DORA (Skaitmeninės veiklos atsparumo aktas, Reglamentas (ES) 2022/2554) Lietuvoje taikomas tiesiogiai nuo 2025 m. sausio 17 d., o jo priežiūrą finansų sektoriuje vykdo Lietuvos bankas. Reglamentas nustato vienodus IRT (informacinių ir ryšių technologijų) rizikos valdymo reikalavimus visiems finansų subjektams – bankams, mokėjimo ir elektroninių pinigų įstaigoms, investicinėms įmonėms, draudikams ir kitiems. Keturi pareigų ramsčiai: IRT rizikos valdymas, su IRT susijusių incidentų pranešimas, skaitmeninio atsparumo testavimas (įskaitant TLPT kritiniams subjektams) ir informacijos apie IRT trečiųjų šalių paslaugų teikėjus registras. Lietuvos fintech ekosistema itin tanki, todėl DORA aktualumas nacionaliniu mastu didelis. Šis vadovas paaiškina pareigas, Lietuvos banko vaidmenį ir sąsajas su BDAR bei NIS2.
Kada ir kam taikoma DORA Lietuvoje?
DORA taikoma nuo 2025 m. sausio 17 d. Kadangi tai reglamentas, jis galioja tiesiogiai, be atskiro nacionalinio perkėlimo – skirtingai nuo NIS2 direktyvos, kuriai reikėjo Kibernetinio saugumo įstatymo pakeitimų.
DORA taikoma plačiam finansų subjektų ratui:
- kredito įstaigoms (bankams);
- mokėjimo ir elektroninių pinigų įstaigoms;
- investicinėms įmonėms;
- draudimo ir perdraudimo bendrovėms;
- valdymo įmonėms ir kolektyvinio investavimo subjektams;
- sutelktinio finansavimo (crowdfunding) platformoms;
- kripto turto paslaugų teikėjams.
Lietuvoje veikia daug licencijuotų mokėjimo ir elektroninių pinigų įstaigų, todėl praktinis DORA poveikis šalies fintech sektoriui yra didelis. Priežiūrą vykdo Lietuvos bankas, kuris integruoja DORA reikalavimus į savo finansų rinkos priežiūrą.
Kaip DORA reikalavimai detalizuojami?
DORA reglamentas nustato pagrindinius principus, o techninės detalės išdėstytos papildomuose techninių reguliavimo standartų (RTS) ir įgyvendinimo techninių standartų (ITS) aktuose, kuriuos parengė Europos priežiūros institucijos. Šie standartai apibrėžia, pavyzdžiui, informacijos registro tikslų šabloną, incidentų klasifikavimo kriterijus ir atsparumo testavimo reikalavimus. Lietuvos finansų subjektui tai reiškia, kad atitiktis kuriama ne vien pagal reglamento tekstą, bet ir pagal šiuos detalius standartus.
Praktinė pasekmė – reikalavimai yra konkretūs ir formalizuoti, todėl programinė įranga, iš anksto sukonfigūruota pagal RTS/ITS šablonus, ženkliai palengvina atitiktį. Vietoje bandymo interpretuoti reikalavimus savarankiškai, subjektas gauna gatavą struktūrą, atitinkančią priežiūros institucijų lūkesčius, kuriuos Lietuvoje taiko Lietuvos bankas.
Kokie yra keturi DORA pareigų ramsčiai?
| Ramstis | Ką reikia padaryti |
|---|---|
| IRT rizikos valdymas | Įdiegti valdymo sistemą, atlikti rizikos vertinimus, dokumentuoti priemones |
| Incidentų valdymas | Klasifikuoti ir pranešti su IRT susijusius incidentus Lietuvos bankui |
| Atsparumo testavimas | Reguliariai testuoti; kritiniams subjektams – TLPT |
| Trečiųjų šalių rizika | Vesti informacijos registrą ir valdyti IRT teikėjų riziką |
Bendrą metodiką rasite DORA atitikties vadove, o įrankių apžvalgą – geriausios DORA programinės įrangos vadove.
Kodėl svarbus informacijos registras?
Vienas konkrečiausių DORA reikalavimų – informacijos apie IRT trečiųjų šalių paslaugų teikėjus registras. Jis turi būti struktūrizuotas pagal priežiūros institucijų nustatytus šablonus ir nuolat atnaujinamas, o Lietuvos bankas jį periodiškai renka. Registras susietas su sutarčių ir tiekėjų pokyčiais, todėl rankinis palaikymas skaičiuoklėse čia itin rizikingas. Būtent informacijos registras dažnai yra pirmas dokumentas, kurio prašoma per DORA priežiūros veiksmus.
Kaip veikia incidentų pranešimas pagal DORA?
DORA numato su IRT susijusių incidentų klasifikavimą ir pranešimą pagal reikšmingumą. Reikšmingi incidentai pranešami Lietuvos bankui pakopiškai – pradinis pranešimas, tarpinė ir galutinė ataskaita. Svarbi sąsaja: su IRT susijęs incidentas finansų subjekte dažnai kartu yra ir asmens duomenų saugumo pažeidimas, apie kurį per 72 valandas reikia pranešti VDAI pagal BDAR 33 straipsnį, o galimai ir NKSC pagal NIS2. Trigubą pranešimo pareigą būtina koordinuoti.
Kaip DORA persidengia su BDAR ir NIS2?
DORA IRT rizikos valdymas iš esmės atkartoja BDAR 32 straipsnio saugumo priemonių reikalavimą ir NIS2 rizikos valdymą. Todėl finansų subjektui, dokumentuojančiam priemones atskirai kiekvienam reguliavimui, atsiranda didelis dubliavimas. Integruotas požiūris, kai priemonės aprašomos vieną kartą ir panaudojamos DORA, NIS2 bei BDAR Lietuvoje, ženkliai sumažina administracinę naštą. Legiscope apima šias persidengiančias dokumentavimo pareigas vienoje ES talpinamoje platformoje.
Kokios priežiūros priemonės ir sankcijos?
Lietuvos bankas, kaip kompetentinga institucija, turi platų priežiūros įrankių rinkinį: gali reikalauti informacijos, atlikti patikrinimus, teikti nurodymus ir taikyti administracines priemones už DORA nesilaikymą. DORA numato, kad kompetentingos institucijos turi turėti įgaliojimus taikyti veiksmingas, proporcingas ir atgrasančias priemones. Kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą ES lygiu papildomai vykdo Europos priežiūros institucijos.
Praktinė reikšmė Lietuvos finansų subjektui: DORA atitiktis integruota į įprastą Lietuvos banko finansų rinkos priežiūrą, todėl jos nesilaikymas gali paveikti bendrą subjekto priežiūros vertinimą ir reputaciją, ne tik užtraukti atskirą sankciją.
Kaip DORA veikia Lietuvos fintech ekosistemą?
Lietuva yra viena didžiausių ES mokėjimo ir elektroninių pinigų įstaigų licencijavimo centrų – čia įsikūrusi didelė dalis ES fintech sektoriaus. Tai reiškia, kad DORA nacionalinis poveikis neproporcingai didelis, palyginti su šalies dydžiu. Daugeliui šių įmonių DORA yra pirmasis reguliavimas, reikalaujantis formalaus IRT rizikos valdymo ir informacijos registro, o mažesnės, sparčiai augusios įmonės dažnai neturi tam skirtų procesų.
Papildomas sudėtingumas – daugelis fintech įmonių intensyviai naudoja išorinius IRT teikėjus (debesijos, KYC, sukčiavimo prevencijos), todėl jų informacijos registras apima daug įrašų, o su IRT susijęs incidentas beveik visada apima ir asmens duomenis. Būtent todėl integruotas DORA ir BDAR valdymas šiam sektoriui ypač aktualus. Bendrą nacionalinį duomenų apsaugos kontekstą apibendrina duomenų apsaugos Lietuvoje vadovas.
Ką reiškia proporcingumas ir TLPT?
DORA taiko proporcingumo principą, tačiau jį reikia suprasti tiksliai. Bazinės pareigos – IRT rizikos valdymo sistema, incidentų klasifikavimas ir informacijos registras – galioja visiems subjektams; skiriasi tik reikalavimų gylis. Mažesniems ir mažiau sudėtingiems subjektams leidžiama supaprastinta IRT rizikos valdymo sistema, tačiau ji nėra atleidimas nuo pareigos.
Griežčiausias testavimo reikalavimas – grėsmėmis grįstas įsiskverbimo testavimas (TLPT) – taikomas tik reikšmingiems subjektams, kuriuos atrenka kompetentinga institucija pagal jų sisteminę svarbą. Daugumai Lietuvos fintech įmonių TLPT tiesiogiai netaikomas, tačiau reguliarus atsparumo testavimas (pažeidžiamumų vertinimai, scenarijų analizė) privalomas. Konkrečią testavimo apimtį lemia subjekto rizikos profilis, kurį vertina Lietuvos bankas.
Kaip pasiekti DORA atitiktį?
Praktiniai žingsniai finansų subjektui:
- Įdiekite IRT rizikos valdymo sistemą ir dokumentuokite priemones.
- Parenkite ir nuolat atnaujinkite informacijos apie IRT teikėjus registrą.
- Sukurkite incidentų klasifikavimo ir pranešimo Lietuvos bankui procedūrą.
- Suplanuokite skaitmeninio atsparumo testavimą; kritiniams subjektams – TLPT.
- Koordinuokite pranešimo pareigas su BDAR (VDAI) ir NIS2 (NKSC).
Dažnai užduodami klausimai (FAQ)
Kas Lietuvoje prižiūri DORA?
DORA priežiūrą finansų sektoriuje vykdo Lietuvos bankas, kuris integruoja reglamento reikalavimus į savo finansų rinkos priežiūrą. Kadangi DORA yra tiesiogiai taikomas reglamentas, jam nereikėjo atskiro nacionalinio perkėlimo.
Nuo kada taikoma DORA?
DORA taikoma nuo 2025 m. sausio 17 d. visoje ES, įskaitant Lietuvą. Nuo šios datos finansų subjektai privalo laikytis IRT rizikos valdymo, incidentų pranešimo, atsparumo testavimo ir informacijos registro reikalavimų.
Ar DORA taikoma mokėjimo ir fintech įmonėms?
Taip. DORA taikoma mokėjimo įstaigoms, elektroninių pinigų įstaigoms, investicinėms įmonėms, kripto turto paslaugų teikėjams ir kitiems finansų subjektams. Lietuvos tankiam fintech sektoriui tai reiškia platų praktinį poveikį, prižiūrimą Lietuvos banko.
Ar DORA taikoma mažoms finansų įmonėms?
Iš esmės taip, tačiau DORA numato proporcingumo principą – reikalavimų mastas priklauso nuo subjekto dydžio, rizikos profilio ir veiklos sudėtingumo. Mažesniems ir mažiau sudėtingiems subjektams taikoma supaprastinta IRT rizikos valdymo sistema. Vis dėlto pagrindinės pareigos – informacijos registras ir incidentų pranešimas – galioja plačiai.
Kaip DORA susijusi su BDAR pranešimu apie pažeidimą?
Su IRT susijęs incidentas finansų subjekte dažnai kartu yra ir asmens duomenų saugumo pažeidimas. Tokiu atveju atsiranda dviguba pareiga: pranešti Lietuvos bankui pagal DORA ir VDAI per 72 valandas pagal BDAR 33 straipsnį. Šias pareigas būtina koordinuoti, o integruota platforma leidžia tą patį incidentą valdyti abiem kryptimis.
Ar DORA pakeičia NIS2 finansų subjektams?
Iš dalies. Finansų subjektui DORA veikia kaip lex specialis – t. y. tose srityse, kurias reglamentuoja abu aktai, DORA reikalavimai turi pirmenybę prieš NIS2. Tačiau tai nereiškia, kad NIS2 visiškai netaikoma; praktinę pusiausvyrą lemia konkretaus subjekto veikla. Daugumai finansų subjektų svarbiausia laikytis detalesnių DORA reikalavimų, kartu užtikrinant bendrą kibernetinio saugumo lygį.
Išvada
DORA Lietuvoje taikoma nuo 2025 m. sausio 17 d., o priežiūrą vykdo Lietuvos bankas. Reglamentas nustato IRT rizikos valdymo, incidentų pranešimo, atsparumo testavimo ir informacijos registro pareigas, itin aktualias tankiam Lietuvos fintech sektoriui. Kadangi šios pareigos plačiai persidengia su BDAR ir NIS2, integruotas dokumentavimas yra efektyviausias kelias į atitiktį. Atsižvelgiant į detalius RTS ir ITS standartus, iš anksto pagal juos sukonfigūruota platforma leidžia išvengti savarankiško reikalavimų interpretavimo ir sutelkti dėmesį į realų atsparumą.
Šaltiniai: Lietuvos bankas, DORA reglamentas (EUR-Lex), BDAR tekstas (EUR-Lex).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial