Skirtingų organizacijų pasirengimas
DORA reglamentas apima tradicines finansų institucijas, tokias kaip bankai ir investicinės įmonės, taip pat netradicinius subjektus, įskaitant kriptoturto paslaugų teikėjus ir sutelktinio finansavimo platformas. Be to, reglamentas bus aktualus IRT paslaugų teikėjams, tokiems kaip debesijos paslaugų centrai ir duomenų analitikos įmonės. Pagrindinės subjektų grupės:
- Bankai, investicinės įmonės, draudikai,
- Kriptoturto paslaugų teikėjai ir sutelktinio finansavimo platformos,
- IRT paslaugų teikėjai: debesijos centrai, duomenų analitikos įmonės.
Pasirengimas įgyvendinti DORA reglamento reikalavimus vyksta jau dabar. Komentuodamas šį procesą skirtingų finansinių įstaigų kontekste, teisės ekspertas S. Drazdauskas pažymi:
„Brandžios finansinės organizacijos jau dabar aktyviai ruošiasi DORA reglamento įsigaliojimui, suprasdamos jo svarbą efektyviam rizikų valdymui ir veiklos tęstinumui. Didelės įstaigos, turinčios ilgametę patirtį ir pakankamus vidinius resursus, dažniausiai lengviau susidoroja su naujais atitikties reikalavimais. Tačiau mažesnės įmonės, stokodamos tokių galimybių, dažnai susiduria su didesniais iššūkiais ir privalo pasitelkti išorinius partnerius ar konsultantus, kad užtikrintų sklandų reglamento reikalavimų įgyvendinimą.“
Organizacijos vidinių resursų vertinimas
Vienas pirmųjų žingsnių siekiant atitikti DORA reglamento reikalavimus yra vidinių resursų įvertinimas. Prieš svarstydamos apie išorinių partnerių pagalbą, organizacijos turi atlikti išsamų esamų procesų bei dokumentų audito įvertinimą.
„Vertinimo procesas prasideda nuo dokumentų inventorizacijos, kadangi svarbu išnagrinėti, ar jau turimos politikos, procedūros ir vidaus dokumentai atitinka DORA reikalavimus. Tai leidžia nustatyti, kurios sritys jau atitinka reikalavimus, o kuriose gali būti reikalingos korekcijos ir papildoma dokumentacija. Tik įvertinusi vidinę situaciją, organizacija gali priimti pagrįstus sprendimus dėl išorinių partnerių įtraukimo. Kai kurios įmonės gali nustatyti, kad vidinių resursų ir kompetencijų pakanka, kad būtų galima savarankiškai pasiekti atitiktį, o kitoms gali prireikti papildomos pagalbos, kad užpildytų spragas bei užtikrintų visišką atitiktį DORA reglamento reikalavimams.“
Dar vienas svarbus žingsnis siekiant užtikrinti sklandų DORA reikalavimų įgyvendinimą – atsakingųjų asmenų komandos formavimas organizacijoje. Praktiniai pasirengimo žingsniai:
- Esamų politikų ir procedūrų inventorizacija pagal DORA reikalavimų sąrašą,
- Spragų tarp esamos dokumentacijos ir reglamento reikalavimų identifikavimas,
- Dedikuotos atitikties komandos su aiškiai paskirstytomis atsakomybėmis suformavimas,
- Nustatyti, kur reikalinga išorinė pagalba – teisės, IT ar rizikos valdymo srityse.
Kalbėdamas apie komandos formavimą, teisės ekspertas pabrėžia:
„Turėdamos aiškiai apibrėžtą komandą, atsakingą už atitiktį DORA reglamentui, organizacijos gali greičiau identifikuoti silpnas vietas ir spragas vidiniuose procesuose. Toks požiūris leidžia ne tik spartinti problemų sprendimo procesą, bet ir užtikrina, kad įmonės vidaus komanda būtų pasirengusi efektyviau bendradarbiauti su išoriniais ekspertais, kurie gali padengti trūkstamus resursus ar kompetencijas.“
Taigi suformavus atsakingųjų asmenų komandą, įmonės gali labiau susitelkti į strateginius sprendimus ir užtikrinti sklandų DORA reikalavimų įgyvendinimą, nes tai leidžia geriau koordinuoti ir kontroliuoti visus atitikties procesus.
Tarpvalstybinių rizikų valdymas
Kiekviena šalis turi savo specifinius reguliavimus ir teisines normas. Todėl keliose šalyse veikiančioms organizacijoms svarbu užtikrinti atitiktį vietos reikalavimams. Nagrinėdamas DORA reglamento atvejį, „Sorainen“ teisės ekspertas pažymi:
„DORA reglamentas suteikia galimybę centralizuotai valdyti kai kuriuos procesus, kas leidžia sumažinti administracinę naštą. Centralizuotas požiūris į atitikties užtikrinimą ne tik palengvina procesų koordinavimą tarp skirtingų šalių, bet ir padeda išvengti dubliavimo ar prieštaravimų tarp nacionalinių ir tarptautinių teisės aktų.“
S. Drazdauskas toliau pabrėžia šio požiūrio privalumus:
„Centralizuotas dokumentų rengimas suteikia galimybę suvienodinti rizikos valdymo standartus visoje įmonių grupėje, užtikrinant nuoseklų ir efektyvų atitikties procesą ES mastu. Tai itin svarbu daugiašalėms organizacijoms, kurios privalo laikytis tiek nacionalinių, tiek tarptautinių teisės aktų. Tokiu būdu organizacijos gali išvengti netikslumų, kurie sukeltų riziką veiklos tęstinumui.“
Centralizuoto valdymo privalumai grupėms:
- Viena atitikties strategija visoms grupės įmonėms,
- Atitiktis prižiūrima šalyje, kurioje išduota finansinės veiklos licencija,
- Sumažinama nacionalinių ir tarptautinių reikalavimų prieštaravimų rizika,
- Standartizuoti rizikos valdymo procesai visose jurisdikcijose.
Teisės ir IT partnerių svarba
Įvertinus esamą situaciją ir vidinius resursus, reikalingus DORA reglamento reikalavimams įgyvendinti, organizacijos gali apsvarstyti išorinių partnerių įtraukimą. Finansų įstaigos neretai ieško konsultantų, galinčių pasiūlyti sudėtinius sprendimus, apimančius tiek teisines, tiek IT sritis. Pagrindinės sritys, kuriose reikalingas abiejų disciplinų bendradarbiavimas:
- IRT teikėjų sutarčių peržiūra ir kontrolės mechanizmų įdiegimas,
- Incidentų valdymo ir ataskaitų teikimo reguliatoriui politikos,
- Skaitmeninės veiklos atsparumo testavimo (TLPT) planavimas,
- Trečiųjų šalių IRT rizikos valdymo sistemos kūrimas.
S. Drazdauskas pažymi:
„DORA reglamento įgyvendinime ypač aktualios sritys apima IRT teikėjų kontrolę, incidentų valdymo politiką ir kitus rizikos valdymo procesus. Šiose srityse dažnai nepakanka vienos srities ekspertizės, todėl bendradarbiavimas tarp teisininkų ir IT specialistų tampa būtinas norint užtikrinti sklandų DORA reikalavimų įgyvendinimą. Šis bendradarbiavimas taip pat padeda įveikti sudėtingus interpretacijos bei integracijos klausimus, kurie kyla bandant derinti teisės aktų reikalavimus su techniniais sprendimais.“
Teisės ekspertas taip pat akcentuoja:
„Išoriniai partneriai tampa svarbiais strateginiais sąjungininkais, kai įmonės susiduria su vidinių procesų trūkumais arba stokoja aiškios atitikties strategijos. Partneriai, turintys specializuotų teisės ir IT sričių žinių, ne tik padeda tinkamai įgyvendinti DORA reikalavimus, bet ir užtikrina sklandų bei efektyvų procesų valdymą.“
Ryšys tarp MiCA ir DORA reglamentų
DORA reglamentas yra glaudžiai susijęs su kitu ES reglamentu, nukreiptu į finansų sektorių – MiCA, dar žinomu anglišku „Markets in Crypto-Assets Regulation“ pavadinimu. MiCA pagrindinis tikslas yra reguliuoti kriptoturto rinką, o DORA orientuojasi į skaitmeninės veiklos atsparumo stiprinimą finansų sektoriuje. Įmonėms, siekiančioms MiCA licencijos, DORA reikalavimų įgyvendinimas tampa esmine pasirengimo dalimi, padedančia ne tik efektyviau panaudoti laiką ir resursus, bet ir užtikrinti sklandžią atitiktį platesnėms ES reglamentavimo nuostatoms.
Tiek DORA, tiek MiCA reglamentai siekia stiprinti finansų sektoriaus saugumą ir patikimumą. Aptardamas ryšį tarp MiCA bei DORA reglamentų, S. Drazdauskas įvardija:
„Organizacijos, siekiančios MiCA licencijos, dažnai vienu metu sprendžia ir DORA reikalavimus, taip užtikrindamos ne tik atitiktį abiem reglamentams, bet ir efektyvesnį laiko bei resursų valdymą. Toks strateginis požiūris leidžia įmonėms sukurti nuoseklią atitikties sistemą, kurioje nereikia spręsti tų pačių klausimų kelis kartus, o reglamentų sąsajos tampa pagrindu centralizuotai rizikos ir reikalavimų valdymo sistemai.“
Teisės ekspertas tęsia teigdamas:
„Be to, šis procesas padeda įmonėms greičiau adaptuotis prie reguliacinės aplinkos pokyčių ir sustiprina jų konkurencinį pranašumą rinkoje, nes jos ne tik įgyja licencijas, bet ir įrodo savo pasirengimą veikti pagal aukščiausius ES nustatytus standartus.“
DORA ir kitų reglamentų palyginimas
MiCA ir DORA reglamentai nėra vieninteliai ES teisės aktai, siekiantys stiprinti organizacijų saugumą ir atsparumą skaitmeninėje aplinkoje. Kitas svarbus pavyzdys – Bendrasis duomenų apsaugos reglamentas (BDAR), kuris nustato taisykles, kaip organizacijos turi tvarkyti, saugoti ir naudoti asmens duomenis, užtikrinant jų apsaugą ir gerbiant piliečių teises.
Aptardamas sąsajas tarp DORA ir BDAR teisės aktų, S. Drazdauskas įvardija:
„Atitikties DORA reglamentui užtikrinimo procesas turi nemažai panašumų su BDAR įgyvendinimo patirtimi, ypač kalbant apie bendradarbiavimą tarp teisės ir IT specialistų. Abi šios sritys reikalauja glaudžios šių dviejų sričių specialistų sąveikos, kad būtų užtikrintas atitikties reikalavimų laikymasis. Tačiau, skirtingai nei BDAR, kuris daugiausia dėmesio skiria asmens duomenų apsaugos teisiniams reikalavimams, DORA reglamentas labiau orientuotas į sistemingą IT rizikos valdymą, apimantį tiek vidinius, tiek išorinius rizikos šaltinius. Vienas iš svarbiausių DORA aspektų – tai išorinių informacinių ir ryšių technologijų teikėjų kontrolė, kad būtų užtikrinta jų atitiktis ir veiklos saugumas, nes būtent šie teikėjai gali tapti kritine rizikos grandimi, galinčia paveikti visos organizacijos veiklą.“
Lyginant DORA reglamentą su kitais teisės aktais, svarbų vaidmenį atlieka ir neseniai Lietuvoje įgyvendinta TIS2 (NIS2) direktyva. Šios direktyvos tikslas – stiprinti ES valstybių narių atsparumą kibernetinėms grėsmėms, užtikrinant aukštesnį saugumo lygį visoje Europoje įvairiuose svarbiuose sektoriuose, tokiuose kaip transportas, energetika, sveikatos apsauga, maisto pramonė ir pan.
Pagrindiniai skirtumai tarp reglamentų:
- BDAR – orientuotas į asmens duomenų teisinę apsaugą; DORA – į sisteminį IT rizikos valdymą,
- TIS2 (NIS2) – lakoniška, taikoma kiekvienoje ES šalyje atskirai. DORA – detalesnių įgyvendinimo reikalavimų reglamentas,
- DORA reikalauja žymiai detalesnės teikėjų grandinės kontrolės nei TIS2 (NIS2),
- DORA leidžia centralizuotą atitikties valdymą grupėje, o NIS2 to nesuteikia.
Ekspertas komentuoja:
„Tiek NIS2 direktyva, tiek DORA akcentuoja išorinių teikėjų grandinės rizikų valdymą, tačiau NIS2 direktyva yra žymiai lakoniškesnė. DORA reglamente ir kituose Europos Komisijos priimtuose įgyvendinamuosiuose reglamentuose formuluojami žymiai detalesni reikalavimai, susiję su teikėjų grandinės kontrole. Be to, NIS2 direktyva taikoma įmonėms kiekvienoje ES valstybėje atskirai, tuo tarpu DORA reglamento reikalavimų įgyvendinimas bus prižiūrimas toje valstybėje, kurioje yra išduota licencija finansinei veiklai, todėl atitiktis galės būti užtikrinama labiau centralizuotai.“
Ką daryti dabar?
Laikas pasirengimui DORA reglamentui sparčiai baigiasi. Tinkamas pasirengimas ne tik užtikrina atitiktį reglamentui, bet ir suteikia organizacijoms galimybę pasiekti didesnį veiklos efektyvumą – susistemintą rizikos valdymą, aiškesnius tiekėjų kontrolės procesus ir stipresnę poziciją reguliacinėje aplinkoje.
Praktiniai žingsniai, kuriuos patariama žengti šiandien:
- Atlikti vidinių dokumentų ir politikų audito inventorizaciją,
- Suformuoti dedikuotą atitikties komandą,
- Nustatyti, kur reikalinga išorinė teisės ir IT pagalba,
- Jei siekiate MiCA licencijos – spręskite abiejų reglamentų reikalavimus vienu metu.
Kaip teigia S. Drazdauskas:
„Organizacijos, kurios į DORA reglamentą žiūri ne kaip į naštą, bet kaip į galimybę susisteminti rizikos valdymą, ilguoju laikotarpiu įgyja konkurencinį pranašumą. Skaitmeninis veiklos atsparumas – tai ne tik reikalavimas reguliatoriui, bet ir realus verslo tęstinumo garantas.“
Ačiū už pokalbį!
