Alates 2025. aasta 17. jaanuarist kohaldatakse Euroopa Liidu määrust, mis käsitleb finantssektori digitaalset tegevuskerksust (DORA) ja mida kohaldatakse suure osa finantssektori suhtes. Muudatused puudutavad nii pankasid, makseasutusi, e-raha asutusi, investeerimisühinguid, krüptovarateenuste pakkujaid ja kauplemiskohti, kindlustusandjaid ja –vahendajaid, fondivalitsejaid kui ka ühisrahastus-teenuse osutajaid. Krüptovarateenuste pakkujate puhul jäävad DORA kohaldamisalasse need, kes on saanud vastava tegevusloa.
DORA määruse eesmärk on parandada finantssektori digitaalset tegevuskerksust ja leevendada info- ja kommunikatsioonitehnoloogiaga (IKT) seotud riske. Määruses on kirjas nõuded, mis käsitlevad IKT-riskide juhtimist, IKT-intsidentide liigitamist ja nendest järelevalve teavitamist, digitaalse tegevuskerksuse testimist, kolmandast isikust tuleneva IKT-riski juhtimist, info jagamist finantsasutuste vahel jne. Kui seni on erinevates Euroopa Liidu liikmesriikides IKT riske reguleeritud erinevalt, siis nüüd põhinõuded ühtlustuvad.
INTSIDENTIDEST TEAVITAMINE
DORA III peatükk sätestab nõuded, mis puudutavad IKT-intsidentide haldamist, liigitamist ja nendest järelevalveasutusele teavitamist. Kõik DORA kohaldumisalasse kuuluvad finantssektori ettevõtjad peavad teavitama Finantsinspektsiooni tõsistest IKT-intsidentidest. Kahtluse korral, kas intsident on tõsise intsidendi lävendi täitnud, tuleb sellest raporteerida. Tõsine IKT-intsident on võimalik ümber klassifitseerida, kui hilisema analüüsi järgselt selgub, et lävendid ei olnud siiski täidetud. Samad DORA teavitamise nõuded kehtivad ka maksetega seotud intsidentide ning tõsiste intsidentide kohta, kui need mõjutavad krediidi- ja makseasutusi ning e-raha asutusi.
Finantssektori ettevõtjad võivad teada anda ka olulistest küberohtudest, kui nad peavad ohtu finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks. Finantsinspektsioon soovib rõhutada nimetatud võimaluse kasutamise olulisust, sest teabe jagamine kasvatab teadlikkust küberohtudest ja võimaldab neid paremini hallata.
DORA eesmärgiks on vältida dubleerivat raporteerimiskohustust. Vastavalt pädevusele edastatakse Finantsinspektsioonile saadetud raportid tõsiste IKT intsidentide ja oluliste küberohtude kohta erinevatele asutustele sh ka RIA-le.
Tõsiste IKT-intsidentide ja oluliste küberohtude teated, samuti tegevust või turvalisust mõjutavad maksetega seotud intsidentide ja tõsiste intsidentide teated tuleb alates 17.01.2025 saata elektrooniliselt e-posti aadressile [email protected]. Kõik eelnevalt nimetatud teated palume krüpteerida DigiDoc’iga, kasutades Finantsinspektsiooni sertifikaati „Finantsinspektsioon: Dokumendi kinnitus“.
Kui on tehniliselt võimatu esitada esialgset teadet Finantsinspektsiooni poolt nõutud vormil, tuleb intsidendist teavitada Finantsinspektsiooni mõnel muul viisil.
Hetkel on intsidentidest ja küberohust teavitamise vormid saadaval inglise keeles. Aruande vorme on lubatud täita nii eesti kui ka inglise keeles.
Aruande vormid on uuendatud 24.01.2025. Juhime tähelepanu, et vormi protsentuaalse väärtusega lahtris toimub automaatne teisendus ja vorm eeldab komakohas punkti kasutamist. Seega võib väärtuse lisamisel esineda probleeme, kui Excel on seadistatud kasutama komakohas koma. Sellisel juhul muuta aruande täitmiseks Exceli seadeid järgmiselt: File → Options → Advanced aknas ‘Editing options’ valiku alt eemaldada linnuke ‘Use system separators’ kastist ja ‘Decimal separator’ kasti lisada koma (,) asemel punkt (.).
TEABEREGISTRITE ESITAMINE
DORA artikli 28 lõike 3 alusel peavad finantssektori ettevõtjad IKT-riski juhtimise raamistiku osana ja ajakohastavad finantssektori ettevõtjad ettevõtja tasandil ning allkonsolideeritud ja konsolideeritud tasandil seoses kõigi lepingutega teaberegistrit kolmandast isikust IKT-teenuste osutajate osutatud IKT-teenuste kasutamise kohta. Finantssektori ettevõtjad arvestavad teaberegistri ülesehitusel DORA standardvormi nõudeid, mida täpsustavad teaberegistri rakendusliku tehnilise standardi lisades I–IV esitatud vormid. DORA artikli 28 lõike 3 alusel tuleb DORA kohaldamisalasse jääval finantssektori ettevõtjal esitada vastava taotluse alusel täielik või osaline teaberegister kolmandast isikust IKT teenuseosutajate kohta vähemalt kord aastas.
Vastavalt Euroopa järelevalveasutuste (ESA) ühisele otsusele korraldavad ESA-d teaberegistrite kogumist iga-aastaselt läbi kohaliku järelevalveasutuste, et määrata kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajad finantssektoris üle Euroopa. ESA-de iga-aastase kogumise käigus tuleb teaberegister esitada konsolideeritud ettevõtte puhul vastavale järelevalveasutusele ühiselt kõrgeimal tasandil. Teaberegister tuleb esitada eelneva kalendriaasta lõpu seisuga, st 2026. aasta alguses kogutakse teaberegistreid seisuga 31.12.2025.
Teaberegistrit seisuga 31.12.2025 on võimalik esitada alates 01.01.2026 Eesti Panga ja Finantsinspektsiooni andmekogumisportaali https://aruandlus.eestipank.ee. Andmekogumisportaali pääsevad ligi ettevõtte juhatuse liikmed ja äriregistris registreeritud muu kehtiva esindusõigusega isikud ning nende volitatud isikud. Sisenemiseks tuleb end autentida ID-kaardiga, Mobiil-ID-ga või Smart-ID-ga.
Andmekogumis-portaalis on teaberegistri esitamiseks mitu erinevat võimalust:
1) Manuaalne täitmine
Teaberegister on võimalik täita algusest lõpuni andmekogumisportaali aruande vaates, lisades sobiv arv ridu ja veergudesse valida rippmenüü loendist sobivad vastused. Täieliku teaberegistri esitamisel esitatakse osad vormid tühjalt ja sellisel juhul ei tohi ka lisada linnukest ’Esita tühjalt’ lahtrisse. Pärast vormide täitmist tuleb teaberegistrile teostada andmekogumisportaalis kontroll ja seejärel aruanne esitada. Teaberegistri aruandest on võimalik genereerida XBRL-csv failide komplekt, mida saab vajadusel ka alla laadida.
2) zip faili ülesse laadimine
Andmekogumisportaalis kohustuse sees on võimalik üles laadida zip laiendiga kokkupakitud XBRL-csv failide komplekt. Kui fail laetakse veebivormile siis zip faili allkirjastada ja krüpteerida ei ole vaja. Oluline on jälgida, et failikomplekti ülesehitus vastaks EBA taksonoomiale, kuid peakausta nimi ja zip faili nimi vastaks andmekogumisportaali nõuetele, st LEIKOOD_dora_AAAA-KK-PP. Pärast ülesse laadimist on veebivormil võimalik veel aruande andmeid muuta. Edasi tuleb andmekogumisportaalis teostada kontroll ja seejärel aruanne esitada.
3) Allkirjastatud faili ülesse laadimine
Portaalis aruannete nimekirjas on võimalik ülesse laadida allkirjastatud zip laiendiga kokkupakitud XBRL-csv failide komplekt. Allkirjastada saab Eesti ID-ga või PGP-ga. Fail võib olla krüpteeritud, kuid ei ole selle variandi puhul kohustuslik. Oluline on jälgida, et failikomplekti ülesehitus vastaks EBA taksonoomiale, kuid peakausta nimi ja zip faili nimi vastaks andmekogumisportaali nõuetele, st LEIKOOD_dora_AAAA-KK-PP. Pärast ülesse laadimist ei ole veebivormil võimalik allkirjastatud aruande andmeid muuta. Küll aga on ülesse laetud aruande failist vajadusel võimalik koostada uus aruanne, mida on võimalik muuta. Edasi tuleb andmekogumisportaalis teostada kontroll ja seejärel aruanne esitada.
4) Esitamine aruandlusportaali e-posti aadressile
Teaberegistri esitamisel aruandlusportaali e-posti vahendusel peab Eesti ID-ga või PGP-ga allakirjastatud zip laiendiga kokkupakitud XBRL-csv failide komplekt olema krüpteeritud sertifikaadile: Finantsinspektsioon: Dokumendi kinnitus. Oluline on jälgida, et failikomplekti ülesehitus vastaks EBA taksonoomiale, kuid peakausta nimi ja zip faili nimi vastaks andmekogumisportaali nõuetele, st LEIKOOD_dora_AAAA-KK-PP. Teaberegistri saatmisega e-posti vahendusel saadetakse vastuseks raport, mis kinnitab aruande laekumist andmekogumisportaali ja töötlusesse võtmist ning süsteem jätkab aruande kontrollimisega. Korrektse faili puhul loeb süsteem aruande esitatuks. Vigade ilmnemisel saadab süsteem vastava raporti e-postile.
Andmekogumisportaali esitamiseks peakausta ja zip faili nimetamine
Teaberegistri aruande esitamisega andmekogumisportaali, tuleb arvestada andmekogumisportaali korrektse nimekujuga:
LEIKOOD_dora_AAAA-KK-PP, nt 6YJ6OTG0PYO45FO7Q425_dora_2025-12-31.zip, kus
- ’6YJ6OTG0PYO45FO7Q425’ on finantssektori ettevõtja LEI kood, kes aruande esitab;
- ’dora’ peab olema väikeste tähtedega;
- 2025-12-31 on teaberegistri esitamise seisu kuupäev sidekriipsudega.
Kokkupakitud XBRL-csv failide komplekti peakaust peab olema sama nimega, mis zip fail. Pärast aruande kontrollimist ja esitamist genereerib andmekogumisportaal ise failile ESA-dele edastamiseks sobiva nimekuju, milleks on:
6YJ6OTG0PYO45FO7Q425.IND_EE_DORA010100_DORA_2025-12-31_20251231000000000.zip
Teaberegistri kontroll ja edastus ESA-dele
Sarnaselt teaberegistrite esimese kogumisega toimub ka aruandlusportaalis automaatsel edastamisel ESA-dele teaberegistri automaatkontroll, kus hinnatakse teaberegistri vastavust ESA-de esitatud nõuetele. Vigade ilmnemisel kuvab andmekogumisportaal ESA-de süsteemist saadud veateated, lisaks saadab süsteem automaatselt vearaporti ka järelevalvesubjektile. Sellisel juhul tuleb teaberegister parandada ning esitada andmekogumisportaalis uuesti. Korrektse faili eduka edastuse puhul kuvatakse andmekogumisportaali aruande staatuseks ’KORRAS’. Aruande staatust näeb portaalis. Kui järelevalvesubjekt soovib saada ’KORRAS’ staatuse kohta automaatset teavitust, tuleb see teavitus eraldi tellida läbi portaali ’Minu seaded’ ja ’Korrektne esitamine’ alt.
Lisandunud on aga eraldi veel enne ESA-dele edastamist andmekogumisportaali sisemine kontroll, mis tuleb teostada enne esitamist. Nimelt kontrollib andmekogumisportaal eelnevalt veel lisaks, et esitatud teaberegistri fail oleks korrektne. Kui süsteem kuvab aruande staatuseks ’KONTROLLIMISEL’ tähendab see aruande faili edasi liikumist ESA-de süsteemi kontrollimisele.
Peagi saadab Finantsinspektsioon vastava taotluse kõikidele DORA kohaldamisalasse jäävatele ettevõtjatele ja täpsustab teaberegistrite esitamisega seotud tähtajad.
REGULATIIVSED STANDARDID JA SUUNISED
Euroopa Komisjoni poolt kinnitatud ja Euroopa Teatajas avaldatud regulatiivsed standardid:
- RTS on ICT risk management framework and on simplified ICT risk management framework
Regulatiivne tehniline standard, millega määratakse kindlaks IKT-riski juhtimise vahendid, meetodid, protsessid ja põhimõtted ning lihtsustatud IKT-riski juhtimise raamistik
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R1774 - RTS on criteria for the classification of ICT-related incidents
Regulatiivne tehniline standard, millega määratakse kindlaks IKT intsidentide ja küberohtude liigitamise kriteeriumid, kehtestatakse olulisuse läved ja täpsustatakse tõsiste intsidentide kohta esitatavate raportite üksikasju
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=OJ:L_202401772 - ITS to establish the templates for the register of information
Rakenduslikud tehnilised standardid seoses teaberegistri standardvormidega
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R2956&qid=1734516630203 - RTS on the policy on ICT services supporting critical or important functions provided by ICT third-party service providers
Regulatiivne tehniline standard täpsustamaks põhimõtete üksikasjalikku sisu seoses lepingutega, mis käsitlevad kolmandast isikust IKT-teenuste osutajate osutatavate, kriitilise tähtsusega või olulisi funktsioone toetavate IKT-teenuste kasutamist
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R1773 - ITS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats
Rakenduslik tehniline standard seoses standardvormide, -mallide ja -menetlustega, mida finantssektori ettevõtjad kasutavad tõsisest IKT intsidendist teavitamiseks ja olulisest küberohust teatamiseks
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0302 - RTS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats
Regulatiivne tehniline standard, millega määratakse kindlaks tõsiste IKT intsidentide kohta esitatava esialgse teate, vaheraporti ja lõppraporti sisu ja tähtajad ning vabatahtliku olulistest küberohtudest teatamise sisu
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0301 - RTS on the harmonization of conditions enabling the conduct of the oversight activities
Regulatiivne tehniline standard, mis käsitleb järelevaatamist võimaldavate tingimuste ühtlustamist
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0295 - RTS specifying the criteria for determining the composition of the joint examination team
Regulatiivne tehniline standard, millega täpsustatakse kriteeriume, mille alusel määratakse kindlaks ühise kontrollirühma koosseis, tagades Euroopa järelevalveasutuste ja asjaomaste pädevate asutuste töötajate tasakaalustatud osalemise, nimetatakse kontrollirühma liikmed ning määratakse kindlaks nende ülesanded ja töökorraldus
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0420 - RTS on threat-led penetration testing
Regulatiivne tehniline standard, millega määratakse kindlaks kriteeriumid, mida kasutatakse nende finantssektori ettevõtjate kindlaks määramiseks, kellelt nõutakse ohuteabel põhinevat läbistustestimist, sisetestijate kasutamist reguleerivad nõuded ja standardid, nõuded, mis käsitlevad kohaldamisala, testimismetoodikat ja testimise igas etapis kasutatavat lähenemisviisi, tulemusi, lõpetamise ja parandamise etappi ning järelevalvealase ja muu asjaomase koostöö viise, mida on vaja ohuteabel põhineva läbistustestimise läbiviimiseks ja vastastikuse tunnustamise hõlbustamiseks
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R1190 - RTS on subcontracting ICT services supporting critical or important functions
Regulatiivne tehniline standard, et täpsustada elemente, mille finantssektori ettevõtja peab kindlaks määrama ja mida hindama kriitilise tähtsusega või olulisi funktsioone toetavate IKT-teenuste alltöövõtu korral
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0532
Finantsinspektsiooni veebilehel avaldatud suunis:
- Ühissuunised järelevalvealase koostöö ja teabevahetuse kohta Euroopa järelevalveasutuste ja pädevate asutuste vahel
https://www.fi.ee/et/juhendid/pangandus-ja-krediit/euroopa-jarelevalveasutuste-uhissuuniste-jarelevalvealase-koostoo-ja-teabevahetuse-kohta-euroopa - Ühisuunised tõsiste IKT-intsidentide tekitatud aasta kogukulu ja -kahju hindamise kohta
https://www.fi.ee/et/juhendid/pangandus-ja-krediit/euroopa-jarelevalveasutuste-uhissuuniste-maaruse-el-20222554-kohaste-tosiste-iktintsidentide
DORA RAKENDAMISE INFOPÄEV
Finantsinspektsioon korraldas 05.06.2025 DORA kohaldamisalasse jäävatele finantssektori ettevõtjatele ja teistele huvilistele DORA rakendamise infopäeva, kus tehti ülevaade DORA-ga seotud põhilistest järelevalvelistest tegevustest. Infopäev toimus eesti keeles videokonverentsi vormis Cisco Webex keskkonnas. Infopäeva on võimalik järgi vaadata siit:
https://www.youtube.com/watch?v=8OhB_sApxx0