Finanšu nozares digitālās darbības noturība

 

KOPSAVILKUMS:

Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību

KĀDS IR ŠĪS REGULAS MĒRĶIS?

Tajā izklāstīti vienoti noteikumi par finanšu iestāžu, piemēram, banku, apdrošināšanas sabiedrību un ieguldījumu sabiedrību, tīklu un informācijas sistēmu drošību.

Tā attiecas uz plašu Eiropas Savienības (ES) regulēto finanšu iestāžu loku, pieprasot tām izturēt, reaģēt un atgūties no jebkādiem traucējumiem vai apdraudējumiem, kas saistīti ar informācijas un komunikāciju tehnoloģijām (IKT).

SVARĪGĀKIE ASPEKTI

Piemērošanas joma

Šī regula attiecas uz:

• kredītiestādēm, maksājumu, elektroniskās naudas un aroda pensiju iestādēm;
• konta informācijas pakalpojumu sniedzējiem, kriptoaktīviem, datu paziņošanu, pūļa finansējumu un IKT trešām personām;
• ieguldījumu sabiedrībām, alternatīvajiem ieguldījumu fondiem, pārvaldības sabiedrībām, kredītreitingu aģentūrām un būtiski svarīgu etalonu administratoriem;
• darījumu un vērtspapīrošanas repozitorijiem, centrālajiem vērtspapīru depozitārijiem, centrālajiem darījumu partneriem un tirdzniecības vietām;
• apdrošināšanas, apdrošināšanas starpnieku un pārapdrošināšanas uzņēmumiem.

IKT risku pārvaldība

Finanšu struktūras, izņemot mikrouzņēmumus:

• ievieš iekšējās pārvaldības un kontroles pasākumus, kas nodrošina efektīvu un piesardzīgu IKT risku pārvaldību;
• nodrošina, ka to vadības struktūra nosaka, apstiprina, pārrauga un ir atbildīga par visiem attiecīgajiem pasākumiem;
• ievieš stabilu, visaptverošu un labi dokumentētu IKT riska pārvaldības sistēmu ar nepieciešamajām stratēģijām, politikas virzieniem, procedūrām, protokoliem un instrumentiem, lai ātri un efektīvi reaģētu;
• izmanto un uztur atjauninātas IKT sistēmas, protokolus un rīkus, kas ir piemēroti, uzticami, tehnoloģiski noturīgi un pietiekami jaudīgi;
• identificē, klasificē un pienācīgi dokumentē visas IKT atbalstītās uzņēmējdarbības funkcijas, lomas un pienākumus un pārskata risku scenārijus;
• pastāvīgi uzrauga IKT sistēmu un rīku drošību un darbību, lai līdz minimumam samazinātu jebkādu IKT risku ietekmi;
• nekavējoties atklāj anomālijas un identificē iespējamos atteices punktus;
• ievieš visaptverošu IKT darbības nepārtrauktības politiku ar atbilstošiem plāniem, procedūrām un mehānismiem;
• izstrādā un dokumentē dublēšanas politiku un atjaunošanas un atgūšanās procedūras;
• izvieto resursus un personālu, lai novērtētu neaizsargātību un kiberdraudus, ar IKT saistītus incidentus, jo īpaši kiberuzbrukumus, un analizētu to iespējamo ietekmi uz struktūras digitālo darbības noturību;
• izstrādā krīzes komunikācijas plānus, lai klientiem, partneriem un sabiedrībai darītu zināmus vismaz būtiskākos ar IKT saistītos incidentus vai ievainojamību.

Ar IKT saistīta pārvaldība, klasifikācija un ziņošana

Finanšu struktūras:

• nosaka, izstrādā un īsteno pasākumus ar IKT saistītu incidentu atklāšanai, pārvaldībai, reģistrēšanai un paziņošanai par tiem;
• klasificē incidentus un nosaka to ietekmi, izmantojot tādus kritērijus kā ietekmēto klientu un darījumu partneru skaits, ilgums, ģeogrāfiskā izplatība un datu zudumi;
• ziņo par būtiskiem ar IKT saistītiem incidentiem savai izraudzītajai kompetentajai iestādei, kas to pārsūta augstākai iestādei, piemēram, Eiropas Centrālajai bankai vai Eiropas Banku iestādei.

Digitālās darbības noturības testēšana

Finanšu struktūras, izņemot mikrouzņēmumus:

• izveido, uztur un pārskata stabilu un visaptverošu digitālās darbības testēšanas programmu, kas aprīkota ar nepieciešamajiem novērtējumiem, testiem, metodoloģijām, praksi un rīkiem;
• vismaz reizi trijos gados veic apdraudējuma līmeņa testēšanu, pamatojoties uz savu riska profilu un ņemot vērā darbības apstākļus, un izmanto tikai sertificētus testētājus, kuriem ir nepieciešamās zināšanas un piemērotība un kuriem ir profesionālās civiltiesiskās atbildības apdrošināšana.

IKT trešo personu risku pārvaldība

Finanšu struktūras:

• pārvalda trešo personu risku kā neatņemamu sava kopējā IKT riska sastāvdaļu;
• noslēdz līgumus par IKT pakalpojumiem, lai veiktu savas saimnieciskās darbības pilnīgā saskaņā ar attiecīgajiem tiesību aktiem;
• ņem vērā ar IKT saistīto atkarību raksturu, mērogu, sarežģītību un nozīmīgumu, kā arī iespējamos riskus;
• nosakot un novērtējot visus saistītos riskus, izsver alternatīvo risinājumu ieguvumus un izmaksas;
• iekļauj līgumā katras puses tiesības un pienākumus un pakalpojumu līgumu.

IKT būtiski svarīgu trešo personu pakalpojumu sniedzēju pārraudzības sistēma

Nostādnēs:

• Eiropas uzraudzības iestādēm (EUI) ir uzticēts:
  • pamatojoties uz skaidriem kritērijiem, izraudzīties IKT trešo personu pakalpojumu sniedzējus, kas tiek uzskatīti par finanšu iestādēm būtiski svarīgiem,
  • iecelt EUI, kas atbild par attiecīgo finanšu iestādi, par galveno pārraugu attiecībā uz katru būtiski svarīgu trešo personu pakalpojumu sniedzēju;
• ar tām tiek izveidots Uzraudzības forums, lai:
  • apspriestu attiecīgās norises IKT risku un neaizsargātības jomā un veicinātu konsekventu ES uzraudzības pieeju,
  • katru gadu novērtētu uzraudzības pasākumus, veicinātu pasākumus, kas vērsti uz digitālās darbības noturības palielināšanu, un sekmētu labāko praksi,
  • iesniegtu IKT būtiski svarīgu trešo personu pakalpojumu sniedzēju visaptverošus kritērijus;
• tajās pilnvaro galveno pārraugu:
  • būt par galveno kontaktpunktu būtiski svarīgo IKT trešo personu pakalpojumu sniedzējiem,
  • novērtēt, vai katram būtiski svarīgo pakalpojumu sniedzējam ir visaptveroši, pamatoti un efektīvi noteikumi, procedūras, mehānismi un pasākumi,
  • pieprasīt visu attiecīgo informāciju un dokumentāciju, veikt izmeklēšanu un pārbaudes (tostarp valstīs, kas nav ES dalībvalstis), noteikt korektīvos pasākumus un sniegt ieteikumus;
• ļauj Eiropas Banku iestādei, Eiropas Apdrošināšanas un aroda pensiju iestādei un Eiropas Vērtspapīru un tirgu iestādei sadarboties ar trešo valstu regulatīvajām un uzraudzības iestādēm IKT trešo personu risku jomā;
• tiek paredzēts, ka EUI reizi piecos gados Eiropas Parlamentam, Eiropas Savienības Padomei un Eiropas Komisijai jāiesniedz konfidenciāls ziņojums par to darījumiem ar iestādēm ārpus ES.

Vienošanās par informācijas apmaiņu

Finanšu iestādes savā starpā var apmainīties ar informāciju par kiberdraudiem un izlūkdatiem, ja:

• šīs apmaiņas mērķis ir stiprināt to digitālo operatīvo noturību;
• tas notiek to uzticamo kopienu ietvaros;
• tiek aizsargāta uzņēmējdarbības konfidencialitāte un personas dati un tiek ievēroti konkurences politikas noteikumi.

Sankcijas un korektīvie pasākumi

Kompetentajām iestādēm:

• ir visas uzraudzības, izmeklēšanas un sankciju piemērošanas pilnvaras, kas nepieciešamas to pienākumu veikšanai;
• tās piemēro valsts tiesību aktos noteiktos administratīvos sodus un korektīvos pasākumus un publicē tos savās tīmekļa vietnēs.

EUI izstrādā regulatīvo tehnisko standartu projektus IKT risku pārvaldības rīkiem, ar IKT saistīto incidentu klasifikācijai un ziņošanai par tiem, kā arī uzraudzības darbību veikšanai.

Komisija:

• var izmantot savas pilnvaras pieņemt deleģētos aktus;
• pēc apspriešanās ar EUI un Eiropas Sistēmisko risku kolēģiju līdz 2028. gada 17. janvārim iesniedz Parlamentam un Padomei pārskatītu regulu.

Ar šo regulu groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 909/2014, (ES) Nr. 600/2014 un (ES) 2016/1011.

KOPŠ KURA LAIKA REGULA IR PIEMĒROJAMA?

To piemēro no 2025. gada 17. janvāra.

KONTEKSTS

Reformas, kas sekoja 2008. gada finanšu krīzei, galvenokārt nostiprināja nozares finanšu stabilitāti. Dažās jomās IKT riski tika risināti tikai netieši, un tie turpināja apdraudēt ES finanšu sistēmas darbības noturību, veiktspēju un stabilitāti.

Regula, kas pazīstama kā DORA, ir daļa no plašākas digitālo finanšu paketes, kuras mērķis ir veicināt tehnoloģiju attīstību un nodrošināt finanšu stabilitāti un patērētāju aizsardzību. Tās pārējie elementi ietver digitālo finanšu stratēģiju, kriptoaktīvu tirgus un sadalītās virsgrāmatas tehnoloģiju.

Plašāka informācija:

• Digitālā finanšu pakete (Eiropas Komisija).

PAMATDOKUMENTS

Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022., 1.–79. lpp.).

SAISTĪTIE DOKUMENTI

Komisijas paziņojums Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai par ES digitālā finansējuma stratēģiju (COM(2020) 591 final, 24.9.2020.).

Eiropas Parlamenta un Padomes Regula (ES) 2016/1011 (2016. gada 8. jūnijs) par indeksiem, ko izmanto kā etalonus finanšu instrumentos un finanšu līgumos vai ieguldījumu fondu darbības rezultātu mērīšanai, un ar kuru groza Direktīvu 2008/48/EK, Direktīvu 2014/17/ES un Regulu (ES) Nr. 596/2014 (OV L 171, 29.6.2016., 1.–65. lpp.).

Regulas (ES) 2016/1011 turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.

Eiropas Parlamenta un Padomes Regula (ES) Nr. 909/2014 (2014. gada 23. jūlijs) par vērtspapīru norēķinu uzlabošanu Eiropas Savienībā, centrālajiem vērtspapīru depozitārijiem un grozījumiem Direktīvās 98/26/EK un 2014/65/ES un Regulā (ES) Nr. 236/2012 (OV L 257, 28.8.2014., 1.–72. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (ES) Nr. 600/2014 (2014. gada 15. maijs) par finanšu instrumentu tirgiem un ar ko groza Regulu (ES) Nr. 648/2012 (OV L 173, 12.6.2014., 84.–148. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (ES) Nr. 648/2012 (2012. gada 4. jūlijs) par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem (OV L 201, 27.7.2012., 1.–59. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (EK) Nr. 1060/2009 (2009. gada 16. septembris) par kredītreitingu aģentūrām (OV L 302, 17.11.2009., 1.–31. lpp.).

Skatīt konsolidēto versiju.

Pēdējo reizi atjaunots: 10.01.2024