DORA määrust kohaldatakse Eestis alates 17.01.2025 ilma üleminekuajata ja selle täitmise üle teostab järelevalvet Finantsinspektsioon. Määrus puudutab suurt osa finantssektorist: panku, kindlustusandjaid, investeerimisühinguid, makseasutusi ning neile teenuseid osutavaid IKT-tarnijaid. Finantsinspektsioon keskendub järelevalves IKT- ja infoturbe riskide juhtimisele, intsidentidest teavitamise protsessidele ja IKT-teenusepakkujate järelevalvele. Keskne uus kohustus on standarditud teaberegister, mis tuleb esitada järelevalveasutusele. See juhend selgitab, keda DORA puudutab ja mida see nõuab.
Mis on DORA?
DORA (Digital Operational Resilience Act, määrus 2022/2554) ühtlustab finantssektori digitaalse tegevuskerksuse nõuded kogu EL-is. Kuna tegemist on määrusega, on see otsekohalduv ega vaja siseriiklikku ülevõtmist – erinevalt NIS2 direktiivist. Eestis on Finantsinspektsioon andnud järelevalvealustele juhiseid kohaldamise kohta ning korraldanud teabepäevi ja teaberegistri harjutuse. Üldpilt kohalduvast õigusest: andmekaitse Eestis.
DORA tugineb viiele sambale: IKT-riskijuhtimine, IKT-intsidentide haldus ja aruandlus, digitaalse tegevuskerksuse testimine, kolmanda osapoole IKT-riskide haldus ja teabe jagamine ohtudest.
Keda DORA Eestis puudutab?
DORA kohaldub laialt finantssektori üksustele. Eestis mõjutab see suurt hulka Finantsinspektsiooni järelevalvealuseid:
| Üksuse tüüp | Näiteid |
|---|---|
| Krediidiasutused | Pangad |
| Kindlustus | Kindlustus- ja edasikindlustusandjad, vahendajad |
| Investeerimisteenused | Investeerimisühingud, fondivalitsejad |
| Makseteenused | Makseasutused, e-raha asutused |
| Uued üksuseliigid | Krüptovarateenuse pakkujad, ühisrahastus |
| IKT-tarnijad | Kriitilised IKT-teenusepakkujad (EL-i tasandi järelevalve) |
Kriitilised IKT-teenusepakkujad kuuluvad eraldi EL-i tasandi järelevalve alla, mida koordineerivad Euroopa järelevalveasutused. See on uus: esimest korda võivad ka finantssektorivälised tehnoloogiatarnijad sattuda otsese järelevalve alla.
Peamised kohustused
| Kohustus | Sisu |
|---|---|
| IKT-riskijuhtimine | Kirjalik raamistik ja kontrollid |
| Teaberegister | Standarditud, esitatakse Finantsinspektsioonile |
| Intsidentidest teavitamine | Klassifikatsioon ja tähtajaline teavitus |
| Tegevuskerksuse testimine | Korrapärane testimine, olulistele TLPT |
| Kolmanda osapoole riskid | IKT-lepingute ja -tarnijate haldus |
Uus ja töömahukas kohustus on teaberegister (register of information), mis tuleb esitada Finantsinspektsioonile standardvormis ja mis katab kõik IKT-teenuslepingud. Finantsinspektsioon on juba korraldanud teaberegistri esitamise harjutuse, et üksused saaksid vormi ja andmenõuded selgeks. Olulistele üksustele – nagu suurpangad ja turuinfrastruktuur – nõutakse ohupõhist TLPT-tungimistestimist.
DORA, NIS2 ja GDPR
Finantsüksust võivad üheaegselt puudutada DORA, NIS2 ja GDPR. Sama IKT-intsident võib käivitada mitu teavitamiskohustust eri asutustele. DORA on finantssektoris eriregulatsioon (lex specialis) NIS2 suhtes. Ühtne intsidentide klassifikatsioon säästab tööd – vaata NIS2 Eestis ja isikuandmete poolel rikkumisest teavitamine. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses, mis täiendab DORA tööd isikuandmete osas. Tööriistade võrdlus: parim DORA tarkvara.
DORA viis sammast lähemalt
DORA tugineb viiele teineteist toetavale sambale, mis koos moodustavad finantsüksuse digitaalse tegevuskerksuse raamistiku.
- IKT-riskijuhtimine. Üksusel peab olema kirjalik IKT-riskijuhtimise raamistik, mille kõrgeim juhtkond kinnitab ja mida ta jälgib. Raamistik katab kaitse, avastamise, taastumise ja pideva parendamise.
- IKT-intsidentide haldus ja aruandlus. Intsidendid tuleb avastada, klassifitseerida raskusastme järgi ja olulistest teavitada Finantsinspektsiooni tähtaja jooksul.
- Digitaalse tegevuskerksuse testimine. Korrapärane testimisprogramm, mis olulistel üksustel sisaldab ohupõhist tungimistestimist (TLPT).
- Kolmanda osapoole IKT-riskide haldus. IKT-tarnijalepingute ja -sõltuvuste haldus ning oluliste tarnijate seire.
- Teabe jagamine ohtudest. Vabatahtlik küberohuteabe jagamine üksuste vahel.
Teaberegister praktikas
DORA töömahukaim uus kohustus on standarditud teaberegister, mis tuleb Finantsinspektsioonile esitada. Register koondab kõik IKT-teenuslepingud ja nende põhiandmed:
- lepingupartnerid ja IKT-teenusepakkujad
- teenuse tüüp ja selle toetatavad äritegevused
- funktsiooni kriitilisus ja võimalikud alltöövõtuahelad
- lepingu kestus, ülesütlemise tingimused ja andmete asukoht
Registri käsitsi haldamine on töömahukas, sest teave hajub eri lepingutesse ja süsteemidesse. Just siin annab eritarkvara olulise ajavõidu.
Kuidas DORA-ks valmistuda
DORA kohaldamine algas 17.01.2025 ilma üleminekuajata, mistõttu ettevalmistus on enamikul üksustel juba käimas. Praktilised sammud:
- Kohaldatavus. Kontrolli, kas kuulud DORA üksuseliikide hulka ja kas sulle kohaldub kergendatud raamistik.
- IKT-riskijuhtimise raamistik. Koosta või ajakohasta kirjalik raamistik, mille juhtkond kinnitab.
- Teaberegister. Koonda kõik IKT-lepingud standarditud registrisse Finantsinspektsioonile esitamiseks.
- Intsidendiprotsess. Ehita klassifitseerimis- ja teavitamisprotsess Finantsinspektsioonile.
- Testimisprogramm. Kavanda korrapärane testimine ja olulistele üksustele TLPT.
- Kolmanda osapoole haldus. Ajakohasta IKT-lepingud DORA nõuetega vastavaks.
Kolmanda osapoole IKT-riskid ja lepingud
Üks DORA keskseid eesmärke on hallata finantsüksuste sõltuvust välistest IKT-teenusepakkujatest. Üksus peab tundma kogu oma IKT-tarnijaahelat, hindama kontsentratsiooniriski – näiteks liigset sõltuvust ühest pilveteenusest – ja tagama, et lepingud sisaldavad DORA nõutud tingimusi. Nende hulka kuuluvad teenustasemed, infoturbenõuded, auditiõigused, intsidentidest teavitamine ning hallatud väljumis- ja üleminekukorraldus teenuse lõppedes. Oluline on, et DORA kohaselt jääb vastutus digitaalse tegevuskerksuse eest finantsüksusele endale, isegi kui tehniline teostus on välise tarnija käes. See muudab tarnijate pideva seire püsivaks kohustuseks, mitte ühekordseks lepingukontrolliks.
Järelevalve ja sanktsioonid Eestis
Finantsinspektsioon teostab DORA järelevalvet osana finantsüksuste üldisest järelevalvest. Vahendite hulka kuuluvad juhised, selgitusnõuded, kontrollid ja haldussanktsioonid. Algfaasis keskendub järelevalve IKT-riskijuhtimise raamistiku olemasolule, teaberegistri esitamisele ja intsidentidest teavitamise toimivusele. Kuna määrust kohaldatakse otse ilma üleminekuajata, eeldatakse, et üksused olid nõuetele vastavad juba 17.01.2025. Järelevalve on riskipõhine: see keskendub kõige tugevamalt üksustele, mille häire mõjutaks kõige laiemalt finantssüsteemi stabiilsust.
Intsidentide klassifikatsioon ja raporteerimine
DORA nõuab, et IKT-intsidendid klassifitseeritakse ühtsete kriteeriumite järgi ja et olulistest teavitatakse Finantsinspektsiooni astmeliselt. Klassifikatsiooni mõjutavad muu hulgas mõjutatud klientide ja vastaspoolte arv, intsidendi kestus, geograafiline ulatus, andmete kaotus ning majanduslikud ja mainelised tagajärjed. Teavitusmenetlus järgib astmelist mudelit: esialgne teavitus, vaheraport ja lõpparuanne.
Praktikas on Eesti finantsüksusele oluline, et intsidendiprotsess oleks eelnevalt paigas ja katsetatud – intsidendi hetkel pole aega protsessi ehitada. Kuna sama intsident võib käivitada ka NIS2 ja GDPR-i teavitamiskohustused, tasub klassifikatsioon ühtlustada. Vaata rikkumisest teavitamine ja NIS2 Eestis.
DORA ja proportsionaalsus: mida väiksem üksus peab tegema
DORA kohaldub laialt, kuid mitte kõigile ühtemoodi. Määrus järgib proportsionaalsuse põhimõtet: väikseimad üksused, näiteks mikroettevõtjad, võivad kohaldada kergendatud IKT-riskijuhtimise raamistikku. See tähendab, et väike makseasutus või kindlustusvahendaja ei pea rakendama sama põhjalikku raamistikku kui suurpank.
Kergendatud kord ei vabasta siiski põhikohustustest: teaberegister tuleb esitada, intsidentidest teavitada ja IKT-riske hallata. Erinevus on pigem meetmete sügavuses ja dokumentatsiooni mahus. Eesti väiksem finantsüksus peaks seetõttu esmalt selgitama, milline tase talle kohaldub, enne kui tööriista valib – vaata parim DORA tarkvara. Ametlik juhis: Finantsinspektsioon.
Kuidas DORA erineb NIS2-st Eestis
Finantsüksusele on oluline mõista, miks teda puudutab DORA, mitte NIS2, kuigi mõlemad käsitlevad küberturvalisust. Erinevus on põhimõtteline:
| Tunnus | DORA | NIS2 (küberturvalisuse seadus) |
|---|---|---|
| Õigusakti liik | Määrus (otsekohalduv) | Direktiiv (siseriiklik ülevõtmine) |
| Järelevalveasutus Eestis | Finantsinspektsioon | RIA |
| Sihtrühm | Finantssektor | Kriitilised sektorid laiemalt |
| Kohaldumine | Alates 17.01.2025 | Ülevõtmine käimas |
DORA on finantssektoris eriregulatsioon (lex specialis): kui üksus kuulub DORA alla, asendavad selle IKT-riskijuhtimise ja intsidentidest teavitamise nõuded NIS2 vastavad kohustused. See tähendab, et finantsüksus ei pea täitma mõlemat paralleelselt, vaid järgib DORA-t. Piiritlemine on praktikas oluline, et vältida topelttööd valel raamistikul – vaata täpsemalt NIS2 Eestis. Kahtluse korral määrab kohaldatavuse üksuse tegevusluba ja Finantsinspektsiooni järelevalve alla kuulumine.
Ajakava ja järgmised sammud
Kuna DORA-d kohaldatakse Eestis otse ilma üleminekuajata, ei ole vastavus enam tuleviku küsimus, vaid jooksev kohustus. Finantsinspektsioon on 2025. aastal korraldanud teaberegistri esitamise harjutuse ja teabepäevi, mis annavad üksustele konkreetse aluse vormi ja andmenõuete täitmiseks. Praktiline järeldus: üksus, kes ei ole IKT-riskijuhtimise raamistikku ja teaberegistrit veel korda saanud, peaks selle esmajärjekorras lõpetama, sest järelevalve eeldab vastavust juba 17.01.2025 seisuga.
Järgmised sammud olenevad üksuse suurusest ja seni tehtust. Väiksem üksus, kellele kohaldub kergendatud raamistik, peaks esmalt selgitama oma taseme ja seejärel keskenduma teaberegistrile ning intsidendiprotsessile. Suurem üksus peab lisaks kavandama korrapärase testimisprogrammi ja, kui kohaldub, ohupõhise TLPT-testimise. Kuna sama IKT-intsident võib käivitada ka GDPR-i teavitamiskohustuse, tasub intsidendiklassifikatsioon ühtlustada juba praegu.
Korduma kippuvad küsimused
Millal DORA Eestis jõustus?
DORA määrust kohaldatakse alates 17.01.2025 ilma üleminekuajata. Määrus jõustus 17.01.2023 ja kohaldamine algas kahe aasta pärast.
Kes teostab DORA järelevalvet Eestis?
Finantsinspektsioon teostab järelevalvet finantssektori üksuste üle. Järelevalve keskendub IKT-riskijuhtimisele, intsidentidest teavitamisele ja IKT-teenusepakkujate haldusele. Kriitilised IKT-teenusepakkujad kuuluvad EL-i tasandi järelevalve alla.
Mis on DORA teaberegister?
See on standarditud loetelu kõigist IKT-teenuslepingutest, mis tuleb esitada Finantsinspektsioonile. See on üks DORA töömahukamaid uusi kohustusi ja eeldab sageli eraldi tarkvaratuge.
Millised on DORA viis sammast?
IKT-riskijuhtimine, IKT-intsidentide haldus ja aruandlus, digitaalse tegevuskerksuse testimine, kolmanda osapoole IKT-riskide haldus ning teabe jagamine ohtudest.
Kas DORA puudutab väikeseid finantsüksusi?
Jah, kuid proportsionaalsuse põhimõttel. Väikseimad üksused, näiteks mikroettevõtjad, võivad kohaldada kergendatud IKT-riskijuhtimise raamistikku. Kohaldamisala on siiski lai.
Kokkuvõte
DORA määrust kohaldatakse Eestis alates 17.01.2025 ja selle üle teostab järelevalvet Finantsinspektsioon. Peamised kohustused on IKT-riskijuhtimine, teaberegister, intsidentidest teavitamine ja tegevuskerksuse testimine. Kuna DORA, NIS2 ja GDPR finantsüksusel kattuvad, tasub kasutada ühtset lähenemist. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses. Vaata ka NIS2 Eestis ja sanktsioonid AKI trahvid 2025.
Viimati üle vaadatud: juuli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial