Alates 2025. aasta 17. jaanuarist kohaldatakse Euroopa Liidu määrust, mis käsitleb finantssektori digitaalset tegevuskerksust (DORA) ja mida kohaldatakse suure osa finantssektori suhtes. Muudatused puudutavad nii pankasid, makseasutusi, e-raha asutusi, investeerimisühinguid, krüptovarateenuste pakkujaid ja kauplemiskohti, kindlustusandjaid ja –vahendajaid, fondivalitsejaid kui ka ühisrahastus-teenuse osutajaid. Krüptovarateenuste pakkujate puhul jäävad DORA kohaldamisalasse need, kes on saanud vastava tegevusloa.
DORA määruse eesmärk on parandada finantssektori digitaalset tegevuskerksust ja leevendada info- ja kommunikatsioonitehnoloogiaga (IKT) seotud riske. Määruses on kirjas nõuded, mis käsitlevad IKT-riskide juhtimist, IKT-intsidentide liigitamist ja nendest järelevalve teavitamist, digitaalse tegevuskerksuse testimist, kolmandast isikust tuleneva IKT-riski juhtimist, info jagamist finantsasutuste vahel jne. Kui seni on erinevates Euroopa Liidu liikmesriikides IKT riske reguleeritud erinevalt, siis nüüd põhinõuded ühtlustuvad.
INTSIDENTIDEST TEAVITAMINE
DORA III peatükk sätestab nõuded, mis puudutavad IKT-intsidentide haldamist, liigitamist ja nendest järelevalveasutusele teavitamist. Kõik DORA kohaldumisalasse kuuluvad finantssektori ettevõtjad peavad teavitama Finantsinspektsiooni tõsistest IKT-intsidentidest. Kahtluse korral, kas intsident on tõsise intsidendi lävendi täitnud, tuleb sellest raporteerida. Tõsine IKT-intsident on võimalik ümber klassifitseerida, kui hilisema analüüsi järgselt selgub, et lävendid ei olnud siiski täidetud. Samad DORA teavitamise nõuded kehtivad ka maksetega seotud intsidentide ning tõsiste intsidentide kohta, kui need mõjutavad krediidi- ja makseasutusi ning e-raha asutusi.
Finantssektori ettevõtjad võivad teada anda ka olulistest küberohtudest, kui nad peavad ohtu finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks. Finantsinspektsioon soovib rõhutada nimetatud võimaluse kasutamise olulisust, sest teabe jagamine kasvatab teadlikkust küberohtudest ja võimaldab neid paremini hallata.
DORA eesmärgiks on vältida dubleerivat raporteerimiskohustust. Vastavalt pädevusele edastatakse Finantsinspektsioonile saadetud raportid tõsiste IKT intsidentide ja oluliste küberohtude kohta erinevatele asutustele sh ka RIA-le.
Tõsiste IKT-intsidentide ja oluliste küberohtude teated, samuti tegevust või turvalisust mõjutavad maksetega seotud intsidentide ja tõsiste intsidentide teated tuleb alates 17.01.2025 saata elektrooniliselt e-posti aadressile [email protected]. Kõik eelnevalt nimetatud teated palume krüpteerida DigiDoc’iga, kasutades Finantsinspektsiooni sertifikaati „Finantsinspektsioon: Dokumendi kinnitus“.
Kui on tehniliselt võimatu esitada esialgset teadet Finantsinspektsiooni poolt nõutud vormil, tuleb intsidendist teavitada Finantsinspektsiooni mõnel muul viisil.
Hetkel on intsidentidest ja küberohust teavitamise vormid saadaval inglise keeles. Aruande vorme on lubatud täita nii eesti kui ka inglise keeles.
Aruande vormid on uuendatud 24.01.2025. Juhime tähelepanu, et vormi protsentuaalse väärtusega lahtris toimub automaatne teisendus ja vorm eeldab komakohas punkti kasutamist. Seega võib väärtuse lisamisel esineda probleeme, kui Excel on seadistatud kasutama komakohas koma. Sellisel juhul muuta aruande täitmiseks Exceli seadeid järgmiselt: File → Options → Advanced aknas ‘Editing options’ valiku alt eemaldada linnuke ‘Use system separators’ kastist ja ‘Decimal separator’ kasti lisada koma (,) asemel punkt (.).
TEABEREGISTRITE ESITAMINE
DORA kohaldamisalasse jääval finantssektori ettevõtjal tuleb pidada teaberegistrit kolmandast isikust IKT teenuseosutajate kohta. Teaberegister sisaldab kõiki lepinguid kolmandast isikust IKT-teenuste osutaja pakutavate IKT-teenuste kasutamise kohta. Teaberegistrit peetakse ettevõtja tasandil ning allkonsolideeritud ja konsolideeritud tasandil. Finantssektori ettevõtjad valivad sobivaima tehnilise lahenduse teaberegistri haldamiseks, arvestades teaberegistri ülesehitusel DORA standardvormi nõudeid, mida täpsustavad vastava rakendusliku tehnilise standardi lisades I–IV esitatud vormid. Finantsinspektsiooni taotluse korral tuleb esitada kas täielik teaberegister või ainult nimetatud osa sellest.
Vastavalt Euroopa järelevalveasutuste (ESA) ühisele otsusele korraldavad ESA-d teaberegistrite kogumist läbi pädevate asutuste kord aastas, et määrata kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajad finantssektoris üle Euroopa. Kriitiliseks määratud IKT-teenuste osutajate üle hakatakse teostama järelevaatamist. ESA-de korraldatud iga-aastasel teaberegistrite kogumisel tuleb konsolideeritud ettevõtete puhul esitada ühine täielik teaberegister ettevõtte kõrgeimalt tasandilt vastavale järelevalveasutusele.
Alates 2026. aastast on plaanitud teaberegistrite kogumine üle viia Eesti Panga ja Finantsinspektsiooni andmekogumisportaali https://aruandlus.eestipank.ee. Andmekogumisportaali pääsevad juurde ettevõtte juhatuse liikmed ja äriregistris registreeritud muu kehtiva esindusõigusega isikud ning nende volitatud isikud. Sisenemiseks tuleb end autentida ID-kaardiga, Mobiil-ID-ga või Smart-ID-ga. Teaberegister tuleb esitada eelneva kalendriaasta lõpu seisuga (st 2026. aasta jaanuaris kogutakse teaberegistreid seisuga 31.12.2025).
Vastavasisulise info, millal portaal teaberegistrite esitamiseks avatakse, edastab Finantsinspektsioon hiljemalt 2025. aasta IV kvartalis.
REGULATIIVSED STANDARDID JA SUUNISED
Euroopa Komisjoni poolt kinnitatud ja Euroopa Teatajas avaldatud regulatiivsed standardid:
- RTS on ICT risk management framework and on simplified ICT risk management framework
Regulatiivne tehniline standard, millega määratakse kindlaks IKT-riski juhtimise vahendid, meetodid, protsessid ja põhimõtted ning lihtsustatud IKT-riski juhtimise raamistik
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R1774 - RTS on criteria for the classification of ICT-related incidents
Regulatiivne tehniline standard, millega määratakse kindlaks IKT intsidentide ja küberohtude liigitamise kriteeriumid, kehtestatakse olulisuse läved ja täpsustatakse tõsiste intsidentide kohta esitatavate raportite üksikasju
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=OJ:L_202401772 - ITS to establish the templates for the register of information
Rakenduslikud tehnilised standardid seoses teaberegistri standardvormidega
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R2956&qid=1734516630203 - RTS on the policy on ICT services supporting critical or important functions provided by ICT third-party service providers
Regulatiivne tehniline standard täpsustamaks põhimõtete üksikasjalikku sisu seoses lepingutega, mis käsitlevad kolmandast isikust IKT-teenuste osutajate osutatavate, kriitilise tähtsusega või olulisi funktsioone toetavate IKT-teenuste kasutamist
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32024R1773 - ITS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats
Rakenduslik tehniline standard seoses standardvormide, -mallide ja -menetlustega, mida finantssektori ettevõtjad kasutavad tõsisest IKT intsidendist teavitamiseks ja olulisest küberohust teatamiseks
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0302 - RTS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats
Regulatiivne tehniline standard, millega määratakse kindlaks tõsiste IKT intsidentide kohta esitatava esialgse teate, vaheraporti ja lõppraporti sisu ja tähtajad ning vabatahtliku olulistest küberohtudest teatamise sisu
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0301 - RTS on the harmonization of conditions enabling the conduct of the oversight activities
Regulatiivne tehniline standard, mis käsitleb järelevaatamist võimaldavate tingimuste ühtlustamist
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0295 - RTS specifying the criteria for determining the composition of the joint examination team
Regulatiivne tehniline standard, millega täpsustatakse kriteeriume, mille alusel määratakse kindlaks ühise kontrollirühma koosseis, tagades Euroopa järelevalveasutuste ja asjaomaste pädevate asutuste töötajate tasakaalustatud osalemise, nimetatakse kontrollirühma liikmed ning määratakse kindlaks nende ülesanded ja töökorraldus
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R0420 - RTS on threat-led penetration testing
Regulatiivne tehniline standard, millega määratakse kindlaks kriteeriumid, mida kasutatakse nende finantssektori ettevõtjate kindlaks määramiseks, kellelt nõutakse ohuteabel põhinevat läbistustestimist, sisetestijate kasutamist reguleerivad nõuded ja standardid, nõuded, mis käsitlevad kohaldamisala, testimismetoodikat ja testimise igas etapis kasutatavat lähenemisviisi, tulemusi, lõpetamise ja parandamise etappi ning järelevalvealase ja muu asjaomase koostöö viise, mida on vaja ohuteabel põhineva läbistustestimise läbiviimiseks ja vastastikuse tunnustamise hõlbustamiseks
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025R1190
Regulatiivsed standardid, mis ei ole veel kinnitatud:
- RTS on subcontracting
Finantsinspektsiooni veebilehel avaldatud suunis:
- Ühissuunised järelevalvealase koostöö ja teabevahetuse kohta Euroopa järelevalveasutuste ja pädevate asutuste vahel
https://www.fi.ee/et/juhendid/pangandus-ja-krediit/euroopa-jarelevalveasutuste-uhissuuniste-jarelevalvealase-koostoo-ja-teabevahetuse-kohta-euroopa - Ühisuunised tõsiste IKT-intsidentide tekitatud aasta kogukulu ja -kahju hindamise kohta
https://www.fi.ee/et/juhendid/pangandus-ja-krediit/euroopa-jarelevalveasutuste-uhissuuniste-maaruse-el-20222554-kohaste-tosiste-iktintsidentide
Kõik veel avaldamata regulatiivsed materjalid saab alla laadida Euroopa Pangandusjärelevalve kodulehelt:
DORA RAKENDAMISE INFOPÄEV
Finantsinspektsioon korraldas 05.06.2025 DORA kohaldamisalasse jäävatele finantssektori ettevõtjatele ja teistele huvilistele DORA rakendamise infopäeva, kus tehti ülevaade DORA-ga seotud põhilistest järelevalvelistest tegevustest. Infopäev toimus eesti keeles videokonverentsi vormis Cisco Webex keskkonnas. Infopäeva on võimalik järgi vaadata siit:
https://www.youtube.com/watch?v=8OhB_sApxx0