Uued nõuded digitaliseeruvale finantssektorile – ülevaade DORA määrusest ja NIS2 direktiivist

EL on võtmas finantssektoris tehnoloogia arengut tugevama luubi alla ja tulemuseks on sektorit tugevalt mõjutav ühtlustatud reeglite raamistik. Finantssektori digitaliseerumisega seoses on kasvanud ka turvalisusega seotud ohud ning riskide maandamiseks on Euroopa Liidus võetud vastu mitmeid uusi õigusakte. Kaks kõige olulisemat õigusakti küberturvalisuse valdkonnas on DORA määrus ja NIS2 direktiiv. Mida need õigusaktid reguleerivad ning kellele need kohalduvad?

Euroopa Liit on töötanud välja määruse nr 2022/2554 (DORA) (kättesaadav siin), mis jõustub 17. jaanuaril 2025. DORA käsitleb kitsamalt finantssektori digitaalset tegevuskerksust ning kehtestab reeglid info- ja kommunikatsioonitehnoloogia (IKT) riskijuhtimisele, intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele ja IKT kolmanda osapoole riskijälgimise kohta. DORA uudsus seisneb selles, et seniajani ei olnud Euroopa Liit finantssektori IKT riskide juhtimist reguleerinud määruse tasemel, vaid pigem üldisemate direktiivide, juhendite ning standarditega. Seejuures on Euroopa Liit selliste õigusaktidega üritanud ühtlustada üksnes osadele finantsettevõtetele kohalduvat reeglistikku. See on omakorda toonud kaasa selle, et erinevates liikmesriikides on IKT riske reguleeritud erinevalt, sh erinevad nii nõuded kui finantsettevõtjad, kellele nõuded kohalduvad. DORA kehtestab aga üksikasjalikud ja laiahaardelised nõuded suurele enamikule finantsettevõtjatele ning sellised nõuded on määrusest otsekohaldatavad. Lisaks kehtestatakse täiendavad tehnilised standardid, mida finantsettevõtjad määruse kohaldamisel peavad samuti rakendama. Selliselt ühtlustatakse nõuded IKT riskidele kõikides liikmesriikides ning suures osas finantssektoris.

EL-i direktiiv nr 2022/2555 (NIS2 direktiiv) (kättesaadav siin) jõustus 14. detsembril 2022 ning käsitleb meetmeid, millega tagada küberturvalisuse tase ühtlaselt kogu Euroopa Liidus. NIS2 direktiiv tugineb selle eelkäijale NIS1 direktiivile ning laiendab direktiivi kohalduvusala. NIS2 direktiiv kohaldub elutähtsa ja oluliste teenuste osutajatele väga erinevates sektorites. NIS2 kohaldub olulistele ettevõtetele nii energia-, transpordi-, tervishoiu-, vee-, digitaalteenuste-, postiveo- jne sektorites.

Mida arvestada DORA määruse puhul?

A. Kohaldatavus

DORA kohaldub enamikele finantssektori ettevõtetele (DORA artikkel 2 (1)), sh krediidiasutused, makseasutused, e-raha asutused, investeerimisühingud, krüptovarateenuse osutajad, krüptovara emitendid, väärtpaberite keskdepositooriumid, kesksed vastaspooled, kauplemiskohad, kauplemisteabehoidlad, fondivalitsejad, kindlustusandjad ja -vahendajad, ühisrahastamisteenuse osutajad, väärtpaberistamise registrid. Lisaks kohaldub DORA kolmandast isikust IKT-teenuse osutajale.

B. Peamised nõuded

1) Nõuded IKT riskijuhtimise raamistikule. DORA alusel peavad finantssektori ettevõtted:

  • looma ja säilitama kerksed IKT süsteemid, mis vähendaksid IKT riske finantssektori ettevõttes,
  • tagama IKT riskide igakülgne tuvastamine, et kehtestada asjakohased kaitse- ja ennetusmeetmed,
  • looma süsteemid ebatavaliste olukordade tuvastamiseks;
  • looma talitluspidevuse poliitikad ning katastroofi- ja taasteplaanid finantssektori ettevõttes;
  • looma mehhanismid, mis võimaldavad finantssektori ettevõttel võtta õppust nii välistest kui sisemistest sündmustest.

2) Nõuded IKT intsidentidest teavitamisele. DORA alusel peavad finantssektori ettevõtted looma asjakohased süsteemid ja protsessid, et monitoorida ja tuvastada ning salvestada IKT intsidendid vastavalt nende klassifikatsioonile. Samuti peavad finantssektori ettevõtted viivitamata raporteerima asjakohastele järelevalveasutustele IKT intsidentidest. Seejuures peavad raportid hõlmama üksikasju intsidendi mõju, algpõhjuste ja heastamismeetmete kohta. Lisaks näeb DORA ette nõuded klientide ja kasutajate teavitamisele.

3) Nõuded digitaalse tegevuskerksuse testimisele. DORA kohustab läbi viima regulaarseid testimisi, et hinnata finantssektori ettevõtte valmisolekut IKT intsidentidele ning testimise käigus tuvastatud puudused võimalikult kiiresti kõrvaldada või rakendada asjakohaseid meetmeid puuduste leevendamiseks.

4) Nõuded seoses kolmandast isikust IKT-teenuse osutajate kasutamisega. Sellega seoses kohustab DORA, et finantssektori ettevõtted:

  • looksid strateegiad, kuidas juhtida kolmandast isikust IKT-teenuse osutajatega kaasnevaid IKT riske;
  • hoiaksid kolmandast isikust IKT-teenuse osutajate kohta registrit;
  • viiksid enne lepingu sõlmimist kolmandast isikust IKT-teenuse osutajate suhtes läbi igakülgsed hindamised ja auditid;
  • sõlmiksid kolmandast isikust IKT-teenuse osutajatega asjakohased lepingud;
  • teostaksid pärast lepingu sõlmimist kolmandast isikust IKT-teenuse osutajaga tema suhtes regulaarseid hindamisi ja auditeid, sh tegema koostööd asjakohaste pädevate asutustega, kes teostavad järelevalvet finantssektori ettevõtte üle;
  • looksid väljumisstrateegiad koostööst kolmandast isikust IKT-teenuse osutajaga;
  • raporteeriksid asjakohastele pädevatele asutustele, milliseid kolmandast isikust IKT-teenuse osutajaid finantssektori ettevõte kasutab.

C. Mõju

IKT süsteemide ja turvalisusega seonduvad nõuded olid igapäevane nähtus vähemalt teatud osale finantssektrist juba aastaid. Nõuded ei olnud ühtsed ja erinesid ka riigiti – nii oli see suurematele finantssektori ettevõtetele eraldi probleem, mida DORA kindlasti leevendab. Samas on uute ühtlustatud reeglite sisseviimine märkimisvääre töö. Teisest vaatest on DORA/l eriline mõju just väiksematele, sageli väga spetsiifilist tehnoloogilist lahendust juurutavatele ettevõtetele, kelle jaoks ongi kogu äriplaani alus mingi spetsiiline ja innovatiivne lahendus. Nende ettevõtete jaoks on ühtne ja detailne raamistik omakorda suur väljakutse – kuidas panna oma innovatsioon seadusandja raamidesse. Kolmas, täiesti eraldi DORA mõju on ettevõtetele, kes osutavad finantssektorile IKT-alaseid teenuseid. Detailsemalt võiks mõju kirjeldada nii:

1) Finantssektori ettevõtted, kelle osas ei kehtinud varasemalt Euroopa Liidus kehtestatud IKT riske reguleerivad õigusaktid

Kuigi sellised õigusaktid ei taganud täielikku ühtsust nende finantssektori ettevõtete vahel, kellele need kohaldusid, oli tegemist vähemalt teatud määral IKT riskide reguleerimisega ühtlustatud viisil. Samas need finantssektori ettevõtted, kellele ei kohaldunud Euroopa Liidus kehtestatud IKT riske reguleerivad õigusaktid või, veelgi enam, ei kohaldunud ka siseriiklikud õigusaktid, peavad nüüd tegema oma IKT riskide juhtimises ja haldamises olulisi täiendusi. Seega ei oma DORA niivõrd suurt mõju ilmselt krediidiasutustele või makseasutustele, kuid omab kindlasti olulist mõju näiteks krüptovarateenuse osutajatele või fondivalitsejatele.

2) Kolmandast isikust IKT-teenuse osutajale

DORA tulekuga reguleeritakse väga põhjalikult finantssektori ettevõtete lepingulisi suhteid kolmandast isikust IKT-teenuse osutajatega, sh nii lepingu sõlmimise eelselt kui järgselt. Sealhulgas peab kolmandast isikust IKT-teenuse osutaja olema valmis alluma finantssektori ettevõtte üle järelevalvet teostava pädeva asutuse järelevalvele ning tegema sellise asutusega igakülgset koostööd. See tähendab omakorda, et ka kolmandast isikust IKT-teenuse osutajad peavad senisest enam pöörama tähelepanu nende poolt pakutavatele teenustele, et olla kooskõlas DORA nõuetega, mis tõstab selliste isikute halduskoormust enda teenuse osutamisel.

Millised on peamised kohustused NIS2 alusel?

A. Juhtumitest teatamise nõuded. NIS2 alusel peavad kohustatud ettevõtted teatama küberintsidentidest asjaomastele pädevatele järelevalveasutustele. Teavitamiskohustuse eesmärk on minimeerida intsidendi mõju osutatavale olulisele teenusele.

B. Riskide haldamine ja turvanõuded. NIS2 kohustab ettevõtteid kohaldama asjakohaseid turvameetmeid, et vähendada riske võrgu ja infosüsteemide turvalisusele. Eestis on võimalik rakendada näiteks E-ITS või ISO standardeid.

C. Tegevuse järjepidevus. NIS2 kohustub kavandama meetmeid, mis tagaksid tegevuse ärjepidevuse suurte küberintsidentide korral. Sellised meetmed peaksid hõlmama süsteemide taasteplaane ja tegevuskavasid kriisiolukorras tegutsemiseks.

D. Koostöö ja teabe jagamine. NIS2 eesmärk on tõhustada ka liikmesriikide vahelist koostööd ja soodustada teabe jagamist, eesmärgiga parandada küberjulgeoleku vastupanuvõimet.

Kirjeldatud peamiste eesmärkide saavutamiseks nõuab NIS2 mitmesuguste turvameetmete rakendamist. Erinevad turvameetmed hõlmavad järgmist:

  • asjakohaste turvameetmete rakendamine, et ennetada ja lahendada küberintsidente või leevendada selle mõju;
  • kohustuslik küberintsidentidega seotud riskide hindamine ning süsteemi riskianalüüsi koostamine,
  • küberturbega seotud poliitikate ja protseduuride vastuvõtmine;
  • mitmetasandilise autentimise sisseseadmine;
  • töötajate koolitamine, jne.

Millised on peamised erinevused NIS2 ja DORA vahel?

Kuigi nii DORA kui NIS2 on seotud küberturvalisuse tagamisega, on mõlemal õigusaktil siiski erinev eesmärk. NIS2 eesmärk on laiemalt küberturvalisuse taseme ühtlustamine EL-is.  DORA eesmärk on kaitsta finantssektorit – tagada fintantssektori operatiivne vastupidavus, finantssektori digitaalsete süsteemide töökindlus ning finantsteenuste kättesaadavus ja terviklikkus. DORA kohaselt NIS2 kehtib endiselt ka DORA subjektidele, kuid NIS2 ja DORA kattumist välditakse DORA-s sisalduva lex specialis sättega, mis muudab DORA NIS2 suhtes ülimuslikuks. Seega on ka finantssektori ettevõtetel vaja kursis olla mõlema õigusakti nõuetega.

Valdkonna eksperdid

Person Item Background
marko kairjak
Marko Kairjak, PhD.
Partner / Eesti
Person Item Background
Anneli Krunks
Anneli Krunks
Vandeadvokaat / Eesti
Person Item Background
Merlin Liis-Toomela
Merlin Liis-Toomela
Vandeadvokaat / Eesti