Datu aizsardzība

DORA Latvijā 2026: Latvijas Banka un finanšu sektors

DORA Latvijā 2026: kā Regula (ES) 2022/2554 attiecas uz finanšu sektoru Latvijas Bankas uzraudzībā. Kam piemērojams, četri pīlāri un informācijas reģistrs.

Also available in:English·Français·Español·Deutsch·da

DORA (Digitālās darbības noturības akts) ir Regula (ES) 2022/2554, kas Latvijā un visā ES ir piemērojama kopš 2025. gada 17. janvāra un uzliek digitālās noturības prasības finanšu sektoram. Latvijā DORA izpildi uzrauga Latvijas Banka, kurā kopš 2023. gada 1. janvāra ir integrētas bijušās Finanšu un kapitāla tirgus komisijas (FKTK) funkcijas. DORA attiecas uz plašu finanšu subjektu loku — kredītiestādēm, maksājumu un elektroniskās naudas iestādēm, ieguldījumu brokeru sabiedrībām, apdrošinātājiem, kriptoaktīvu pakalpojumu sniedzējiem un citiem — un nosaka vienotas prasības četros virzienos: IKT risku pārvaldībā, incidentu ziņošanā, trešo pušu riska pārvaldībā un noturības testēšanā. Šis ceļvedis skaidro, kam DORA Latvijā piemērojama, kādi ir tās pienākumi un kā tā saskaras ar NIS2 un VDAR.

Kas ir DORA un kāpēc tā ieviesta?

DORA ir daļa no Eiropas Komisijas digitālo finanšu stratēģijas. Tās mērķis ir stiprināt finanšu sektora digitālās darbības noturību, mazinot riskus, kas saistīti ar finanšu nozares digitālo transformāciju. Pirms DORA katra dalībvalsts un nozare piemēroja atšķirīgas IKT drošības prasības; DORA nosaka vienotus noteikumus visiem tirgus dalībniekiem. Regula stājās spēkā 2023. gada 16. janvārī, un tās pilna piemērošana sākās 2025. gada 17. janvārī, dodot finanšu subjektiem divus gadus sagatavoties.

Kam Latvijā piemērojama DORA?

DORA attiecas uz gandrīz visiem Latvijas Bankas uzraudzītajiem finanšu subjektiem:

Subjektu veids Piemēri
Kredītiestādes Bankas
Maksājumu iestādes Maksājumu un elektroniskās naudas iestādes
Ieguldījumu pakalpojumi Ieguldījumu brokeru sabiedrības, fondu pārvaldnieki
Apdrošināšana Apdrošināšanas un pārapdrošināšanas sabiedrības, starpnieki
Kriptoaktīvi Kriptoaktīvu pakalpojumu sniedzēji
Kolektīvā finansēšana Kolektīvās finansēšanas pakalpojumu sniedzēji

DORA piemēro proporcionalitātes principu — prasību apjoms tiek pielāgots subjekta lielumam un riska profilam, tāpēc mikrouzņēmumiem daži pienākumi ir mazāk apjomīgi nekā lielām bankām.

DORA četri pīlāri

DORA prasības iedalāmas četros virzienos. Pirmais ir IKT risku pārvaldība — finanšu subjektam jāizveido pārvaldības ietvars ar IKT risku reģistru, atbildības sadali un iekšējo kontroli. Otrais ir IKT incidentu ziņošana — būtiski incidenti jāklasificē un jāziņo uzraudzības iestādei noteiktos termiņos. Trešais ir trešo pušu IKT pakalpojumu sniedzēju riska pārvaldība — jāuztur informācijas reģistrs par visiem IKT pakalpojumu sniedzējiem un jākontrolē līgumi, tostarp mākoņa pakalpojumi. Ceturtais ir digitālās noturības testēšana — regulāra testēšana, augsta riska subjektiem ietverot uz draudiem balstītu ielaušanās testēšanu (TLPT). Rīku izvēli šo pīlāru pārvaldībai skatiet mūsu DORA programmatūras pārskatā.

Informācijas reģistrs: praktiski sarežģītākais pienākums

Viens no praktiski sarežģītākajiem DORA pienākumiem ir informācijas reģistrs (register of information) par trešo pušu IKT pakalpojumu sniedzējiem. Reģistrs jāuztur standartizētā formātā un jāiesniedz Latvijas Bankai, kas to nodod Eiropas uzraudzības iestādēm. Eiropas uzraudzības iestādes ir publicējušas lēmumus par reģistra iesniegšanas termiņiem un formātu. Reģistrs prasa detalizētu informāciju par katru IKT pakalpojumu sniedzēju, līguma nosacījumiem un kritiskumu, tāpēc tā uzturēšana izklājlapās ir apgrūtinoša — līdzīgi kā VDAR apstrādes reģistrs, tas jāuztur dzīvs un aktuāls.

Kā DORA saskaras ar NIS2 un VDAR?

DORA pārklājas ar diviem citiem regulējumiem. Ar NIS2 tā dalās IKT risku pārvaldības un incidentu ziņošanas loģikā, taču finanšu subjektiem DORA ir speciālais regulējums (lex specialis), kas prevalē pār NIS2. Ar VDAR tā pārklājas 32. panta (drošība) un 33. panta (pārkāpumu paziņošana) jomā — IKT incidents bieži vienlaikus ir personas datu aizsardzības pārkāpums, par ko jāziņo arī DVI. Tāpēc finanšu uzņēmumam ir izdevīgi šos regulējumus pārvaldīt saskaņoti. Integrēta atbilstības platforma, piemēram, Legiscope, ļauj VDAR un pārklājošos drošības un dokumentācijas pienākumus pārvaldīt vienotā ES bāzētā sistēmā, samazinot dubultu darbu starp DORA, NIS2 un VDAR. Latvijas datu aizsardzības kontekstu kopumā skatiet datu aizsardzības ceļvedī Latvijā.

Līgumu prasības ar IKT pakalpojumu sniedzējiem

Viena no praktiski apjomīgākajām DORA prasībām ir līgumu pārskatīšana ar IKT pakalpojumu sniedzējiem. DORA nosaka, ka līgumos jāiekļauj konkrēti obligāti nosacījumi: pakalpojuma pilnīgs apraksts, datu atrašanās vietas un apstrādes noteikumi, pakalpojuma līmeņa rādītāji, piekļuves un audita tiesības finanšu subjektam un uzraudzības iestādei, sadarbība incidentu gadījumā, kā arī izbeigšanas un iziešanas stratēģija. Kritiskiem vai svarīgiem pakalpojumiem prasības ir stingrākas. Praksē tas nozīmē, ka daudzi esošie līgumi — īpaši ar lieliem mākoņa pakalpojumu sniedzējiem — jāpārslēdz vai jāpapildina, lai atbilstu DORA. Šis process ir laikietilpīgs, jo tas prasa gan katra pakalpojuma sniedzēja kritiskuma novērtējumu, gan līguma nosacījumu pārrunāšanu. Programmatūra šo darbu strukturē, saistot informācijas reģistru ar līgumu pārvaldību.

Kā finanšu subjektam sagatavoties DORA uzraudzībai?

Sagatavotība Latvijas Bankas DORA uzraudzībai balstās uz četru pīlāru pierādāmu izpildi. Praktiski tas nozīmē: uzturēt aktuālu IKT risku reģistru ar dokumentētiem pasākumiem; uzturēt informācijas reģistru par visiem IKT pakalpojumu sniedzējiem standartizētā formātā; ieviest incidentu klasifikācijas un ziņošanas procedūru ar termiņu kontroli; un dokumentēt noturības testēšanas grafiku un rezultātus. Latvijas Banka savā uzraudzībā sagaida, ka subjekts spēj šos dokumentus uzrādīt jebkurā brīdī, tāpēc tie jāuztur dzīvi, ne vienreiz sagatavoti. Mazākiem finanšu subjektiem — maksājumu iestādēm, apdrošināšanas starpniekiem — proporcionalitātes princips samazina prasību apjomu, bet neatceļ pamatpienākumus. Rīku izvēli šo pienākumu pārvaldībai skatiet DORA programmatūras pārskatā.

DORA un citi finanšu sektora pienākumi

DORA nav vienīgais regulējums, ko Latvijas finanšu subjekts pārvalda, un tā vērtība daļēji ir šo pienākumu saskaņošanā. Finanšu uzņēmums vienlaikus ievēro VDAR prasības par klientu datu apstrādi, NIS2 kiberdrošības prasības (ciktāl DORA kā speciālais regulējums tās neaizstāj) un nozares regulējumu par noziedzīgi iegūtu līdzekļu legalizācijas novēršanu un patērētāju aizsardzību. DORA IKT risku pārvaldības un incidentu ziņošanas loģika pārklājas ar vairākiem no šiem pienākumiem, tāpēc integrēta pieeja samazina dubultu darbu. Praksē tas nozīmē, ka finanšu uzņēmumam, kas jau uztur VDAR apstrādes reģistru un drošības dokumentāciju, DORA informācijas reģistru un incidentu procedūru ir izdevīgi veidot uz tās pašas dokumentācijas bāzes, nevis kā atsevišķu, nesaistītu sistēmu. Latvijas datu aizsardzības ietvaru kopumā skatiet datu aizsardzības ceļvedī Latvijā.

Biežāk uzdotie jautājumi

Kad DORA stājās spēkā Latvijā?

DORA (Regula (ES) 2022/2554) stājās spēkā 2023. gada 16. janvārī, un tās pilna piemērošana sākās 2025. gada 17. janvārī. Kā ES regula tā ir tieši piemērojama visā Latvijā bez atsevišķas nacionālās pārņemšanas.

Kas Latvijā uzrauga DORA izpildi?

DORA izpildi Latvijā uzrauga Latvijas Banka, kas veic integrētu finanšu sektora uzraudzību. Kopš 2023. gada 1. janvāra Latvijas Bankā ir pilnībā integrētas bijušās Finanšu un kapitāla tirgus komisijas (FKTK) funkcijas, tāpēc tieši Latvijas Banka ir kompetentā iestāde DORA jautājumos.

Vai DORA attiecas uz maksājumu iestādēm un apdrošināšanas starpniekiem?

Jā. DORA attiecas uz plašu finanšu subjektu loku, tostarp maksājumu un elektroniskās naudas iestādēm, apdrošināšanas un pārapdrošināšanas sabiedrībām un apdrošināšanas starpniekiem. Prasību apjoms tiek pielāgots subjekta lielumam un riska profilam saskaņā ar proporcionalitātes principu.

Kā DORA atšķiras no iepriekšējām IKT drošības prasībām?

Pirms DORA finanšu subjektu IKT drošības prasības bija sadrumstalotas — atšķirīgas pa dalībvalstīm un nozarēm, bieži balstītas uz vadlīnijām, ne saistošu regulējumu. DORA tās aizstāj ar vienotu, tieši piemērojamu ES regulu, kas nosaka konkrētus, saistošus pienākumus visiem finanšu subjektiem četros pīlāros. Galvenā atšķirība ir saistošs raksturs, standartizācija (piemēram, informācijas reģistra formāts) un tieša uzraudzība, ko Latvijā veic Latvijas Banka.

Secinājums

DORA Latvijā ir piemērojama kopš 2025. gada 17. janvāra un uzliek digitālās noturības prasības gandrīz visiem Latvijas Bankas uzraudzītajiem finanšu subjektiem četros virzienos — IKT risku pārvaldībā, incidentu ziņošanā, trešo pušu riska pārvaldībā un noturības testēšanā. Praktiski sarežģītākais pienākums ir informācijas reģistrs, kas jāuztur standartizētā formātā un jāiesniedz Latvijas Bankai. Tā kā DORA pārklājas ar NIS2 un VDAR, finanšu uzņēmumam ir izdevīgi šos regulējumus pārvaldīt saskaņoti vienotā sistēmā, nevis kā atsevišķus, nesaistītus pienākumus. Praktiskais sākumpunkts ir divi soļi: izveidot informācijas reģistru par visiem IKT pakalpojumu sniedzējiem un pārskatīt līgumus atbilstoši DORA obligātajiem nosacījumiem. Šie divi soļi ir apjomīgākie, un tieši tos Latvijas Banka sagaida redzēt uzraudzības pārbaudē. Uzņēmumam, kas šo dokumentāciju uztur dzīvu un aktuālu, DORA atbilstība kļūst par nepārtrauktu procesu, nevis vienreizēju projektu — tāpat kā VDAR apstrādes reģistrs ir dzīvs dokuments, ne vienreiz aizpildīta izklājlapa.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →