Datu aizsardzība

Labākā DORA programmatūra 2026: rīki finanšu sektoram Latvijā

Labākā DORA programmatūra 2026 Latvijas finanšu sektoram: rīki IKT risku pārvaldībai, incidentu ziņošanai un informācijas reģistram Latvijas Bankas uzraudzībā.

Also available in:English·da·Nederlands·Português

Labākā DORA programmatūra Latvijas finanšu sektora uzņēmumam 2026. gadā ir platforma, kas atbalsta Regulas (ES) 2022/2554 četru pīlāru izpildi — IKT risku pārvaldību, IKT incidentu ziņošanu, trešo pušu IKT pakalpojumu sniedzēju riska pārvaldību un digitālās noturības testēšanu — kā arī informācijas reģistra sagatavošanu. DORA ir piemērojama kopš 2025. gada 17. janvāra, un Latvijā tās izpildi uzrauga Latvijas Banka, kurā kopš 2023. gada ir integrētas bijušās Finanšu un kapitāla tirgus komisijas funkcijas. Pareizais rīks strukturē IKT risku reģistru, pārvalda incidentu ziņošanas termiņus un uztur trešo pušu pakalpojumu sniedzēju informācijas reģistru standartizētā formātā. Tālāk apskatu atlases kritērijus, rīku veidus un DORA pārklāšanos ar NIS2 un VDAR.

Kam Latvijā piemērojama DORA?

DORA attiecas uz plašu finanšu subjektu loku: kredītiestādēm, maksājumu un elektroniskās naudas iestādēm, ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, alternatīvo ieguldījumu fondu pārvaldniekiem, apdrošināšanas un pārapdrošināšanas sabiedrībām, apdrošināšanas starpniekiem un kolektīvās finansēšanas pakalpojumu sniedzējiem. Latvijā tas nozīmē, ka gandrīz katrs Latvijas Bankas uzraudzītais subjekts ietilpst DORA tvērumā. Precīzu piemērojamības un uzraudzības aprakstu skatiet DORA Latvijā.

DORA četri pīlāri un ko programmatūra risina

Pīlārs Ko tas prasa Ko programmatūra risina
IKT risku pārvaldība Pārvaldības ietvars, risku reģistrs Strukturēts risku reģistrs, pasākumu izsekošana
IKT incidentu ziņošana Būtisku incidentu ziņošana uzraudzības iestādei Termiņu kontrole, incidentu klasifikācija
Trešo pušu riska pārvaldība Līgumi un informācijas reģistrs Informācijas reģistrs standartizētā formātā
Digitālās noturības testēšana Regulāra testēšana, augsta riska gadījumos TLPT Testēšanas plānošana un dokumentācija

Informācijas reģistrs (register of information) ir viens no praktiski sarežģītākajiem DORA pienākumiem, jo tas jāuztur standartizētā formātā un jāiesniedz Latvijas Bankai un Eiropas uzraudzības iestādēm noteiktos termiņos.

Kritēriji labākās DORA programmatūras izvēlei

Latvijas finanšu subjektam DORA rīka izvēli izšķir seši kritēriji: strukturēts IKT risku reģistrs, kas atbilst DORA pārvaldības ietvaram; incidentu ziņošanas darbplūsma ar termiņu kontroli; informācijas reģistra uzturēšana standartizētā formātā; trešo pušu līgumu pārvaldība ar apakšuzņēmēju kontroli; digitālās noturības testēšanas dokumentācija; un ES mitināšana. Papildus svarīga ir spēja saskaņot DORA ar pārklājošajiem NIS2 un VDAR pienākumiem.

Kā DORA pārklājas ar NIS2 un VDAR?

DORA nav izolēts regulējums. Tās IKT risku pārvaldības un incidentu ziņošanas prasības pārklājas gan ar NIS2 kiberdrošības pienākumiem, gan ar VDAR 32. panta (drošība) un 33. panta (pārkāpumu paziņošana) prasībām. Finanšu uzņēmumam, kas jau uztur VDAR apstrādes reģistru un drošības dokumentāciju, ir izdevīgi šos trīs regulējumus pārvaldīt saskaņoti, nevis atsevišķi. Praksē DORA ir specifiskāka un stingrāka finanšu sektorā, bet dokumentācijas un incidentu pārvaldības loģika ir līdzīga.

Integrēta atbilstības platforma, piemēram, Legiscope, ļauj VDAR un pārklājošos drošības pienākumus pārvaldīt vienotā ES bāzētā sistēmā ar latviešu valodas izvadi, kas finanšu uzņēmumam samazina dubultu darbu starp DORA, NIS2 un VDAR. Vispārīgu VDAR rīku salīdzinājumu skatiet labākās VDAR programmatūras pārskatā.

Kādi rīki risina DORA?

Tirgū ir trīs pieejas. Specializētas DORA/GRC platformas koncentrējas uz IKT risku reģistru, informācijas reģistru un incidentu ziņošanu — tās ir dziļākais risinājums lieliem finanšu subjektiem. Tehniskās noturības testēšanas rīki sedz testēšanas pīlāru, bet ne dokumentāciju un pārvaldību. Integrētas atbilstības platformas apvieno dokumentāciju un pārklāšanos ar VDAR un NIS2. Mazākiem un vidējiem Latvijas finanšu subjektiem — maksājumu iestādēm, ieguldījumu brokeriem, apdrošināšanas starpniekiem — integrēta pieeja parasti ir efektīvāka, jo tā izmanto esošo VDAR dokumentāciju. Cenu plānošanai skatiet VDAR programmatūras cenu pārskatu.

Kā ieviest DORA soli pa solim

DORA atbilstības ieviešana finanšu subjektam ir strukturēts process. Pirmais solis ir tvēruma noteikšana — apstiprināt, ka subjekts ietilpst DORA piemērošanas jomā, un noteikt, kuras proporcionalitātes prasības tam piemērojamas atkarībā no lieluma. Otrais solis ir IKT risku pārvaldības ietvara izveide — pārvaldības struktūra, atbildības sadale un risku reģistrs. Trešais solis ir trešo pušu inventarizācija — visu IKT pakalpojumu sniedzēju apzināšana un informācijas reģistra izveide standartizētā formātā. Ceturtais solis ir līgumu pārskatīšana — DORA prasa, lai līgumos ar IKT pakalpojumu sniedzējiem būtu iekļauti konkrēti drošības, audita un izbeigšanas nosacījumi, tāpēc esošie līgumi bieži jāpārslēdz. Piektais solis ir incidentu ziņošanas procedūras izveide ar termiņu kontroli. Sestais solis ir noturības testēšanas plānošana. Programmatūra šos soļus strukturē, īpaši informācijas reģistra un līgumu pārvaldībā, kas ir apjomīgākie DORA pienākumi.

Noturības testēšana un TLPT

Digitālās noturības testēšana ir viens no DORA pīlāriem, un tā apjoms atkarīgs no subjekta lieluma un riska. Visiem finanšu subjektiem jāveic regulāra IKT rīku un sistēmu testēšana — ievainojamību skenēšana, scenāriju testi un sistēmu pārbaudes. Lielākajiem un sistēmiski nozīmīgākajiem subjektiem papildus jāveic uz draudiem balstīta ielaušanās testēšana (TLPT — Threat-Led Penetration Testing), kas imitē reālus uzbrukumus un ir daudz padziļinātāka nekā parasta testēšana. TLPT jāveic ne retāk kā reizi trijos gados, un tā rezultāti jādokumentē un jāpaziņo uzraudzības iestādei. Mazākiem Latvijas finanšu subjektiem — maksājumu iestādēm, apdrošināšanas starpniekiem — TLPT parasti nav obligāts, bet regulāra testēšana un tās dokumentēšana ir. Programmatūra palīdz plānot testēšanas grafiku un uzturēt rezultātu dokumentāciju, kas nepieciešama uzraudzības pārbaudē.

Incidentu ziņošana pēc DORA

IKT incidentu ziņošana ir viens no praktiski intensīvākajiem DORA pienākumiem. Finanšu subjektam jāspēj klasificēt incidentus pēc to būtiskuma, izmantojot DORA noteiktos kritērijus — skarto klientu skaitu, ilgumu, ģeogrāfisko izplatību, datu zudumu un ekonomisko ietekmi. Būtiski incidenti jāziņo uzraudzības iestādei — Latvijas Bankai — noteiktos termiņos vairākos posmos: sākotnējais paziņojums, starpposma ziņojums un galīgais ziņojums. Šī daudzposmu struktūra prasa sagatavotu procedūru un skaidru atbildības sadali, jo termiņi ir stingri un sākas incidenta atklāšanas brīdī. Uzņēmumam, kas jau pārvalda VDAR pārkāpumu paziņošanu DVI virzienā, DORA incidentu ziņošana ir līdzīga loģika, bet ar finanšu sektora specifiskiem kritērijiem un termiņiem. Programmatūra šo procesu strukturē, kontrolējot termiņus un dokumentējot incidentu vēsturi, kas nepieciešama gan ziņošanai, gan uzraudzības pārbaudei.

Informācijas reģistrs praksē

Informācijas reģistrs (register of information) ir tas DORA pienākums, kas praksē rada visvairāk darba, jo tam ir stingra, standartizēta struktūra. Reģistrā jāuzskaita visi IKT trešo pušu pakalpojumu sniedzēji, ar tiem noslēgtie līgumi, atbalstītās kritiskās funkcijas, apakšuzņēmēju ķēdes un tas, vai pakalpojums atbalsta kritisku vai svarīgu funkciju. Eiropas uzraudzības iestādes ir noteikušas konkrētu reģistra formātu ar vairākiem savstarpēji saistītiem šabloniem, un Latvijas Banka to pieprasa iesniegt noteiktos termiņos. Praksē grūtākais ir uzturēt reģistru aktuālu — katra jauna piegādātāja vai līguma grozījuma gadījumā tas jāatjaunina. Tieši šīs uzturēšanas dēļ izklājlapa ātri kļūst nepārvaldāma, un programmatūra, kas reģistru saista ar līgumu datubāzi, ietaupa lielāko daļu darba.

DORA ieviešanas izmaksas un laiks

DORA ieviešanas apjoms tieši atkarīgs no subjekta lieluma un tā, cik sakārtota jau ir esošā IKT dokumentācija. Lielam finanšu subjektam ar plašu piegādātāju tīklu informācijas reģistra izveide un līgumu pārslēgšana var aizņemt mēnešus un prasīt dedicētu komandu. Mazākam subjektam — maksājumu iestādei vai apdrošināšanas starpniekam —, kas jau uztur VDAR dokumentāciju, daļa darba jau ir paveikta, jo IKT risku pārvaldības un incidentu ziņošanas loģika pārklājas ar VDAR 32. un 33. pantu. Praksē lielākās izmaksas nav programmatūra, bet cilvēku laiks piegādātāju inventarizācijai un līgumu pārskatīšanai. Rīks, kas šo darbu strukturē un izmanto esošo VDAR dokumentāciju, samazina tieši šo laika izmaksu, tāpēc integrēta pieeja mazākiem subjektiem parasti ir izdevīgāka nekā atsevišķa specializēta DORA platforma.

Papildus jāņem vērā, ka DORA nav vienreizējs ieviešanas projekts, bet nepārtraukts pienākumu kopums. Informācijas reģistrs jāatjaunina ik reizi, kad mainās piegādātājs vai līgums; incidenti jāziņo visu gadu; un noturības testēšana jāatkārto pēc grafika. Tāpēc rīka reālā vērtība nav vienreizējā dokumentu sagatavošanā, bet spējā uzturēt dokumentāciju dzīvu ar minimālu darbu. Latvijas finanšu subjektam, kas jau pārvalda VDAR pienākumus, šī nepārtrauktā uzturēšana ir daudz vieglāka vienotā platformā, jo tā pati drošības dokumentācija kalpo gan VDAR, gan DORA, gan pārklājošajām NIS2 prasībām, novēršot trīskāršu darbu ap vienu un to pašu drošības pamatu. Praksē tas ir izšķiroši mazākiem Latvijas finanšu subjektiem, kuriem nav atsevišķas atbilstības komandas un kuriem katrs papildu regulējums nozīmē reālu slodzi tiem pašiem darbiniekiem, kas jau pārvalda ikdienas darbību.

Biežāk uzdotie jautājumi

Cik maksā DORA programmatūra?

DORA atbilstības rīki cenu ziņā svārstās plaši atkarībā no subjekta lieluma un tvēruma. Specializētas DORA/GRC platformas lieliem finanšu subjektiem ir augstākas izmaksu kategorijas, savukārt integrētas atbilstības platformas, kas pārvalda gan VDAR, gan pārklājošos DORA un NIS2 dokumentācijas pienākumus, maksā aptuveni tāpat kā VDAR platformas — no dažiem simtiem eiro mēnesī. Izvēli izšķir subjekta lielums un tas, cik daudz no DORA pīlāriem jāsedz platformai.

Vai DORA attiecas uz maziem finanšu uzņēmumiem?

Jā, bet ar proporcionalitātes principu. DORA attiecas uz gandrīz visiem Latvijas Bankas uzraudzītajiem subjektiem, tostarp maksājumu iestādēm un apdrošināšanas starpniekiem, taču prasību apjoms tiek pielāgots subjekta lielumam un riska profilam. Mikrouzņēmumiem daži pienākumi ir mazāk apjomīgi.

Kā DORA saskaras ar NIS2?

DORA un NIS2 abi risina IKT risku pārvaldību un incidentu ziņošanu, bet DORA ir finanšu sektora speciālais regulējums (lex specialis), kas finanšu subjektiem prevalē pār NIS2. Tāpēc finanšu uzņēmumam galvenais ietvars ir DORA, taču dokumentācijas loģika lielā mērā pārklājas.

Vai DORA programmatūra der arī NIS2 atbilstībai?

Daļēji jā. DORA un NIS2 dalās IKT risku pārvaldības un incidentu ziņošanas loģikā, tāpēc integrēta atbilstības platforma, kas pārvalda DORA dokumentāciju, bieži var pārvaldīt arī pārklājošos NIS2 un VDAR pienākumus. Tomēr finanšu subjektiem DORA ir speciālais regulējums, kas prevalē pār NIS2, tāpēc galvenais ietvars ir DORA, un platformai jāatbalsta tās četri pīlāri un informācijas reģistrs.

Secinājums

Labākā DORA programmatūra Latvijas finanšu uzņēmumam ir tā, kas atbalsta visu četru pīlāru izpildi — IKT risku pārvaldību, incidentu ziņošanu, trešo pušu informācijas reģistru un noturības testēšanu — Latvijas Bankas uzraudzības kontekstā. Ņemot vērā, ka DORA ir piemērojama kopš 2025. gada 17. janvāra un pārklājas ar NIS2 un VDAR, mazākiem un vidējiem finanšu subjektiem ir izdevīgi izvēlēties integrētu atbilstības platformu, kas šos regulējumus risina saskaņoti latviešu valodā ES infrastruktūrā. Apskatiet Legiscope darbībā — piesakieties 15 minūšu demonstrācijai

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →