Skip to content

DORA kohustab finantsasutusi süstemaatiliselt digiriske ohjama

Lühidalt: Alates 2025. aasta jaanuarist kohustab DORA finantsasutusi enam kui 350 nõude alusel juhtima IKT-riske süstemaatiliselt kogu tarneahela ulatuses ning eeldab tarkvarapõhiste kolmandate osapoolte haldusprotsesside kasutuselevõttu.

Alates 17. jaanuarist 2025 on Digitaalse Tegevuskerksuse Määrus (DORA) siduv kõigile ELi finantsasutustele. Määrus nõuab enam kui 350 üksiknõude kaudu IKT-turbe juhtimise põhjalikku ümberkorraldamist, mis ületab selgelt seniseid standardeid nagu BAIT või ISO 27001.

DORA määrust täpsustatakse enam kui 100 lisanõudega, mis on sätestatud EBA, ESMA ja EIOPA regulatiivsetes tehnilistes standardites (RTS). Võrdluseks: senine BAIT, Saksamaa pangandussektori kõige nõudlikum standard, sisaldab umbes 90 nõuet. DORA ei ole seega olemasoleva laiendus, vaid toob kaasa täiesti uue keerukustaseme.

DORA-t struktureerib viis üksteisega põimuvat sammast: IKT-riskijuhtimine, intsidentide haldamine, kerksuse testimine, kolmandate osapoolte haldamine ja teabevahetus. Üksikute valdkondade eraldiseisev käsitlemine tekitab lünki, mis tulevad kiiresti nähtavale BaFini või EKP läbiviidud kontrollide käigus. Tabelarvutused ja eraldiseisvad lahendused ei vasta enam nõuetele.

Kolmandate osapoolte haldamine jääb eriti keeruliseks väljakutseks. DORA nõuab kõigi IKT-teenusepakkujate täielikku kaardistamist, nende liigitamist kriitilisuse alusel, dokumenteeritud lepingulisi nõudeid, regulaarseid hindamisi ning kogu tarneahela, sealhulgas alltöövõtulepingute, kaardistamist. Asutused, kellel on 50 või 100 välist teenusepakkujat, peavad iga pakkujat struktureeritult jälgima ja regulaarselt uuesti hindama – käsitsi tehtavad protsessid jõuavad siin oma piirideni. DORA teaberegister tuli 2026. aasta kevadel juba teist korda BaFinile esitada, seekord koos EBA tagasisidega andmekvaliteedi kohta.

2025. aasta novembris avaldasid Euroopa järelevalveasutused (EBA, EIOPA, ESMA) esimese nimekirja kriitilise tähtsusega kolmandatest teenusepakkujatest (Critical Third-Party Providers, CTPPd) – finantssektori jaoks süsteemselt olulistest tehnoloogiapakkujatest. Sellega aktiveerus üleeuroopaline järelevalveraamistik nende teenuste jaoks. Paralleelselt teeb Euroopa Komisjon “Digital Omnibus” paketiga ettepaneku lihtsustada teavitusstruktuure ja luua kesksel Euroopa tasandil teavitusportaal, mille kaudu saab edaspidi IKT-intsidentidest teatada koondatult, ilma paralleelsete riiklike teavituskanaliteta.


Allikas: www.it-daily.net · Avaldatud 6. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.

Share on: