanai gatava lieta
Pieprasīt piedāvājumu

Ikgadēja uzraudzība

Regulāra dokumentācijas atjaunināšana (pienākumi, līgumi, reģistrs)

Piedāvājums
regulārs
  • IKT reģistra atjaunināšana
  • Ikgadēja līguma noteikumu pārskatīšana
  • Uzraudzība par noteiktajiem kritiskajiem pakalpojumu sniedzējiem
  • Atbalsts jūsu klientu uzticamības pārbaudēm
Pieprasīt piedāvājumu

Biežāk uzdotie jautājumi

Vai mans uzņēmums ir DORA skarta finanšu vienība?
DORA 2. pants uzskaita 21 finanšu vienību kategoriju: kredītiestādes un maksājumu iestādes, ieguldījumu sabiedrības, MiCA licencēti kriptoaktīvu pakalpojumu sniedzēji, apdrošināšana un pārapdrošināšana, fondu pārvaldība, kredītreitingu aģentūras un citas. Mikrouzņēmumiem (mazāk par 10 darbiniekiem, apgrozījums vai bilance zem 2 milj. EUR) ir samērīgums attiecībā uz dažiem pienākumiem, bet tie nav pilnībā izslēgti. Jāpārbauda individuāli ar juridisko konsultantu.
Es neesmu banka, kāpēc DORA mani tomēr skar?
Ja jūs sniedzat IKT pakalpojumus (informātika, mākonis, programmatūra, hostings) finanšu vienībai, 30. pants uzliek jūsu klientam pienākumu iekļaut jūs savā reģistrā un līgumiski uzlikt jums precīzus noteikumus: audita tiesības, nekavējoša incidentu paziņošana, izstāšanās plāni. Šie pienākumi nāk caur jūsu klienta līgumu, nevis caur tiešu iestādes uzraudzību - izņemot, ja jūs pats esat noteikts par kritisku IKT pakalpojumu sniedzēju (31. pants).
Kādi ir nozīmīga IKT incidenta paziņošanas termiņi?
19. pants: sākotnējais paziņojums 4 stundu laikā pēc klasificēšanas par nozīmīgu incidentu (ne vēlāk kā 24 stundas pēc atklāšanas), starpposma ziņojums 72 stundu laikā, gala ziņojums 1 mēneša laikā. Šie paziņojumi atšķiras no iespējamā VDAR paziņojuma CNIL personas datu pārkāpuma gadījumā.
Kas ir "kritisks IKT pakalpojumu sniedzējs"?
Tie ir pakalpojumu sniedzēji, ko skaidri noteikušas Eiropas uzraudzības iestādes (EBA, ESMA, EIOPA) saskaņā ar sistēmiskās ietekmes, aizvietojamības un atkarības kritērijiem (31. pants). Pirmajā oficiālajā sarakstā, kas publicēts 2025. gada 18.-19. novembrī, ir 19 pakalpojumu sniedzēji. Tie ir pakļauti tiešai uzraudzībai (pārbaudes, paplašināta ziņošana); pārējie IKT pakalpojumu sniedzēji joprojām ir regulēti tikai caur savu finanšu klientu līguma noteikumiem.
Vai DORA aizstāj NIS2 manai nozarei?
Jā, finanšu vienībām 2. panta izpratnē: DORA ir lex specialis attiecībā pret NIS2 finanšu nozarē. 21 skartā kategorija piemēro DORA nevis līdzvērtīgus NIS2 pasākumus riska pārvaldības un incidentu paziņošanas jomā.
Vai šis pakalpojums ir juridisks atzinums?
Nē. DORA-Express ir dokumentēšanas atbalsta rīks, nevis juridisks atzinums. Jūsu organizācijas precīza pakļautība DORA un jūsu līgumu juridiskā atbilstība jāapstiprina specializētam advokātam pirms jebkāda saistoša lēmuma.

Gatavi dokumentēt savu DORA atbilstību?

Sazinieties ar mums, lai saņemtu individuālu piedāvājumu atbilstoši jūsu statusam (finanšu vienība vai IKT pakalpojumu sniedzējs).

DORA-Express ir dokumentēšanas atbalsta rīks, un tas nav juridisks atzinums. Jūsu organizācijas pakļautība DORA un jūsu līgumu un reģistru juridiskais spēkā esamība jāapstiprina specializētam advokātam.

Normatīvā uzraudzība - oficiāli avoti

DORA vienkārši izskaidrota, bez juridiska žargona. Katrs zemāk minētais punkts atsaucas uz oficiālo tekstu, kas to apstiprina.

Kas ir skarts?

DORA attiecas uz Eiropas finanšu dalībniekiem: bankām, apdrošinātājiem, ieguldījumu sabiedrībām, tirgus platformām, fondu pārvaldniekiem, maksājumu pakalpojumu sniedzējiem... kā arī uz to IT pakalpojumu sniedzējiem. Ļoti mazām struktūrām ir atvieglotie noteikumi.

oficiāls avots (EUR-Lex) ↗

Ko DORA no jums konkrēti pieprasa

Regula aptver 6 galvenās tēmas: IT riska pārvaldību, jūsu ārējo pakalpojumu sniedzēju uzraudzību, regulārus noturības testus, nopietnu incidentu ziņošanu, informācijas apmaiņu par draudiem un lielāko IT pakalpojumu sniedzēju uzraudzību.

oficiāls avots (EIOPA) ↗

Svarīgi datumi

Teksts pieņemts 2022. gada 14. decembrī, publicēts ES Oficiālajā Vēstnesī 2022. gada 27. decembrī (OV L 333). Stājās spēkā 2023. gada 16. janvārī. Pienākumi ir reāli spēkā kopš 2025. gada 17. janvāra.

avots EUR-Lex ↗ · avots ESMA ↗

Arī jūsu IT pakalpojumu sniedzēji tiek uzraudzīti

Lielākie IT pakalpojumu sniedzēji (mākonis, hostings...), kas atzīti par "kritiskiem" finanšu nozarei, tagad tiek tieši kontrolēti Eiropas līmenī, ar vadošo uzraugu, kas var tiem uzlikt pasākumus.

oficiāls avots (EIOPA) ↗

Beidzot saskaņota incidentu ziņošana

Pirms DORA katrai ES valstij bija savi noteikumi nopietna IT incidenta paziņošanai. Tagad tiek piemērota vienota Eiropas procedūra: nozīmīgi incidenti tiek paziņoti tieši kompetentajām iestādēm.

avots EUR-Lex ↗

Un sankcijas?

Teksts paredz, ka iestādes publicē to piespriestos administratīvos sodus. Precīzas naudas sodu summas šobrīd izmantotajos avotos nav noteiktas - jāapstiprina, kad parādīsies oficiāli precizējumi.

avots EUR-Lex (97. apsvērums) ↗