DORA atitikties paslaugos skirtos finansų ir fintech įmonėms, kurioms reikia ne tik suprasti reglamento reikalavimus, bet ir praktiškai juos įgyvendinti. Skaitmeninio veiklos atsparumo aktas, arba Europos Sąjungos reglamentas (ES) 2022/2554 (angl. „DORA – Digital Operational Resilience Act”) yra tiesiogiai taikomas Europos Sąjungos reglamentas, skirtas stiprinti finansų sektoriaus skaitmeninį veiklos atsparumą. DORA taikomas nuo 2025 m. sausio 17 d. Jis apima finansų įstaigų IRT rizikos valdymą, incidentų valdymą ir pranešimus, veiklos atsparumo testavimą, IRT trečiųjų šalių rizikos valdymą bei kitus susijusius reikalavimus.
Jei jūsų organizacija yra elektroninių pinigų įstaiga, mokėjimo įstaiga, investicinė įmonė, turto valdymo bendrovė, draudimo ar kita reguliuojama finansų rinkos įmonė, DORA atitikties paslaugos padeda aiškiai suprasti, kokie reikalavimai aktualiausi jūsų veiklai ir kaip sukurti sistemą, kuri būtų ne tik „popierinė“, bet ir realiai valdoma. DORA nėra vien IT dokumentų projektas. Tai valdymo, procesų, atsakomybių, tiekėjų priežiūros ir įrodymų klausimas, kuris turi būti aiškus ir vadovybei.
Mūsų įmonės teikiamos DORA atitikties paslaugos orientuotos į praktinę naudą verslui. Vietoje abstrakčių rekomendacijų padedame nustatyti spragas, sudaryti prioritetinį veiksmų planą, parengti reikalingą dokumentaciją, sutvarkyti pagrindinius procesus ir pasirengti priežiūros, audito ar klientų klausimynų situacijoms. Tai ypač aktualu įmonėms, kurios veikla yra dinamiška, bet kartu nori turėti tvarkingą ir patikimą atitikties pagrindą.
Kas yra DORA ir kodėl šiandien ji tokia svarbi?
DORA, arba skaitmeninės veiklos atsparumo reglamentas, sukurtas tam, kad finansų sektoriaus įmonės geriau pasirengtų atlaikyti, valdyti ir greitai atkurti veiklą po IRT sutrikimų, kibernetinių incidentų ar trečiųjų šalių sukeltų informacijos saugumo problemų. Europos priežiūros institucijos akcentuoja, kad DORA vienodina skaitmeninio atsparumo taisykles visame ES finansų sektoriuje, o Lietuvos bankas pabrėžia, kad tai yra tiesiogiai taikomas ES teisės aktas, kurio nuostatų nereikia papildomai perkelti į nacionalinę teisę.
Praktikoje tai reiškia, kad finansų įmonėms neužtenka vien turėti ugniasienę, antivirusinę ar bendras vidaus taisykles. Reikia aiškaus IRT rizikos valdymo modelio, incidentų stebėsenos ir eskalavimo procesų, testavimo, trečiųjų šalių valdymo, dokumentuotų kontrolės priemonių ir gebėjimo parodyti įrodymus. Lietuvos bankas aiškiai nurodo, kad DORA apima privalomas IRT rizikos valdymo ir kontrolės sistemas, tiekėjų įtraukimą, incidentų stebėseną bei šalinimą, veiklos atsparumo testavimą ir naujus atskaitomybės reikalavimus.
Todėl DORA atitikties paslaugos šiandien tampa ne pasirinkimu, o praktiniu poreikiu. Kuo labiau reguliuojama ir nuo tiekėjų ar skaitmeninių sistemų priklausoma jūsų veikla, tuo svarbiau turėti aiškų planą, kuris parodytų, kaip jūsų organizacija valdo riziką, incidentus, prieigas, rizikas susijusias su paslaugų tiekimo grandine ir veiklos tęstinumą.
Kam skirtos DORA atitikties paslaugos?
DORA atitikties paslaugos aktualios toms organizacijoms, kurioms reikia aiškaus ir verslui pritaikyto kelio į atitiktį. Dažniausiai tai yra finansų ir fintech įmonės, kurios jaučia, kad DORA reikalavimai yra platesni nei vien IT skyriaus atsakomybė. Tai gali būti elektroninių pinigų įstaigos, mokėjimo įstaigos, investicinės įmonės, draudimo sektoriaus dalyviai, turto valdymo bendrovės ir kiti subjektai, patenkantys į DORA taikymo sritį. EIOPA nurodo, kad DORA taikoma daugeliui finansų subjektų tipų ir IRT trečiųjų šalių paslaugų teikėjams, o Lietuvos bankas savo medžiagoje taip pat išskiria bankus, draudimo įmones, elektroninių pinigų ir mokėjimo įstaigas, investicines įmones bei kitus rinkos dalyvius.
Šios paslaugos ypač naudingos, jei jūsų įmonėje bent viena iš situacijų jau pažįstama: vadovybė nori aiškaus vaizdo, kiek esate pasirengę DORA reikalavimams; dokumentacija ir procesai yra dalinai parengti, bet nėra vientisos struktūros; tiekėjų ir outsourcintų IRT paslaugų priežiūra nėra iki galo suvaldyta; incidentų ir testavimo procesai nėra pakankamai formalizuoti; reikia parengti registrus, politiką, procedūras ar valdymo ataskaitas; arba norite pasirengti priežiūros institucijų, klientų ar partnerių klausimams.
Tokiais atvejais DORA atitikties paslaugos padeda ne tik išsiaiškinti reikalavimus, bet ir priimti sprendimus, ką verta daryti pirmiausia, kad pastangos duotų rezultatą. Tinkamai suprojektuotas DORA projektas taupo laiką, sumažina nereikalingą chaosą ir leidžia vadovybei aiškiai matyti prioritetus.
Ką apima mūsų DORA atitikties paslaugos?
Mūsų DORA atitikties paslaugos prasideda nuo esamos situacijos įvertinimo. Pirmiausia nustatome, kiek jūsų organizacijos dabartiniai procesai, kontrolės priemonės ir dokumentai atitinka DORA logiką. Tai yra DORA gap analizė, kuri padeda matyti ne abstrakčius trūkumus, o konkrečias spragas: kur trūksta atsakomybių, kur nepakanka kontrolės, kur incidentų valdymas per silpnas, kur tiekėjų valdymas nepakankamai formalizuotas ir kur vadovybei trūksta aiškios atskaitomybės.
Toliau DORA atitikties paslaugos apima prioritetinio veiksmų plano parengimą. Vietoje to, kad mėgintumėte viską daryti vienu metu, sudedame darbus į aiškią seką: kas kritiška iš karto, kas turi būti sutvarkyta per artimiausius mėnesius ir ką galima brandinti etapais. Toks požiūris ypač vertingas fintech įmonėms, kurios turi ribotus resursus, bet negali sau leisti reguliacinio neapibrėžtumo.
Svarbi dalis yra IRT trečiųjų šalių valdymas. DORA akcentuoja IRT paslaugų teikėjų ir sutartinių santykių priežiūrą, o finansų subjektai turi turėti ir nuolat atnaujinti informaciją apie sutartinius susitarimus su IRT trečiųjų šalių paslaugų teikėjais. Europos priežiūros institucijos 2024 m. „dry run“ santraukoje pabrėžė, kad DORA taikymo srityje esantys finansų subjektai turi turėti išsamų tokių sutarčių registrą.
Todėl mūsų DORA atitikties paslaugos apima ir pagalbą formuojant arba tobulinant tiekėjų registrą, sutarčių peržiūros logiką, kritiškumo vertinimą, tiekėjų valdymo procedūras ir reikalingus kontrolės klausimus. Tai padeda ne tik atitikties prasme, bet ir realiai mažina priklausomybės nuo tiekėjų riziką.
Taip pat padedame susitvarkyti incidentų valdymo ir eskalavimo procesus. Lietuvos bankas aiškiai išskiria su IRT susijusių incidentų stebėseną, jų šalinimą ir atskaitomybės reikalavimus kaip svarbią DORA dalį. Tai reiškia, kad neužtenka vien žinoti, kas nutiko. Reikia aiškiai apibrėžti, kas nustato incidentą, kas jį eskaluoja, kas dokumentuoja, kas informuoja vadovybę ir kaip užtikrinama, kad po incidento būtų atlikta analizė bei priemonės.
Priklausomai nuo poreikio, DORA atitikties paslaugos gali apimti ir vidaus politikų, procedūrų, valdymo ataskaitų, atsakomybių modelio, valdymo komiteto medžiagos, rizikų registro ar kitų įrodymų parengimą. Tikslas yra sukurti ne dokumentų rinkinį dėl formos, o veikiančią valdymo struktūrą, kuri būtų suprantama tiek atitikties, tiek verslo požiūriu.
Kokią naudą verslas gauna iš DORA atitikties paslaugų?
Pagrindinė nauda yra aiškumas. DORA atitikties paslaugos padeda vadovybei suprasti, kokioje padėtyje šiandien yra įmonė ir kokia reali veiksmų seka reikalinga. Užuot veikę padrikai, gaunate struktūrą, prioritetus ir apčiuopiamą planą.
Antra, gaunate geresnį pasirengimą auditui, priežiūrai ir klientų klausimynams. Kai DORA tema tampa aktuali ne tik reguliuotojui, bet ir partneriams, investuotojams ar stambesniems klientams, tvarkingai parengta atitikties bazė padeda greičiau atsakyti į klausimus ir stiprina pasitikėjimą.
Trečia, DORA atitikties paslaugos sumažina riziką, kad svarbūs darbai bus atidėliojami arba vykdomi neteisinga seka. Finansų įmonėms brangiausiai kainuoja ne pats projektas, o neaiškumas, fragmentuotas darbas ir vėlavimas suprasti, kas iš tikrųjų svarbu. Aiškus planas leidžia sutelkti laiką ir biudžetą ten, kur poveikis didžiausias.
Ketvirta, tai padeda sujungti teisinį, atitikties, IT ir vadovybės požiūrį. DORA sėkmingai įgyvendinama tada, kai organizacija turi bendrą logiką, o ne keturias atskiras interpretacijas. Todėl mūsų DORA atitikties paslaugos orientuotos į tai, kad skirtingos funkcijos įmonėje kalbėtų ta pačia kalba ir veiktų pagal vieną prioritetų sistemą.
Kaip vyksta bendradarbiavimas?
Paprastai darbas prasideda nuo pradinio pokalbio ir apimties nustatymo. Tada atliekama esamos būklės peržiūra, identifikuojamos spragos ir parengiamas aiškus DORA veiksmų planas. Po to pereinama prie dokumentacijos, procesų, registrų, atsakomybių ir valdymo logikos tvarkymo. Galiausiai padedame pasirengti praktiniam taikymui: vadovų ataskaitoms, tiekėjų valdymui, incidentų procesams, vidaus peržiūroms ir, kai reikia, auditiniam ar priežiūriniam dialogui.
Toks modelis leidžia pritaikyti DORA atitikties paslaugas pagal jūsų įmonės brandą. Vienoms įmonėms reikia pilno kelio nuo nulio, kitoms pakanka kryptingos gap analizės ir kelių svarbiausių blokų sutvarkymo. Abiem atvejais tikslas tas pats: praktiška, valdoma ir verslui naudinga DORA atitiktis.
Kodėl verta pradėti dabar?
DORA jau taikoma, todėl delsimas didina ne tik reguliacinę, bet ir veiklos riziką. Kuo ilgiau atidedamas realus pasirengimas, tuo daugiau atsiranda neapibrėžtumo dėl tiekėjų, incidentų, dokumentacijos, valdymo atsakomybių ir įrodymų bazės. Finansų sektoriuje tai gali reikšti ne tik papildomą spaudimą iš priežiūros pusės, bet ir reputacinę bei komercinę riziką.
Jei jūsų organizacijai reikia aiškaus partnerio, kuris supranta finansų sektoriaus reguliacinį kontekstą ir gali padėti struktūruotai įgyvendinti reikalavimus, DORA atitikties paslaugos yra racionalus kitas žingsnis. Per pirmą pokalbį galime įvardyti svarbiausias spragas, tikėtinus prioritetus ir praktiškiausią kelią jūsų įmonei.