Määruses (EL) 2022/2554 sätestatakse ühetaolised nõuded finantssektori ettevõtete (nt pangad, kindlustusseltsid ja investeerimisühingud) võrgu- ja infosüsteemide turvalisuse kohta.
See hõlmab arvukaid Euroopa Liidu (EL) reguleeritud finantssektori ettevõtteid, nõudes, et nad peaksid vastu mis tahes info- ja kommunikatsioonitehnoloogiaga (IKT) seotud häiretele või ohtudele, reageeriksid neile ja taastuksid neist.
kehtestama sisemise juhtimis- ja kontrolliraamistiku, mis tagab IKT-riski tulemusliku ja usaldusväärse juhtimise;
tagama, et nende juhtorgan määrab kindlaks ja kiidab heaks kõigi asjaomaste meetmete rakendamise, korraldab nende üle järelevalve ja on nende eest vastutav;
kehtestama usaldusväärse, laiahaardelise ja hästi dokumenteeritud IKT-riski juhtimise raamistiku vajalike strateegiate, põhimõtete, menetluste, protokollide ja vahenditega, et reageerida kiiresti ja tõhusalt;
kasutama ja hooldama ajakohastatud IKT-süsteeme, -protokolle ja -vahendeid, mis on asjakohased, usaldusväärsed, tehnoloogiliselt vastupidavad ja piisavalt võimsad;
selgitama välja, klassifitseerima ja asjakohaselt dokumenteerima kõik IKT-põhised ärifunktsioonid, rollid ja vastutusvaldkonnad ning vaatama läbi riskistsenaariumid;
jooksvalt jälgima IKT-süsteemide ja -vahendite turvalisust ja toimimist, et vähendada kõiki IKT-riske;
kiiresti avastama anomaalse tegevuse ja tegema kindlaks võimalikud nõrgad lülid;
määrama kindlaks laiahaardelised IKT talitluspidevuse põhimõtted koos asjakohaste kavade, menetluste ja mehhanismidega;
töötama välja ja dokumenteerima varunduspõhimõtted ning ennistamise ja taastamise menetlused;
omama suutlikkust ja personali, et koguda teavet nõrkuse, küberohtude ja IKT intsidentide, eelkõige küberrünnete kohta, ning analüüsida mõju, mida need võivad avaldada nende digitaalsele tegevuskerksusele;
koostama kriisikommunikatsioonikavad, mis võimaldavad teha klientidele, vastaspooltele ja üldsusele teatavaks vähemalt tõsiseid IKT intsidente või nõrkust.
IKT-ga seotud haldamine, liigitamine ja aruandlus
Finantssektori ettevõtjad
määravad kindlaks, kehtestavad ja rakendavad IKT intsidentide haldamise protsessi nende avastamiseks, haldamiseks ja nendest teatamiseks;
liigitavad IKT intsidendid ja määravad nende mõju kindlaks selliste kriteeriumide alusel nagu mõjutatud klientide või finantssektori vastaspoolte arv, kestus, mõjutatud geograafilised piirkonnad ja andmekadu;
teavitavad tõsistest IKT intsidentidest nende kindlaksmääratud pädevale asutusele, kes edastab teabe kõrgemalseisvale asutusele, nagu Euroopa Keskpank või Euroopa Pangandusjärelevalve.
Digitaalse tegevuskerksuse testimine
Finantssektori ettevõtjad, v.a mikroettevõtjad, peavad
looma usaldusväärse ja tervikliku digitaalse tegevuskerksuse testimise programmi, mis hõlmab vajalikke hindamisi, teste, meetodeid, tavasid ja vahendeid, hoidma seda jõus ja vaatama selle läbi;
tegema vähemalt iga kolme aasta tagant nende riskiprofiili põhjal ohuteabel põhineva läbistustesti, võttes arvesse operatiivseid asjaolusid, ning kasutama ainult sertifitseeritud testijaid, kes omavad vajalikke teadmisi ja sobivust ning ametialast vastutuskindlustust.
Kolmandast isikust tuleneva IKT-riski juhtimine
Finantssektori ettevõtjad
juhivad kolmandast isikust tulenevat IKT-riski oma IKT-riski lahutamatu osana;
kehtestavad lepingulised kokkulepped IKT-teenuste kasutamiseks oma äritegevuses, järgides täielikult asjaomaseid õigusakte;
võtavad arvesse IKT-ga seotud probleemide ja ohtude laadi, ulatust, keerukust ja tähtsust;
kaaluvad riskide väljaselgitamisel ja hindamisel alternatiivsete lahenduste kasutamise eeliseid ja kulusid;
lisavad lepingusse iga lepinguosalise õigused ja kohustused ning teenuslepingu.
Kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate järelevaatamisraamistik
määrata finantssektori ettevõtjate jaoks selgete kriteeriumide alusel kriitilise tähtsusega kolmandast isikust IKT-teenuse osutajad;
määrata igale kriitilise tähtsusega kolmandast isikust teenuseosutajale asjakohase finantssektori ettevõtja eest vastutava ESA kui juhtiva järelevaatamisasutuse;
asutada järelevaatamisfoorum, kes
arutab IKT-riski ja nõrkusega seotud muutusi ning edendab järjepidevat seiret ELi tasandil;
hindab igal aastal järelevaatamistegevust ning edendab meetmeid, et suurendada digitaalset tegevuskerksust ja parimaid tavasid;
esitab kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate põhjalikud võrdlusalused;
volitab juhtivat järelevaatamisasutust
olema kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate peamine kontaktpunkt;
hindama, kas kõik kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajad on kehtestanud põhjalikud, usaldusväärsed ja tulemuslikud reeglid, protsessid, mehhanismid ja korra;
taotlema kogu asjakohast teavet ja dokumente, viima läbi uurimisi ja kontrolle (sh kolmandates riikides), määrama kindlaks parandusmeetmed ja andma soovitusi;
Kriitilise tähtsusega teenuseosutajate määramise kriteeriumid
Delegeeritud määruse (EL) 2024/1502 kohaselt võib IKT-teenuseid osutavatele kolmandatele isikutele määrata kriitilise tähtsuse ja võtta nad pärast kaheetapilist hindamist Euroopa järelevalveasutuste otsese järelevalve alla.
Samm1– kvantitatiivsed kriteeriumid
Teenuseosutaja peab vastama mõõdetavatele läviväärtustele, näiteks järgmistele:
teenuseosutaja teenustest sõltuvate finantssektori ettevõtjate arv või nende koguvarade osakaal;
kas tema teenuseid on võimalik asendada või kas teise teenuseosutaja juurde üleminek oleks keeruline või kulukas.
Samm2– kvalitatiivsed kriteeriumid
Esimesele sammule vastavad teenuseosutajad hinnatakse seejärel laiemate kaalutluste alusel, sealhulgas järgmiste:
potentsiaalne süsteemne mõju nende teenuste katkemise korral;
sama teenuseosutajat kasutavate finantsettevõtjate vastastikuse sõltuvuse aste;
toetatavate funktsioonide kriitilisus;
tuginemine samadele alltöövõtjatele.
Teenuseosutajale määratakse kriitiline tähtsus vaid siis, kui ta täidab mõlema sammu kriteeriumid.
Teabe jagamise kokkulepped
Finantssektori ettevõtjad võivad omavahel vahetada küberohte käsitlevat teavet ja teadmust, kui see
toimub nende digitaalse tegevuskerksuse suurendamise eesmärgil;
toimub nende jaoks usaldusväärses kogukonnas;
edendab ärisaladuse ja isikuandmete kaitset ning austab konkurentsipoliitika suuniseid.
Karistused ja parandusmeetmed
Pädevad asutused
omavad kõiki oma ülesannete täitmiseks vajalikke järelevalve-, uurimis- ja karistuste määramise volitusi;
kehtestavad ja avaldavad oma veebisaidil halduskaristused ja parandusmeetmed kooskõlas liikmesriigi õigusega.
ESAd töötavad välja regulatiivsete tehniliste standardite eelnõud IKT-riski juhtimise vahendite, liigitamise ning IKT intsidentidest teatamise ja järelevalvetegevuse jaoks.
Komisjon
omab volitust delegeeritud õigusaktide vastuvõtmiseks;
esitab Euroopa Parlamendile ja nõukogule määruse läbivaatamise pärast Euroopa järelevalveasutuste ja Euroopa Süsteemsete Riskide Nõukoguga konsulteerimist.
2008. aasta finantskriisile järgnenud reformid tugevdasid peamiselt sektori finantsstabiilsust. IKT-riskiga tegeleti mõnes valdkonnas ainult kaudselt ning see ohustas jätkuvalt ELi finantssüsteemi tegevuskerksust, tulemuslikkust ja stabiilsust.
Niinimetatud DORA määrus kuulub ulatuslikumasse digirahanduse paketti, mille eesmärk on edendada tehnoloogilist arengut ning tagada finantsstabiilsus ja tarbijakaitse. Selle muud elemendid hõlmavad digirahanduse strateegiat, krüptovara turge ja hajusraamatu tehnoloogiat.
Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554, , mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, , lk 1–79).
Määruse (EL) 2022/2554 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.
SEONDUVAD DOKUMENDID
Komisjoni delegeeritud määrus (EL) 2024/1502, , millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2554 ja täpsustatakse kriteeriume, mille alusel määratakse kolmandast isikust IKT-teenuste osutajad finantssektori ettevõtjate jaoks kriitilise tähtsusega teenuseosutajateks (ELT L, 2024/1502, ).
Komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele ELi digirahanduse strateegia kohta (COM(2020) 591 final, ).
Euroopa Parlamendi ja Nõukogu Määrus (EL) 2016/1011, , mis käsitleb indekseid, mida kasutatakse võrdlusalustena finantsinstrumentide ja -lepingute puhul või investeerimisfondide tootluse mõõtmiseks, ning millega muudetakse direktiive 2008/48/EÜ ja 2014/17/EL ning määrust (EL) nr 596/2014 (ELT L 171, , lk 1–65).
Euroopa Parlamendi ja nõukogu määrus (EL) nr 909/2014, , mis käsitleb väärtpaberiarvelduse parandamist Euroopa Liidus ja väärtpaberite keskdepositooriume ning millega muudetakse direktiive 98/26/EÜ ja 2014/65/EL ning määrust (EL) nr 236/2012 (ELT L 257, , lk 1–72)
Euroopa Parlamendi ja Nõukogu määrus (EL) Nr 600/2014, , finantsinstrumentide turgude kohta ning millega muudetakse määrust (EL) Nr 648/2012 (ELT L 173, , lk 84–148).
Euroopa Parlamendi ja nõukogu määrus (EL) nr 648/2012, , börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, , lk 1–59).