DORA reglamentas 2025: Teisės eksperto komentarai

2025 01 09 · 6 minutės

2025 m. sausio 17 d. įsigalios „Digital Operational Resilience Act“ (DORA) reglamentas, kuris įpareigos finansų sektoriaus įmones stiprinti skaitmeninį operacinį atsparumą. Šis reglamentas, lietuviškai vadinamas „Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentu“, nustato naujus reikalavimus, apimančius ne tik vidinių resursų stiprinimą, bet ir efektyvią išorinių partnerių priežiūrą. DORA kelia iššūkių įmonėms, siekiančioms užtikrinti, kad jų procesai, infrastruktūra bei rizikos valdymas atitiktų griežtus ES reikalavimus.

Šiame interviu kartu su „Sorainen“ teisės ekspertu Stasiu Drazdausku aptariame svarbiausius DORA reglamento pasiruošimo aspektus ir iššūkius, su kuriais susiduria finansų sektorius. 

Skirtingų organizacijų pasirengimas  

DORA reglamentas apima tradicines finansų institucijas, tokias kaip bankai ir investicinės įmonės, taip pat netradicinius subjektus, įskaitant kriptoturto paslaugų teikėjus ir sutelktinio finansavimo platformas. Be to, reglamentas bus aktualus IRT paslaugų teikėjams, tokiems kaip debesijos paslaugų centrai ir duomenų analitikos įmonės. 

Pasirengimas įgyvendinti DORA reglamento reikalavimus vyksta jau dabar. Komentuodamas šį procesą skirtingų finansinių įstaigų kontekste, teisės ekspertas S. Drazdauskas pažymi: 

„Brandžios finansinės organizacijos jau dabar aktyviai ruošiasi DORA reglamento įsigaliojimui, suprasdamos jo svarbą efektyviam rizikų valdymui ir veiklos tęstinumui. Didelės įstaigos, turinčios ilgametę patirtį ir pakankamus vidinius resursus, dažniausiai lengviau susidoroja su naujais atitikties reikalavimais. Tačiau mažesnės įmonės, stokodamos tokių galimybių, dažnai susiduria su didesniais iššūkiais ir privalo pasitelkti išorinius partnerius ar konsultantus, kad užtikrintų sklandų reglamento reikalavimų įgyvendinimą.“ 

Organizacijos vidinių resursų vertinimas 

Vienas pirmųjų žingsnių siekiant atitikti DORA reglamento reikalavimus yra vidinių resursų įvertinimas. Prieš svarstydamos apie išorinių partnerių pagalbą, organizacijos turi atlikti išsamų esamų procesų bei dokumentų audito įvertinimą. 

„Vertinimo procesas prasideda nuo dokumentų inventorizacijos, kadangi yra svarbu išnagrinėti, ar jau turimos politikos, procedūros ir vidaus dokumentai atitinka DORA reikalavimus. Tai leidžia nustatyti, kurios sritys jau atitinka reikalavimus, o kuriose gali būti reikalingos korekcijos ir papildoma dokumentacija. Tik įvertinus vidinę situaciją, organizacija gali priimti pagrįstus sprendimus dėl išorinių partnerių įtraukimo. Kai kurios įmonės gali nustatyti, kad vidinių resursų ir kompetencijų pakanka, kad būtų galima savarankiškai pasiekti atitiktį, o kitoms gali prireikti papildomos pagalbos, kad užpildytų spragas bei užtikrintų visišką atitiktį DORA reglamento reikalavimams,“ – teigia S. Drazdauskas. 

Dar vienas svarbus žingsnis siekiant užtikrinti sklandų DORA reikalavimų įgyvendinimą – atsakingų asmenų komandos formavimas organizacijoje. Kalbėdamas apie tai, teisės ekspertas pabrėžia: 

„Turėdamos aiškiai apibrėžtą komandą, atsakingą už atitiktį DORA reglamentui, organizacijos gali greičiau identifikuoti silpnas vietas ir spragas vidiniuose procesuose. Toks požiūris leidžia ne tik spartinti problemų sprendimo procesą, bet ir užtikrina, kad įmonės vidaus komanda būtų pasirengusi efektyviau bendradarbiauti su išoriniais ekspertais, kurie gali padengti trūkstamus resursus ar kompetencijas.“ 

Taigi suformavus atsakingų asmenų komandą, įmonės gali labiau susitelkti į strateginius sprendimus ir užtikrinti sklandų DORA reikalavimų įgyvendinimą, nes tai leidžia geriau koordinuoti ir kontroliuoti visus atitikties procesus. 

Tarpvalstybinių rizikų valdymas 

Kiekviena šalis turi savo specifinius reguliavimus ir teisines normas. Tad, keliose šalyse veikiančioms organizacijoms yra svarbu užtikrinti atitiktį vietos reikalavimams. Nagrinėdamas DORA reglamento atvejį, „Sorainen“ teisės ekspertas pažymi: 

„DORA reglamentas suteikia galimybę centralizuotai valdyti kai kuriuos procesus, kas leidžia sumažinti administracinę naštą. Centralizuotas požiūris į atitikties užtikrinimą ne tik palengvina procesų koordinavimą tarp skirtingų šalių, bet ir padeda išvengti dubliavimo ar prieštaravimų tarp nacionalinių ir tarptautinių teisės aktų.“ 

S. Drazdauskas toliau pabrėžia šio požiūrio privalumus: 

„Centralizuotas dokumentų rengimas suteikia galimybę suvienodinti rizikos valdymo standartus visoje įmonių grupėje, užtikrinant nuoseklų ir efektyvų atitikties procesą ES mastu. Tai itin svarbu daugiašalėms organizacijoms, kurios privalo laikytis tiek nacionalinių, tiek tarptautinių teisės aktų. Tokiu būdu organizacijos gali išvengti netikslumų, kurie sukeltų riziką veiklos tęstinumui.“ 

Teisės ir IT partnerių svarba 

Įvertinus esamą situaciją ir vidinius resursus, reikalingus DORA reglamento reikalavimams įgyvendinti, organizacijos gali apsvarstyti išorinių partnerių įtraukimą. Finansų įstaigos neretai ieško konsultantų, galinčių pasiūlyti sudėtinius sprendimus, apimančius tiek teisines, tiek IT sritis. S. Drazdauskas pažymi: 

„DORA reglamento įgyvendinime ypač aktualios sritys apima IRT tiekėjų kontrolę, incidentų valdymo politiką ir kitus rizikos valdymo procesus. Šiose srityse dažnai nepakanka vienos srities ekspertizės, todėl bendradarbiavimas tarp teisininkų ir IT specialistų tampa būtinas norint užtikrinti sklandų DORA reikalavimų įgyvendinimą. Šis bendradarbiavimas taip pat padeda įveikti sudėtingus interpretacijos bei integracijos klausimus, kurie kyla bandant derinti teisės aktų reikalavimus su techniniais sprendimais.“ 

Teisės ekspertas taip pat akcentuoja: 

„Išoriniai partneriai tampa svarbiais strateginiais sąjungininkais, kai įmonės susiduria su vidinių procesų trūkumais arba stokoja aiškios atitikties strategijos. Partneriai, turintys specializuotų teisės ir IT sričių žinių, ne tik padeda tinkamai įgyvendinti DORA reikalavimus, bet ir užtikrina sklandų bei efektyvų procesų valdymą.“ 

Ryšys tarp MiCA ir DORA reglamentų 

DORA reglamentas yra glaudžiai susijęs su kitu ES reglamentu, nukreiptu į finansų sektorių  – MiCA, dar žinomu anglišku „Markets in Crypto-Assets Regulation“ pavadinimu. MiCA pagrindinis tikslas yra reguliuoti kriptoturto rinką, DORA orientuojasi į skaitmeninės veiklos atsparumo stiprinimą finansų sektoriuje. Įmonėms, siekiančioms MiCA licencijos, DORA reikalavimų įgyvendinimas tampa esmine pasirengimo dalimi, padedančia ne tik efektyviau panaudoti laiką ir resursus, bet ir užtikrinti sklandžią atitiktį platesnėms ES reglamentavimo nuostatoms. 

Tiek DORA, tiek MiCA reglamentai siekia stiprinti finansų sektoriaus saugumą ir patikimumą. Aptardamas ryšį tarp MiCA bei DORA reglamentų, S. Drazdauskas įvardija: 

„Organizacijos, siekiančios MiCA licencijos, dažnai vienu metu sprendžia ir DORA reikalavimus, taip užtikrindamos ne tik atitiktį abiem reglamentams, bet ir efektyvesnį laiko bei resursų valdymą. Toks strateginis požiūris leidžia įmonėms sukurti nuoseklią atitikties sistemą, kurioje nereikia spręsti tų pačių klausimų kelis kartus, o reglamentų sąsajos tampa pagrindu centralizuotai rizikos ir reikalavimų valdymo sistemai.“ 

Teisės ekspertas tęsia teigdamas: 

„Be to, šis procesas padeda įmonėms greičiau adaptuotis prie reguliacinės aplinkos pokyčių ir sustiprina jų konkurencinį pranašumą rinkoje, nes jos ne tik įgyja licencijas, bet ir įrodo savo pasirengimą veikti pagal aukščiausius ES nustatytus standartus.“ 

DORA ir kitų reglamentų palyginimas 

MiCA ir DORA reglamentai nėra vieninteliai ES teisės aktai, siekiantys stiprinti organizacijų saugumą ir atsparumą skaitmeninėje aplinkoje. Kitas svarbus pavyzdys – Bendrasis duomenų apsaugos reglamentas (BDAR), kuris nustato taisykles, kaip organizacijos turi tvarkyti, saugoti ir naudoti asmens duomenis, užtikrinant jų apsaugą ir gerbiant piliečių teises. 

Aptardamas sąsajas tarp DORA ir BDAR teisės aktų, S. Drazdauskas įvardija: 

„Atitikties DORA reglamentui užtikrinimo procesas turi nemažai panašumų su BDAR įgyvendinimo patirtimi, ypač kalbant apie bendradarbiavimą tarp teisės ir IT specialistų. Abi šios sritys reikalauja glaudaus šių dviejų sričių specialistų sąveikos, kad būtų užtikrintas atitikties reikalavimų laikymasis. Tačiau, skirtingai nei BDAR, kuris daugiausia dėmesio skiria asmens duomenų apsaugos teisiniams reikalavimams, DORA reglamentas labiau orientuotas į sistemingą IT rizikos valdymą, apimantį tiek vidinius, tiek išorinius rizikos šaltinius. Vienas iš svarbiausių DORA aspektų – tai išorinių informacinių ir ryšio technologijų tiekėjų kontrolė, kad būtų užtikrinta jų atitiktis ir veiklos saugumas, nes būtent šie tiekėjai gali tapti kritine rizikos grandimi, galinčia paveikti visos organizacijos veiklą.“ 

Lyginant DORA reglamentą su kitais teisės aktais, svarbų vaidmenį atlieka ir neseniai Lietuvoje įgyvendinta NIS2 direktyva. Šios direktyvos tikslas – stiprinti ES valstybių narių atsparumą kibernetinėms grėsmėms, užtikrinant aukštesnį saugumo lygį visoje Europoje įvairiuose svarbiuose sektoriuose, tokiuose kaip transportas, energetika, sveikatos apsauga, maisto pramonė ir pan. 

„Tiek NIS2 direktyva, tiek DORA akcentuoja išorinių tiekėjų grandinės rizikų valdymą, tačiau NIS2 direktyva yra žymiai lakoniškesnė. DORA reglamente, ir kituose Europos Komisijos priimtuose įgyvendinančiuose reglamentuose formuluojami žymiai detalesni reikalavimai, susiję su tiekėjų grandinės kontrole. Be to, NIS2 direktyva taikoma įmonėms kiekvienoje ES valstybėje atskirai, tuo tarpu DORA reglamento reikalavimų įgyvendinimas bus prižiūrimas toje valstybėje, kurioje yra išduota licencija finansinei veiklai, todėl atitiktis galės būti užtikrinama labiau centralizuotai“, – komentuoja teisės ekspertas.

DORA reglamentas žymi svarbų žingsnį finansų sektoriaus atsparumo stiprinimo link. Kaip pažymėjo teisininkas Stasys mūsų interviu metu, organizacijoms yra svarbu laiku įvertinti savo turimus resursus, apsvarstyti išorinių partnerių pagalbą ir išnaudoti centralizuoto valdymo privalumus. Taigi tinkamas pasirengimas ne tik užtikrina atitiktį DORA reglamentui, bet ir suteikia organizacijoms galimybę pasiekti didesnį veiklos efektyvumą. 

Dėkoju už pokalbį, Stasy!

Aptarkime naujas galimybes jums

Norite pasikonsultuoti ar turite papildomų klausimų? Susisiekite jums patogiu būdu jau šiandien.

Rezervuoti laiką

+370 5 2 780 400
info@ba.lt