Tänavu 17. jaanuaril jõustus Euroopa Liidu uus määrus DORA (Digital Operational Resilience Act), mis keskendub finantssektori stabiilsuse tagamisele. Määrus aitab täiendada seda, mida sätestavad juba varasemast Euroopa Pangandusjärelevalve (EBA) juhised, ning tõstab fookusesse sektori toimepidevuse ja küberturvalisuse. FinanceEstonia ja TRINITI korraldatud seminaril arutlesid eksperdid DORA rakendamisega seotud väljakutsete ja võimaluste üle.
TRINITI advokaat ja arutelu moderaator Kelly Nõmmiko tõi välja, et küberturvalisus on äärmiselt oluline, sest finantsteenused baseeruvad digitaalsel infrastruktuuril. “Intsidendid tulevad, küsimus on vaid selles, millal ja mis ulatuses,” rõhutas ta.
DORA eesmärk on muuta finantssektor küberintsidentideks paremini ettevalmistatuks, nõudes intsidendihalduse ja taastumisplaanide põhjalikku läbimõtlemist. Nõmmiko lisas, et määrus on üle Euroopa Liidu otsekohalduv, kuna tekkida võivad intsidendid on reeglina samuti piiriülesed.
TRINITI andmekaitse ja küberturvalisuse advokaat Kristena Kutti selgitas, et DORA lisab senistele juhistele olulist detailsust, eriti tarneahelate analüüsis. “Fookus liigub rohkem küberturvalisusele ja toimepidevusele ning sellele, kuidas võimalikult kiiresti intsidentidest taastuda,” ütles Kutti. Selle saavutamiseks tuleb finantssektoris tagada tarneahelate läbipaistvus ja keskenduda riskide maandamisele.
Eesmärk on, et põhimõtete tasandil oleks protsessid paigas ja kirjeldatud. Lisaks muule nõuab DORA ka väliste teenusepakkujate kaasamise registri loomist. Kutti sõnul on oluline hinnata, kas teenusepakkuja vastab vajalikele nõuetele ja suudab tagada küberturvalisuse. Lisaks tagab määrus osapoolte vahel lepingulistes suhetes senisest paremini proportsionaalsuse nõude.
Koostöö ja simulatsioonid
Andmekaitse ja küberturvalisuse advokaat rõhutas, et koostöö ja ühisõppused on olulised, et paremini valmistuda ja ennetada probleeme. “Intsidentide puhul on peamine ettevalmistus – eelnevalt kokku lepitud rollid ja tegevuskavad,” lisas ta. Oluline on ka intsidentide kohta info jagamine, sest see suurendab sektori võimekust toime tulla ja süsteeme kindlamaks muuta.
Järelevalvet hakkab Eestis tagama Finantsinspektsioon ning Euroopa tasandil EBA, EIOPA ja ESMA. Peamine eesmärk pole niivõrd intsidentide esinemise tuvastamine, vaid tagada, et nõuded oleks ka sisuliselt täidetud. “See tähendab, et tähtsust ei oma vaid see, kas paberid on korras, vaid kuidas suudetakse intsidentidest taastuda ja teenuse järjepidevus tagada,” rõhutasid eksperdid.
Praktilised muudatused finantssektoris
Bigbanki andmehalduse spetsialist ja DORA projektijuht Margus Audova selgitas, et kuigi DORA lisab mitmeid olulisi nõudeid, on põhialused varasemate juhistega juba kaetud. “DORA saab olla müügiargument, sest see kehtestab ühtlustatud reeglid, mis suurendavad kogu finantssektori usaldusväärsust,” lisas Audova.
Audova sõnul on eraldi välja toomist väärt, et intsidentidest teavitamise juhend on positiivselt detailne ja aitab intsidente paremini klassifitseerida. “On selgelt kirjas, millal tuleb intsidendist raporteerida,” lisas ta. Samuti peavad finantsasutused pöörama rohkem tähelepanu tarneahelatele ja nende seirele.
“Oluline on mõelda ka sellele, kuidas selgitada nõuete täitmist järelevalvele ning sellele, et nõuete rakendamine oleks arusaadav ka organisatsioonisiseselt,” täpsustas Audova. Samas on väljakutseks lepinguliste suhete korrigeerimine ja vajadusel nendest väljumiseks vajalike plaanide loomine, eelkõige organisatsioonide jaoks, kes pole sellega varasemalt süsteemselt tegelenud . Positiivne on, et kriitiliste teenusepakkujate puhul kehtib DORA tulekuga täiendav järelevalve.
Partnerluse roll DORA rakendamisel
XYB tootejuht ja FinanceEstonia FinTech töögrupi juht Ian Kalla rõhutas koostöö tähtsust. “Partnerluse element peab läbi kõlama, ühepoolne suhtlus ei toimi,” selgitas Kalla. Tema sõnul annavad ühiselt defineeritud protsessid ja standardid tugeva aluse efektiivsele koostööle.
Kalla selgitas, et kriitiliste teenuste puhul tuleb keskenduda riskipõhisele hindamisele. “Alla kindlate kriteeriumite me teenust ei paku,” ütles ta, viidates, et DORA kehtestab miinimumnõuded, millest ei saa mööda vaadata. “Alati on võimalik ise ka rohkem teha kui nõutakse.”
Protsessid ja tasakaalu saavutamine
Grant Thorntoni infoturbe juhtiv nõustaja Doris Matteus tõi esile, et DORA paneb suurema rõhu praktilistele protsessidele, mitte ainult dokumentatsioonile. “Intsidendid juhtuvad, aga oluline on, kuidas neist taastutakse. Koostöö ja praktika annavad sektoriülese eelise,” selgitas Matteus.
Matteuse sõnul on DORAl potentsiaali suurendada tasakaalu finantsasutuste ja IKT-teenuse pakkujate vahel, vähendades ühepoolset tingimuste dikteerimist. “Koostöö aitab tasakaalu saavutada. Risk on kliendil – ta kas maandab riske ise või ostab maandamise sisse,“ lisas ta. Katsetused ja simulatsioonid võimaldavad tuvastada nõrkusi ja parandada valmisolekut.
Veel on oluline intsidentidest teatamine ning suurem julgus seda teha. “Tekkivaid intsidente tuleb kiirelt ja korrektselt lahendada. Palju suuremat kahju toob tihti see, mida tehakse või jäetakse tegemata pärast intsidendist teada saamist, mitte intsident ise.”
Sektor tervitab ühtlustatud standardeid
Kokkuvõttes ei loo DORA finantssektorile midagi radikaalselt uut, vaid struktureerib ja täiustab varasemaid praktikaid. Määruse eesmärk on tugevdada sektori vastupanuvõimet, parandada koostöö mehhanisme ja selgitada vastutusalasid.
Seminaril osalenud eksperdid nõustusid, et DORA on tervitatav samm, mis loob ühtlustatud standardid ja lihtsustab intsidendihaldust. Oluline on, et finantsasutused ja teenusepakkujad läheneksid selle rakendamisele strateegiliselt, keskendudes protsesside korrastamisele, koostööle ja pikaajalisele küberturvalisusele.
Kuula ka samal teemal 15. jaanuari Äripäeva raadiosaadet: TRINITI eetris / Küberkuritegevust hakkab piirama uus määrus: küsimus pole, kas küberintsident juhtub, vaid millal juhtub
Fotode autor: Kristi Sits
