Geriausia DORA programinė įranga 2026 metais automatizuoja Skaitmeninės veiklos atsparumo akto (DORA, Reglamentas (ES) 2022/2554) pareigas, taikomas nuo 2025 m. sausio 17 d. finansų subjektams: IRT rizikos valdymą, informacijos apie IRT trečiųjų šalių paslaugų teikėjus registrą, su IRT susijusių incidentų pranešimą ir skaitmeninio atsparumo testavimą (įskaitant TLPT). Lietuvoje DORA priežiūrą vykdo Lietuvos bankas. Įrankiai vertinami pagal informacijos registro automatizavimą, incidentų klasifikavimo ir pranešimo darbo eigą, tiekėjų rizikos valdymą bei atsparumo testavimo palaikymą. Šis vadovas paaiškina, ko ieškoti, ir kaip DORA pareigos persidengia su BDAR ir NIS2 Lietuvos finansų subjektui.
Kam Lietuvoje taikoma DORA?
DORA taikoma įvairiems finansų subjektams: bankams, mokėjimo ir elektroninių pinigų įstaigoms, investicinėms įmonėms, draudimo bendrovėms, valdymo įmonėms, sutelktinio finansavimo platformoms ir kt. Lietuvos fintech ekosistema itin tanki – čia licencijuota daug mokėjimo ir elektroninių pinigų įstaigų – todėl DORA aktualumas nacionaliniu mastu didelis. Priežiūrą vykdo Lietuvos bankas. Detalų aprašymą rasite DORA Lietuvoje vadove.
Kas turi būti informacijos registre?
Informacijos apie IRT trečiųjų šalių paslaugų teikėjus registras yra vienas detaliausiai reglamentuotų DORA elementų. Jame turi būti struktūrizuota informacija apie kiekvieną susitarimą su IRT teikėju:
| Elementas | Ką apima |
|---|---|
| Teikėjo tapatybė | Pavadinimas, identifikatorius, šalis |
| Paslaugos rūšis | Kokia IRT funkcija teikiama |
| Kritiškumas | Ar paslauga palaiko kritinę ar svarbią funkciją |
| Sutarties sąlygos | Trukmė, nutraukimas, paslaugų lygiai |
| Subrangovai | Teikėjo naudojami tolesni tiekėjai |
| Pakeičiamumas | Ar teikėją įmanoma pakeisti ir kaip |
Šis registras periodiškai teikiamas priežiūros institucijoms, o jo tikslumas yra tiesioginis DORA atitikties rodiklis. Kadangi teikėjų ir sutarčių informacija nuolat keičiasi, rankinis palaikymas skaičiuoklėse itin klaidingas – būtent čia automatizuota platforma duoda didžiausią vertę.
Kokias funkcijas turi turėti DORA programinė įranga?
DORA nustato keturis pareigų ramsčius, o programinė įranga turi juos padengti:
- IRT rizikos valdymas – valdymo sistema, rizikos vertinimai ir priemonių dokumentavimas.
- Informacijos registras – struktūrizuotas registras apie visus IRT trečiųjų šalių paslaugų teikėjus, kurį galima pateikti priežiūros institucijai.
- Incidentų valdymas – su IRT susijusių incidentų klasifikavimas ir pranešimas Lietuvos bankui per DORA nustatytus terminus.
- Skaitmeninio atsparumo testavimas – reguliarus testavimas, o kritiniams subjektams – grėsmėmis grįstas įsiskverbimo testavimas (TLPT).
Kaip veikia skaitmeninio atsparumo testavimas?
Skaitmeninio atsparumo testavimas yra vienas praktiškai sudėtingesnių DORA elementų. Reglamentas numato du lygius. Bazinis testavimas – reguliarus pažeidžiamumų vertinimas, scenarijų testai ir tinklo saugumo peržiūros – taikomas visiems finansų subjektams pagal proporcingumo principą. Antras lygis, grėsmėmis grįstas įsiskverbimo testavimas (TLPT), privalomas tik reikšmingiems subjektams, kuriuos nustato priežiūros institucijos; jis imituoja realias atakas pagal grėsmių žvalgybą.
Programinės įrangos požiūriu svarbu, kad platforma leistų planuoti, dokumentuoti ir sekti šiuos testus bei jų rezultatus, nes priežiūros institucija (Lietuvos bankas) gali jų pareikalauti. Testavimo rezultatai taip pat susieti su IRT rizikos valdymu – aptiktos spragos turi būti įtrauktos į rizikos registrą ir šalinamos. Todėl testavimo dokumentacija yra ne formalumas, o dalis nuolatinio atsparumo ciklo.
Palyginimo kriterijai
| Kriterijus | Ką vertinti |
|---|---|
| Informacijos registras | Ar automatiškai generuojamas ir atnaujinamas struktūrizuotas registras? |
| Incidentų pranešimas | Ar palaikomas klasifikavimas ir Lietuvos banko terminai? |
| Tiekėjų rizika | Ar sekamos sutartys ir kritinių teikėjų rizika? |
| Atsparumo testavimas | Ar dokumentuojami testai ir jų rezultatai? |
| Persidengimas | Ar priemonės pakartotinai naudojamos NIS2 ir BDAR atitikčiai? |
Bendrą metodiką rasite DORA atitikties vadove.
Kodėl svarbus informacijos registras?
Informacijos apie IRT trečiųjų šalių paslaugų teikėjus registras yra vienas konkrečiausių ir dažniausiai tikrinamų DORA reikalavimų. Jis turi būti struktūrizuotas pagal priežiūros institucijų nustatytus šablonus ir nuolat atnaujinamas. Rankinis palaikymas skaičiuoklėse čia ypač rizikingas, nes registras susietas su sutarčių ir tiekėjų pokyčiais. Programinė įranga, automatiškai atnaujinanti šį registrą, ženkliai sumažina klaidų riziką per Lietuvos banko patikrinimą.
Kaip DORA persidengia su BDAR ir NIS2?
DORA IRT rizikos valdymas iš dalies sutampa su BDAR 32 straipsnio saugumo priemonėmis ir NIS2 reikalavimais, o su IRT susijęs incidentas dažnai kartu yra ir asmens duomenų saugumo pažeidimas, apie kurį reikia pranešti ir VDAI. Tai reiškia, kad finansų subjektui, dokumentuojančiam priemones ir incidentus atskirai kiekvienam reguliavimui, atsiranda didelis dubliavimas. Integruota platforma leidžia priemones aprašyti vieną kartą ir panaudoti visiems trims blokams. Bendrą BDAR Lietuvoje kontekstą verta įvertinti kartu.
Kuo DORA skiriasi nuo NIS2?
Nors DORA ir NIS2 abi susijusios su skaitmeniniu atsparumu, jos skiriasi trimis esminiais aspektais. Pirma, teisinė forma: DORA yra tiesiogiai taikomas reglamentas, o NIS2 – direktyva, kuriai reikėjo nacionalinio perkėlimo Kibernetinio saugumo įstatymu. Antra, taikymo sritis: DORA skirta konkrečiai finansų sektoriui ir jo IRT rizikai, o NIS2 apima platų kritinių sektorių ratą. Trečia, DORA yra detalesnė finansų specifikoje – ji nustato konkrečius reikalavimus informacijos registrui ir grėsmėmis grįstam įsiskverbimo testavimui (TLPT). Svarbu, kad lex specialis principu finansų subjektui DORA turi pirmenybę prieš NIS2 tose srityse, kurias reglamentuoja abu aktai. Reglamento tekstą galima pasitikrinti EUR-Lex.
Kaip Lietuvos bankas prižiūri DORA?
Lietuvoje DORA priežiūrą vykdo Lietuvos bankas, integruodamas reglamento reikalavimus į savo finansų rinkos priežiūrą. Praktikoje tai reiškia, kad finansų subjektai turi būti pasirengę pateikti informacijos apie IRT trečiųjų šalių paslaugų teikėjus registrą, incidentų ataskaitas ir atsparumo testavimo rezultatus. Lietuvos banko gaires ir reikalavimus galima rasti oficialioje svetainėje. Kadangi Lietuvos fintech sektorius itin tankus, nacionalinės priežiūros intensyvumas šioje srityje didelis, todėl programinė įranga, automatiškai palaikanti šiuos dokumentus aktualius, ženkliai sumažina riziką per Lietuvos banko patikrinimą. Platesnį nacionalinį kontekstą rasite DORA Lietuvoje vadove.
Kiek kainuoja DORA programinė įranga?
Specializuoti DORA / IRT rizikos įrankiai kainuoja nuo 300 €/mėn., o įmonių sprendimai finansų grupėms siekia dešimtis tūkstančių eurų per metus. Integruotos platformos, apimančios DORA kartu su NIS2 ir BDAR, dažnai pigesnės nei atskirų sprendimų suma. Kainodaros logiką rasite BDAR programinės įrangos kainos vadove.
Legiscope yra europinė platforma su ES talpinimu, apimanti persidengiančias DORA, NIS2 ir BDAR dokumentavimo pareigas, todėl Lietuvos finansų subjektui ji leidžia išvengti pareigų dubliavimo.
Kokias funkcijas ypač vertinti fintech įmonei?
Lietuvos fintech ir mokėjimų įmonei, kuriai DORA aktuali labiausiai, verta atkreipti dėmesį į kelias specifines funkcijas. Pirma – informacijos registro automatizavimas: mokėjimo įstaigos paprastai naudoja daug IRT teikėjų (debesijos, KYC, sukčiavimo prevencijos), todėl rankinis registro palaikymas ypač klaidingas. Antra – incidentų klasifikavimas: DORA reikalauja tikslaus reikšmingumo vertinimo, o programinė įranga turi padėti nustatyti, kuris incidentas peržengia pranešimo slenkstį. Trečia – sąsaja su BDAR pažeidimų valdymu, nes su IRT susijęs incidentas mokėjimų įmonėje beveik visada apima ir asmens duomenis.
Kadangi tie patys fintech subjektai privalo laikytis ir BDAR, integruota platforma, jungianti DORA IRT rizikos valdymą su BDAR dokumentacija, pašalina dvigubą darbą. Tai ypač svarbu mažesnėms fintech įmonėms, neturinčioms atskiros atitikties komandos.
Kaip pasiruošti Lietuvos banko patikrinimui?
Praktiniai pasiruošimo žingsniai: turėkite aktualų informacijos registrą, paruoštą pateikti nedelsiant; dokumentuokite IRT rizikos valdymo sistemą ir jos peržiūras; turėkite incidentų klasifikavimo ir pranešimo procedūrą; suplanuokite ir dokumentuokite atsparumo testavimą. Nuolatinis, o ne skubotas dokumentavimas yra geriausia apsauga – būtent to leidžia pasiekti automatizuota platforma.
Dažnai užduodami klausimai (FAQ)
Kiek kainuoja DORA programinė įranga?
Specializuoti DORA įrankiai prasideda nuo 300 €/mėn., įmonių sprendimai finansų grupėms – nuo 20 000 €/metus. Integruotos platformos, apimančios DORA su NIS2 ir BDAR, MVĮ dydžio subjektui dažnai kainuoja 3 000–12 000 €/metus. Galutinę kainą lemia subjekto dydis, IRT teikėjų skaičius ir tai, ar reikalingas TLPT palaikymas.
Kada DORA pradėta taikyti Lietuvoje?
DORA reglamentas taikomas nuo 2025 m. sausio 17 d. visoje ES, įskaitant Lietuvą. Priežiūrą Lietuvoje vykdo Lietuvos bankas. Skirtingai nuo direktyvų, reglamentas taikomas tiesiogiai, be atskiro nacionalinio perkėlimo.
Ar DORA programinė įranga apima BDAR?
Kai kurios integruotos platformos apima. DORA IRT rizikos valdymas ir incidentų pranešimas persidengia su BDAR 32 ir 33 straipsniais, todėl tas pačias priemones galima panaudoti abiem. Legiscope tokį integruotą požiūrį taiko, apimdama DORA, NIS2 ir BDAR.
Ar visoms finansų įmonėms reikia TLPT testavimo?
Ne. Grėsmėmis grįstas įsiskverbimo testavimas (TLPT) privalomas tik reikšmingiems finansų subjektams, kuriuos nustato priežiūros institucijos pagal jų svarbą ir rizikos profilį. Mažesniems subjektams pakanka reguliaraus skaitmeninio atsparumo testavimo (pažeidžiamumo skenavimo, scenarijų testų). Programinė įranga turi palaikyti abu lygius ir dokumentuoti rezultatus.
Nuo ko pradėti DORA atitiktį fintech įmonei?
Pradėti verta nuo informacijos apie IRT trečiųjų šalių paslaugų teikėjus registro sudarymo ir IRT rizikos valdymo sistemos dokumentavimo – tai konkrečiausi ir dažniausiai tikrinami reikalavimai. Toliau nustatoma incidentų pranešimo procedūra ir suplanuojamas atsparumo testavimas. Integruota platforma leidžia šiuos žingsnius atlikti kartu su BDAR pareigomis.
Ar draudimo bendrovėms taip pat taikoma DORA?
Taip. DORA taikoma plačiam finansų subjektų ratui, įskaitant draudimo ir perdraudimo bendroves bei draudimo tarpininkus (su tam tikromis proporcingumo išimtimis mažiausiems). Joms galioja tie patys keturi ramsčiai – IRT rizikos valdymas, incidentų pranešimas, atsparumo testavimas ir informacijos registras. Kadangi draudikai tvarko daug asmens duomenų, DORA ir BDAR sąsaja jiems ypač aktuali, todėl integruota platforma padeda išvengti dvigubo darbo.
Nuo ko pradėti DORA atitiktį fintech įmonei?
Pradėti verta nuo informacijos apie IRT teikėjus registro ir IRT rizikos valdymo sistemos dokumentavimo – tai konkrečiausi, dažniausiai tikrinami reikalavimai. Toliau nustatoma incidentų pranešimo procedūra ir suplanuojamas atsparumo testavimas.
Išvada
Geriausia DORA programinė įranga Lietuvos finansų subjektui automatizuoja IRT rizikos valdymą, informacijos registrą, incidentų pranešimą Lietuvos bankui ir atsparumo testavimą. Kadangi šios pareigos plačiai persidengia su NIS2 ir BDAR, integruota, ES talpinama platforma dažniausiai pranoksta atskirus sprendimus. Tankiam Lietuvos fintech sektoriui, kuriame vienas subjektas dažnai valdo daug IRT teikėjų, automatinis informacijos registro palaikymas yra ypač vertingas.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo