Järgmise aasta algul jõustub Euroopa Liidus uus määrus nimega DORA, mille toel soovitakse vähendada finantssektori digitaalset haavatavust. Eesmärgiks on parandada ettevõtete suutlikkust taluda, kohaneda ja kiiresti taastuda erinevatest IKT häiringutest, nagu näiteks tehnilised rikked ning küberrünnakud. Sellega käib kaasas aga rida nõudmisi, mis puudutavad nii pankasid, krüptovarateenuste pakkujaid, kindlustusandjaid – kokkuvõttes tuhandeid Euroopas tegutsevaid organisatsioone. Mida DORA reguleerima hakkab ning millega tuleks algust teha juba enne, kui aastanumber on vahetunud?
Mis on DORA?
“Kui seni on erinevates Euroopa Liidu liikmesriikides IKT riske finantssektoris reguleeritud erinevalt, siis nüüd põhinõuded ühtlustuvad,” kommenteerib kirjalikus vastuses Finantsinspektsioon. DORA ehk Digital Operational Resilience Act jõustub 2025. aasta 17. jaanuaril. Määrus käsitleb finantssektori digitaalset tegevuskerksust ehk siis ettevõtete võimet tagada järjepidevus ja turvalisus ka mistahes kriisiolukorras. Finantsinspektsiooni teatel kohaldatakse seda suure osa finantssektori suhtes. Muudatused puudutavad muuhulgas pankasid, makseasutusi, e-raha asutusi, investeerimisühinguid, krüptovarateenuste pakkujaid ja kauplemiskohti, kindlustusandjaid ja -vahendajaid, fondivalitsejaid ja ühisrahastusteenuse osutajaid.
DORA loodi vajadusest vähendada finantssektori haavatavust digitaalses maailmas. Tehnoloogia areneb kiiresti ja finantssektori sõltuvus IKT süsteemidest kasvab. “Määruse eesmärk on vähendada finantssektoris äriprotsesside ja oluliste funktsioonide katkemise riski nii ettevõtte kui ka klientide teabe- ja finantsvarale, mida võivad põhjustada nii tehnilised rikked, operatiivsed vead kui ka küberründed. Määrus aitab suurendada muuhulgas finantsteenuste klientide ja investorite kaitset,” kommenteeritakse finantsinspektsioonist.
Mida DORA reguleerima hakkab?
Nagu juba öeldud, keskendub DORA tugevalt IKT süsteemide ja teenuste turvalisusele ning töökindlusele. Finantssektor on muutumas üha enam tehnoloogiapõhiseks ning sõltub suurel määral infotehnoloogilistest lahendustest. DORA nõuab finantsasutustelt, et nad võtaksid kasutusele põhjalikud meetmed IKT-riskide juhtimiseks ja oma digitaalse toimepidevuse tagamiseks. See ei puuduta ainult tehnoloogilisi lahendusi ja (digi)taristut, vaid ka organisatsiooniliste protsesside tõhustamist ja töötajate koolitamist.
Määruses on kirjas nõuded, mis käsitlevad IKT-riskide juhtimist, IKT-intsidentide liigitamist ja järelevalve teavitamist, digitaalse tegevuskerksuse testimist, kolmandast isikust tuleneva IKT-riski juhtimist, info jagamist finantsasutuste vahel jne.
Millega siis tuleb edaspidi arvestada?
- Finantsasutused peavad regulaarselt testima oma IT-süsteemide turvalisus ja ka füüsilist töökindlust, sealhulgas läbi viima rünnakute simulatsioone, et tagada toimepidevus ja tuvastada nõrkused enne, kui nendest kujunevad reaalsed probleemid.
- Ettevõtted peavad looma protseduurid IKT-intsidentide kiireks liigitamiseks ja nendest teavitamiseks. Näiteks tuleb koostada juhised, kuidas tulla toime andmelekkega, ja kindlustada, et intsidentidest teavitatakse õigeaegselt vastavaid järelevalveasutusi.
- Finantsasutused peavad regulaarselt hindama ja jälgima kolmandate osapoolte IKT-teenusepakkujate usaldusväärsust ja turvalisust. See tähendab, et kõik lepingud peavad sisaldama selgeid kontrollitavaid nõudeid turvalisuse ja teenuse järjepidevuse kohta ning neid tuleb regulaarselt üle vaadata.
- Ettevõtted peavad välja töötama ja rakendama digitaalse tegevuskerksuse plaane, mis hõlmavad kriisijuhtimisstrateegiaid ja taastamisprotseduure. Need plaanid peavad olema ka testitud ja ajakohastatud, et tagada valmisolek võimalike hädaolukordade jaoks.
- IKT riskide hindamine peab olema integreeritud ettevõtte igapäevastesse tegevustesse. See tähendab pidevat jälgimist ja regulaarseid auditeid. Ettevõtetel tuleb luua mehhanismid riskide tuvastamiseks, hindamiseks ning tõhusaks juhtimiseks.
Ära tuleks mainida, et DORA-s kehtib proportsionaalsuse põhimõte. See tähendab, et mikro-, väikestele ja keskmistele ettevõtetele ning veel mõnedele direktiividega määratud erandiga ettevõtetele kehtivad leevendused. Ennekõike peavad oma IT-jalajälje ja selle turvalisuse ja töökindluse üle vaatama rahvusvahelise haardega suurettevõtted.
Finantsasutused peavad üle vaatama ka teenusepakkujad
“DORA juures on tähtis mõista, et see kehtib mitte ainult finantsasutustele, vaid ka IKT-teenuse pakkujatele, kes teenindavad finantssektorit. Oluliselt nõudlikum vaade IT-taristule seab pakkujatele kõrgemad kvaliteediootused. See lihtsustab finantsasutustel audteerimist ning auditite läbimist,” selgitab Martin Rungi, kes puutub Baltikumi suurimas andmekeskuses igapäevaselt kokku selle sektori vajadustega.
Muuhulgas kerkib fookusesse seadmeruumide füüsiline turvalisus. “Laiapõhjalisest küberturbest on ainult siis kasu, kui füüsilise turbe osas ei esine puudusi. Kurioossemate näidete puhul on kõrvalistel isikutel olnud vaba juurdepääs IKT seadmetele. Sealt edasi on halbade kavatsuste korral lihtne kasvõi toide katkestada ja põhjustada ulatuslik katkestus. Ehk et andmekeskuse teenusepakkuja peab suutma veenvalt selgitada ja tõendada, kuidas kliendi seadmeid kaitstakse” selgitab Rungi.
Teiseks töökindlus. “Riskistsenaariumide läbitöötamisel on oluline komponent, kuidas on tagatud IT-taristu tõrkekindlus. Lihtsamini öeldes, kui ärikriitilistes seadmetes ei ole voolu, siis ei ole ka tänapäeval panka. Seega finantsasutusel tuleb andmekeskuselt nõuda auditeeritud kinnitust, et töökindlus on päriselt tagatud, või siis ise läbi viia laiapõhjalisi auditeid seadmeruumide osas, mis on aga äärmiselt ajamahukas ja teadmistepõhine tegevus. See eeldab juba spetsiifilise kompetentsiga spetsialisti värbamist” täiendab Greenergy Data Centersi segmendijuht.
Kolmandaks andmekeskuste sertifitseeritus. “DORA või teiste määruste täitmise tõendamist võib õige sertifikaat märkimisväärselt lihtsustada, sest auditeerija ei pea kõiki taristuga seonduvat üksipulgi läbi käima. Tõendamine on sertifikaadi saamisel juba tehtud, See vähendab kliendipoolset koormust märkimisväärselt,” lisab Rungi. Tema sõnul võiks finantsasutused oma IKT taristu pakkujaga väga selgelt kokku leppida, kuidas viimane aitab ettevõtet DORA nõuetele vastata ning auditeerimist ladusamalt läbida.
Mida veel teada? Finantssektori ettevõtjate jaoks on oluline enne uut aastat tutvuda DORA nõuetega, mille järgimist hakkab kontrollima Finantsinspektsioon, kui ka DORA tehniliste regulatsioonidega.
Kokkuvõttes seisab finantsasutustel kahtlemata ees palju tööd, et kohandada oma IKT-süsteeme ja protsesse vastavalt uutele nõuetele, kuid lõppkokkuvõttes aitab see kaasa turvalisema ja stabiilsema finantssektori loomisele. See on kasulik ka finantsasutustele endile.
Kommenteerib SEB Eesti tootearenduse ja tehnoloogiajuht Andrus Tamm
Milliseid võimalusi IT-süsteemide turvalisemaks ja töökindlamaks muutmiseks pakub DORA?
DORA nõuded on koostatud pikaajalise kogemuse baasil. Selles valdkonnas töötavad küberturbe, talitluspidevuse ja IT-operatsioonide inimesed on sarnastest nõuetest või neile vastavatest tegevuskavadest rääkinud pidevalt. DORA annab neile nüüd selgemad nõuded, kirjeldab neid konkreetsemalt. See annab süsteemi eest tervikuna vastutajatele (regulaatorid) võimaluse teha andmeanalüüsi ja küberkerksuse olukorra hindamisel teha süsteemsemaid järeldusi ja anda süsteemsemaid tegevussuuniseid. Näiteks pole meil siiani olnud ühetaolisi kriteeriume intsidentide hindamisel, enamasti hindas seda igaüks oma vajadustest ja kogemustest lähtuvalt.
DORA annab hea aluse ja raamistiku kaitsemehhanismide loomiseks ettevõttes. Kindlasti ei ole see tasuta, aga oma autot ei unusta me kindlustada ja vaatamata sellele, et see on kohustuslik, siis hindame seda nõuet kõrgelt, kui satume intsidenti ja saame abi kahjude korvamiseks. Sarnaselt on ka DORA kohustus, mis annab võimaluse luua kerkselt toimiv keskkond. See on vajadus, mis on märkamatult kasvanud väga suureks osaks meie elust, meie digitaalsest elust ehk siis nendest digitaalsetest teenustest, mida igapäevaselt kasutame ja peame ka hoolsalt kaitsma. Digitaalne teenus ei ole ainult vara, see on ennekõike vastutus, vastutus selle toimimise eest.
DORA adresseerib väga asjakohaselt ka suuremaid küberturbe raskuspunkte nagu hoolas ja põhjalik kübernõrkuste testimine ja kolmandate osapoolte hoolsuskohustus ja selle dokumenteerimine ja kontroll. Siiani on ettevõtted olnud pigem tagasihoidlikud oma teenusepakkujate hoolsuse kontrollimisel ja kui teenusepakkuja on väga suur, siis tihti on see suuruse ebaproportsionaalsus ka põhjus, et kontroll ei ole piisav või puudub täiesti. DORA puhul on meie Euroopa kesksetel regulaatoritel piisavalt võimu selle olukorra balansseerimiseks.
Kuivõrd muudab hea IT-süsteemide läbimõtlemine ning kõrgete standardite järgi ehitatud ja sertifitseeritud andmekeskuse kasutamine DORA nõuetele vastamist lihtsamaks?
SEB hindab väga kõrgelt oma partnerite hoolsust ja valmidust informatsiooni jagamiseks oma kohustuste täitmisel. Suurte süsteemide ehitamisel peame kindlasti spetsialiseeruma ja tegema seda, mis meile jõukohane. SEB ei ehita ise oma andmekeskuseid, me ostame selle teenusena selleks spetsialiseerunud ettevõtetelt. Sama teeme me paljude teenuste või toodetega, mida suudame turult leida. Nii nagu iga teenuse sisseostuga, on ka sellel alal vajalik kriitiliste teadmiste omamine meie enda poolel, et hinnata, kas meie partnerid tegutsevad meile sobival viisil. Osa sellest viisist on kindlasti ka vastavus seadustele ja regulatsioonidele.
Hindame väga kõrgelt meie partnerite soovi ehitada oma teenuseid ja süsteeme vastavalt headele tavadele ja tegevust, mis tõestab selles valdkonnas kehtiva standardi kasutamise tõestus või sertifikaat. Mul on väga hea meel, et Greenergy on selles vallas väga head tööd teinud ja omab sertifikaate, mis aitavad muu hulgas ka teenuse hindamisel selgemalt aru saada kasutatavatest hoolsusmeetmetest.
