Gidai
/
DORA reglamentas: ką turi žinoti finansų įstaigos
Teksto nuoroda
June 18, 2026
Arūnas Vrubliauskas

DORA reglamentas: ką turi žinoti finansų įstaigos

Finansinės paslaugos šiandien neatsiejamos nuo technologijų, todėl bet koks technologinis sutrikimas gali greitai tapti ne tik IT, bet ir verslo, klientų pasitikėjimo bei reguliacinės atsakomybės klausimu.

DORA, arba Skaitmeninės veiklos atsparumo reglamentas, nustato, kaip finansų sektoriaus organizacijos turi valdyti skaitmenines rizikas ir pasiruošti IRT incidentams.

Šiame gide paaiškinsime, kas yra DORA reglamentas, kam jis taikomas, kokie pagrindiniai reikalavimai keliami finansų įstaigoms, kuo DORA skiriasi nuo TIS2 ir kaip organizacijos gali praktiškai pasirengti jo įgyvendinimui.

Kas yra DORA (Digital Operational Resilience Act)?  

DORA yra Europos Sąjungos reglamentas, skirtas finansų sektoriaus skaitmeniniam atsparumui stiprinti. Oficialus jo pavadinimas – Reglamentas (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje.

Reglamentas nustato bendras taisykles, kaip finansų įstaigos turi valdyti informacinių ir ryšių technologijų (IRT) rizikas, reaguoti į incidentus, testuoti skaitmeninį atsparumą ir kontroliuoti trečiųjų šalių technologijų tiekėjų keliamą riziką.

Iki DORA operacinė rizika finansų sektoriuje dažnai buvo vertinama plačiau, tačiau ne visada pakankamai detaliai apėmė skaitmeninių sistemų, technologinių procesų ir išorinių IRT paslaugų tiekėjų atsparumą. DORA šią sritį suvienodina ES mastu ir aiškiai apibrėžia, ko finansų įstaigos turi imtis, kad galėtų apsisaugoti nuo technologinių sutrikimų, juos aptikti, suvaldyti ir atkurti veiklą.

Kitaip tariant, DORA siekia, kad finansų įstaigos būtų pasiruošusios ne tik užkirsti kelią technologiniams incidentams, bet ir tinkamai reaguoti, kai jie vis dėlto įvyksta.

DORA įsigaliojimo terminai ir svarbiausios datos

DORA buvo priimtas kaip Europos Sąjungos reglamentas, todėl jis tiesiogiai taikomas visose ES valstybėse narėse. Lietuvos bankas nurodo, kad DORA įsigaliojo 2023 m. sausio 16 d., o taikomas nuo 2025 m. sausio 17 d.  

Svarbiausios datos:

Tai reiškia, kad finansų rinkos dalyviams DORA yra jau taikoma, ir tai turi atsispindėti jų vidaus politikoje, procesuose, rizikos valdyme, incidentų valdyme, tiekėjų kontrolėje ir technologinio atsparumo testavime.

Kam taikomas DORA?

DORA taikomas plačiam finansų sektoriaus dalyvių ratui. Jo tikslas – sukurti vienodą skaitmeninio atsparumo standartą ne tik tradicinėms finansų įstaigoms, bet ir naujesniems finansinių paslaugų rinkos dalyviams.

DORA taikomas, pavyzdžiui:

  • Bankams ir kredito įstaigoms.
  • Mokėjimų įstaigoms.
  • Elektroninių mokėjimų įstaigoms.
  • Investicinėms įmonėms.
  • Draudimo ir perdraudimo įmonėms.
  • Kripto turto paslaugų teikėjams.
  • Sutelktinio finansavimo platformoms.
  • Pensijų fondams ir kitiems finansų sektoriaus dalyviams.
  • Tam tikriems IRT trečiųjų šalių paslaugų teikėjams, kurie teikia paslaugas finansų įstaigoms.

Svarbu tai, kad DORA neapsiriboja vien pačia finansų įstaiga. Reglamentas taip pat apima išorinius technologijų tiekėjus, jei jų paslaugos yra svarbios finansų įstaigos veiklai. Tai gali būti debesijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, programinės įrangos tiekėjai, infrastruktūros partneriai ar kiti IRT paslaugų teikėjai.

DORA reikalavimai finansų įstaigoms

Reglamentas reikalauja sisteminio požiūrio į skaitmeninį atsparumą: nuo valdymo atsakomybių iki incidentų registravimo, nuo testavimo iki tiekėjų sutarčių peržiūros.

Pagrindinės sritys, kurias turi įsivertinti finansų įstaigos:

  • IRT rizikos valdymas. Finansų įstaigos turi identifikuoti, vertinti, valdyti ir stebėti technologines rizikas.
  • Valdymo organų atsakomybė. DORA pabrėžia, kad skaitmeninis atsparumas yra ne tik IT, bet ir vadovybės atsakomybė.
  • Incidentų valdymas ir pranešimas. Organizacijos turi gebėti aptikti, klasifikuoti, valdyti ir pranešti apie reikšmingus IRT incidentus.
  • Skaitmeninės veiklos atsparumo testavimas. Finansų įstaigos turi reguliariai tikrinti, ar jų sistemos ir procesai atlaikytų sutrikimus ar kibernetines grėsmes.
  • IRT trečiųjų šalių rizikos valdymas. Organizacijos turi valdyti rizikas, susijusias su technologijų tiekėjais ir išorės partneriais.
  • Veiklos tęstinumas ir atkūrimas. DORA reikalauja turėti planus, kurie padėtų greitai reaguoti į sutrikimus ir atkurti veiklą.

DORA reglamento pagrindinės sritys

DORA reglamentą galima suskirstyti į kelias pagrindines sritis. Jos padeda suprasti, kur finansų įstaigoms reikėtų sutelkti dėmesį.

IRT rizikos valdymas ir valdysena

Pirmoji DORA sritis yra IRT rizikos valdymas. Tai reiškia, kad finansų įstaigos turi turėti aiškią sistemą, kaip valdo technologines rizikas: nuo rizikų identifikavimo iki jų mažinimo ir nuolatinės stebėsenos.

Ši sritis apima:

  • IRT strategiją ir jos sąsają su verslo tikslais.
  • Rizikų vertinimą.
  • Saugumo politiką ir procedūras.
  • Atsakomybių paskirstymą.
  • Veiklos tęstinumo ir atkūrimo planus.
  • Duomenų, sistemų ir infrastruktūros apsaugą.

Kadangi DORA pabrėžia vadovybės atsakomybę už IRT rizikų valdymą, finansų įstaigoms svarbu aiškiai apsibrėžti, kas organizacijoje prižiūri informacijos saugumo kryptį, incidentų valdymą ir skaitmeninio atsparumo priemonių įgyvendinimą. Organizacijoms, kurioms trūksta nuolatinės saugumo lyderystės, gali būti aktuali ir CISO funkcija.

IRT incidentų valdymas ir pranešimas

Finansų įstaigos turi gebėti ne tik reaguoti į incidentus, bet ir juos tinkamai klasifikuoti, dokumentuoti bei pranešti priežiūros institucijoms, kai incidentas yra reikšmingas.

Tai apima:

  • Incidentų aptikimo procesus.
  • Incidentų registravimą.
  • Incidentų klasifikavimą pagal poveikį.
  • Eskalavimo tvarką.
  • Pranešimų priežiūros institucijoms procesus.
  • Veiksmus po incidento, įskaitant analizę ir tobulinimą.

Ši sritis ypač svarbi, nes technologinis incidentas finansų sektoriuje gali paveikti ne tik vieną organizaciją, bet ir klientus, partnerius, mokėjimų infrastruktūrą ar platesnę finansų ekosistemą.

Skaitmeninės veiklos atsparumo testavimas

DORA numato, kad finansų įstaigos turi reguliariai testuoti savo skaitmeninį atsparumą. Testavimas padeda suprasti, ar esamos kontrolės priemonės veikia praktiškai, o ne tik egzistuoja dokumentuose.

Testavimas gali apimti:

  • Pažeidžiamumų vertinimą.
  • Saugumo testavimą.
  • Scenarijų testavimą.
  • Veiklos tęstinumo planų testavimą.
  • Incidentų valdymo pratybas.
  • Įsilaužimų testavimą.
  • Grėsmių pagrindu atliekamą testavimą.

IRT trečiųjų šalių rizikos valdymas

Finansų įstaigos vis dažniau remiasi išoriniais technologijų tiekėjais: debesijos paslaugomis, programinės įrangos sprendimais, duomenų centrais, infrastruktūros valdymu ar specializuotomis platformomis. DORA šią priklausomybę traktuoja kaip svarbią rizikos sritį.

IRT trečiųjų šalių rizikos valdymas pagal DORA apima:

  • Tiekėjų vertinimą prieš sudarant sutartis.
  • Sutarčių sąlygų peržiūrą.
  • Kritinių ar svarbių funkcijų nustatymą.
  • Paslaugų stebėseną.
  • Pasitraukimo strategijas.
  • Tiekėjų incidentų ir veiklos sutrikimų vertinimą.
  • Rizikų koncentracijos valdymą.

Ši sritis ypač aktuali toms organizacijoms, kurios naudoja debesijos infrastruktūrą, perduoda dalį IT funkcijų išorės partneriams arba remiasi keliomis kritinėmis technologinėmis platformomis.

Informacijos ir žvalgybos apie grėsmes dalijimasis

DORA taip pat skatina finansų įstaigas dalintis informacija apie kibernetines grėsmes ir pažeidžiamumus. Toks dalijimasis gali padėti sektoriui greičiau reaguoti į pasikartojančias grėsmes, atpažinti naujus atakų metodus ir stiprinti bendrą atsparumą.

Vis dėlto toks informacijos dalijimasis turi vykti laikantis duomenų apsaugos, konfidencialumo ir kitų teisinių reikalavimų.

DORA įgyvendinimo žingsniai

DORA įgyvendinimas paprastai nėra vienkartinis dokumentų parengimo projektas. Tai nuoseklus procesas, kuriame reikia įvertinti esamą organizacijos brandą, nustatyti spragas, parengti veiksmų planą ir įdiegti praktinius pokyčius. Apie tai taip pat kalbėjomes straipsnyje su teisės ekspertu.

1. Įsivertinti esamą situaciją

Pirmas žingsnis – suprasti, kur organizacija yra dabar. Tai gali apimti:

  • Esamų IRT rizikos valdymo procesų peržiūrą.
  • Saugumo politikų ir procedūrų analizę.
  • Incidentų valdymo proceso įvertinimą.
  • Veiklos tęstinumo planų peržiūrą.
  • Tiekėjų valdymo modelio analizę.
  • Sistemų ir duomenų kritiškumo įvertinimą.

Toks įsivertinimas padeda suprasti, kurios sritys jau atitinka DORA logiką, o kur reikia papildomų veiksmų.

2. Nustatyti spragas ir prioritetus

Ne visos spragos turi vienodą poveikį. Todėl svarbu jas suskirstyti pagal riziką, svarbą veiklai ir reguliacinį jautrumą.

Prioritetai gali būti skiriami pagal tai:

  • Kurios sistemos palaiko kritines ar svarbias funkcijas.
  • Kurios rizikos gali turėti didžiausią poveikį klientams.
  • Kur nėra aiškių atsakomybių.
  • Kur trūksta dokumentuotų procesų.
  • Kur didžiausia priklausomybė nuo išorinių tiekėjų.

3. Parengti veiksmų planą

DORA pasirengimo arba įgyvendinimo planas turėtų būti praktiškas ir aiškiai priskirtas atsakingiems žmonėms. Jame verta numatyti:

  • Konkrečius darbus.
  • Atsakomybes.
  • Terminus.
  • Reikalingus dokumentus.
  • Technologinius pakeitimus.
  • Testavimo veiksmus.
  • Tiekėjų peržiūros veiksmus.

Svarbu, kad planas nebūtų tik formalus. Jis turi padėti realiai sustiprinti organizacijos gebėjimą atlaikyti technologinius sutrikimus.

4. Atnaujinti vidaus dokumentus ir procesus

DORA reikalavimai dažnai paliečia kelias organizacijos sritis: IT, informacijos saugą, rizikos valdymą, teisę, pirkimus, tiekėjų valdymą, veiklos tęstinumą ir vadovybę.

Todėl gali reikėti atnaujinti:

  • IRT rizikos valdymo politiką.
  • Incidentų valdymo procedūras.
  • Veiklos tęstinumo planus.
  • Tiekėjų vertinimo procesus.
  • Sutarčių su IRT tiekėjais šablonus.
  • Testavimo planus.
  • Atsakomybių modelį.

5. Testuoti atsparumą

Testavimas padeda patikrinti, ar procesai veikia praktiškai. Finansų įstaigos turėtų planuoti reguliarius testus, atsižvelgdamos į savo dydį, veiklos pobūdį, rizikos lygį ir sistemų kritiškumą.

Tai gali būti techniniai saugumo testai, incidentų valdymo pratybos, veiklos tęstinumo scenarijai ar įsilaužimų testavimas.

6. Stiprinti tiekėjų kontrolę

Kadangi DORA daug dėmesio skiria IRT trečiųjų šalių rizikai, finansų įstaigoms svarbu aiškiai žinoti, kurie tiekėjai yra kritiniai, kokias paslaugas jie teikia ir kaip jų veiklos sutrikimai paveiktų organizaciją.

Praktiniai veiksmai gali apimti:

  • Tiekėjų sąrašo atnaujinimą.
  • Kritinių paslaugų identifikavimą.
  • Sutarčių peržiūrą.
  • Tiekėjų rizikos vertinimą.
  • Pasitraukimo planų parengimą.
  • Nuolatinę tiekėjų stebėseną.

7. Užtikrinti nuolatinę stebėseną

DORA įgyvendinimas nesibaigia vienu projektu. Skaitmeninės rizikos keičiasi, atsiranda naujų grėsmių, keičiasi tiekėjai, sistemos ir verslo procesai.

Todėl organizacijai reikia nuolatinės stebėsenos:

  • Reguliariai peržiūrėti rizikas.
  • Atnaujinti testavimo planus.
  • Mokytis iš incidentų.
  • Peržiūrėti tiekėjų valdymą.
  • Stebėti reguliacinius pokyčius.
  • Užtikrinti, kad vadovybė turėtų pakankamai informacijos apie IRT rizikas.

DORA ir TIS2: pagrindiniai skirtumai

DORA ir TIS2 (NIS2) abu susiję su kibernetiniu saugumu ir organizacijų atsparumu, tačiau jų taikymo logika skiriasi.

DORA yra finansų sektoriui skirtas ES reglamentas. Jis tiesiogiai taikomas finansų įstaigoms, patenkančioms į jo taikymo sritį. TIS2 yra direktyva, skirta platesniam svarbių ir esminių sektorių kibernetiniam saugumui stiprinti.

Sritis DORA TIS2
Teisinė forma Reglamentas Direktyva
Taikymo sritis Finansų sektorius Platesnis sektorių ratas
Taikymas Tiesiogiai taikomas ES valstybėse Perkeliama į nacionalinę teisę
Pagrindinis tikslas Finansų sektoriaus skaitmeninis atsparumas Bendras kibernetinio saugumo lygio didinimas ES
Pagrindinis dėmesys IRT rizika, incidentai, testavimas, tiekėjai Kibernetinio saugumo valdymas, incidentai, rizikos priemonės įvairiuose sektoriuose

Finansų sektoriuje DORA laikomas specialiuoju reguliavimu TIS2 atžvilgiu. Tai reiškia, kad finansų įstaigoms, kurioms taikomas DORA, šis reglamentas yra pagrindinis dokumentas skaitmeninės veiklos atsparumo srityje. EIOPA taip pat nurodo, kad DORA yra finansų sektoriui skirtas reglamentas, užtikrinantis, jog finansų įstaigos galėtų atsilaikyti prieš IRT sutrikimus, į juos reaguoti ir po jų atsigauti.  

Daugiau apie platesnius kibernetinio saugumo reikalavimus galite skaityti mūsų TIS2 gide.

DORA ES finansų sektoriuje

DORA svarbus visam ES finansų sektoriui, nes finansinės paslaugos vis labiau priklauso nuo skaitmeninių sistemų. Mokėjimai, klientų aptarnavimas, elektroninė bankininkystė, investavimo platformos, draudimo paslaugos, kripto turto paslaugos ir vidiniai finansų įstaigų procesai dažnai veikia per sudėtingą technologinę infrastruktūrą.

Tai sukuria keletą rizikos sričių:

  • Priklausomybę nuo debesijos ir išorinių technologijų tiekėjų.
  • Sudėtingesnę incidentų grandinę.
  • Didesnį poveikį klientams sistemų sutrikimų atveju.
  • Didesnį poreikį valdyti duomenų, prieigų ir veiklos tęstinumo rizikas.
  • Poreikį stiprinti vadovybės supratimą apie IRT rizikas.

DORA siekia, kad visos finansų įstaigos ES turėtų bendrą požiūrį į šias rizikas ir taikytų palyginamus skaitmeninio atsparumo standartus.

DORA Lietuvoje

Lietuvoje DORA aktualus bankams, mokėjimo įstaigoms, elektroninių pinigų įstaigoms, fintech bendrovėms, kredito įstaigoms, draudimo sektoriui ir kitiems finansų rinkos dalyviams, patenkantiems į reglamento taikymo sritį.

Lietuvos bankas nurodo, kad DORA tikslas – didinti ES finansų sektoriaus skaitmeninį atsparumą, stiprinant finansų įstaigų IRT ir trečiųjų šalių rizikos valdymo bei veiklos atkūrimo sistemas.  

Lietuvos banko vaidmuo

Lietuvos bankas yra viena svarbiausių institucijų Lietuvos finansų sektoriaus priežiūroje. DORA kontekste jo vaidmuo susijęs su finansų rinkos dalyvių priežiūra, informacijos teikimu, reguliacinių reikalavimų aiškinimu ir pasirengimo skaitmeninio atsparumo reikalavimams stebėsena.

Finansų įstaigoms Lietuvoje svarbu sekti Lietuvos banko informaciją, gaires ir pranešimus, nes praktinis DORA taikymas priklauso ne tik nuo paties reglamento, bet ir nuo priežiūros institucijų lūkesčių.

DORA poveikis bankams

Bankams DORA ypač aktualus dėl didelės technologinės priklausomybės. Elektroninė bankininkystė, mobiliosios programėlės, mokėjimų infrastruktūra, klientų duomenų valdymas ir vidinės sistemos turi veikti stabiliai ir saugiai.

DORA poveikis fintech sektoriui

Fintech įmonėms DORA svarbus dėl spartaus augimo, technologinių inovacijų ir dažnos priklausomybės nuo išorinių platformų, API, debesijos infrastruktūros ar specializuotų tiekėjų.

DORA gali paskatinti fintech įmones labiau formalizuoti procesus, kurie ankstyvame augimo etape kartais būna mažiau dokumentuoti. Tai apima rizikos valdymą, incidentų eskalavimą, tiekėjų vertinimą, veiklos tęstinumą ir saugumo testavimą.

DORA poveikis mokėjimų įstaigoms

Mokėjimų įstaigoms DORA aktualus dėl tiesioginio ryšio su klientų lėšomis, mokėjimų infrastruktūra, trečiųjų šalių integracijomis ir paslaugų prieinamumu.

DORA reglamento santrauka

DORA yra ES reglamentas, kuris nustato bendrus skaitmeninės veiklos atsparumo reikalavimus finansų sektoriui. Jis taikomas nuo 2025 m. sausio 17 d. ir apima platų finansų įstaigų bei tam tikrų IRT paslaugų teikėjų ratą.

Trumpai tariant, DORA nustato, kaip finansų sektoriaus organizacijos turi valdyti IRT rizikas, reaguoti į incidentus, testuoti atsparumą ir kontroliuoti svarbius technologijų tiekėjus.

Reikia pagalbos praktiškai įgyvendinant DORA reikalavimus? Sužinokite daugiau apie mūsų DORA atitikties paslaugas.

DUK

Kaip pasirengti DORA reikalavimams?

Pasirengimas DORA reikalavimams prasideda nuo esamos situacijos įsivertinimo. Organizacijai svarbu peržiūrėti IRT rizikos valdymą, incidentų valdymo procesus, veiklos tęstinumo planus, tiekėjų valdymą ir testavimo praktiką. Tada reikėtų nustatyti spragas, parengti veiksmų planą, atnaujinti procesus ir reguliariai testuoti skaitmeninį atsparumą.

Kas yra ICT trečiųjų šalių rizikos valdymas pagal DORA?

ICT, arba IRT, trečiųjų šalių rizikos valdymas pagal DORA reiškia finansų įstaigos pareigą vertinti ir valdyti rizikas, kylančias dėl išorinių technologijų tiekėjų. Tai gali būti debesijos paslaugų teikėjai, programinės įrangos tiekėjai, duomenų centrų paslaugų teikėjai ar kiti partneriai, kurių paslaugos svarbios finansų įstaigos veiklai.

Kuo DORA skiriasi nuo TIS2 (NIS2)?

DORA yra finansų sektoriui skirtas ES reglamentas, tiesiogiai taikomas finansų įstaigoms. TIS2 yra direktyva, skirta platesniam sektorių ratui ir perkeliama į nacionalinę teisę. Finansų sektoriuje DORA veikia kaip specialusis reguliavimas skaitmeninio atsparumo srityje.

Related Guides

Europos prieinamumo aktas: ką organizacijoms svarbu žinoti apie EAA reikalavimus
TIS2 Lietuvoje: ką turi žinoti kiekviena organizacija?