Milline on parim DORA tarkvara 2026. aastal? Lühike vastus: DORA vastavuse tööriist peab katma määruse viis sammast – IKT-riskijuhtimise, intsidentide klassifikatsiooni ja aruandluse, tegevuskerksuse testimise, kolmanda osapoole IKT-riskide halduse ning eelkõige standarditud teaberegistri, mis tuleb Finantsinspektsioonile esitada. Turul on kahte tüüpi lahendusi: spetsialiseeritud DORA/GRC-platvormid, mis keskenduvad IKT-riskile ja teaberegistrile, ning laiad ettevõtteklassi süidid, mis katavad DORA kõrval ka muid raamistikke. Eesti finantsüksusele loeb, et tööriist toetaks Finantsinspektsiooni teaberegistri vormi ja intsidentide teavitusprotsessi. See juhend selgitab valikukriteeriume finantssektori kontekstis.
DORA on otsekohalduv määrus, mida rakendatakse Eestis alates 17.01.2025 ilma üleminekuajata. See tähendab, et vastavus on juba nõutav ja tööriista valik on paljudel üksustel kiireloomuline. Konteksti kohta loe DORA Eestis.
Mida DORA tarkvara peab katma?
DORA vastavus koosneb viie samba kohustustest. Tarkvara peaks toetama järgmisi valdkondi:
| Valdkond | DORA sisu | Mida tööriist teeb |
|---|---|---|
| IKT-riskijuhtimine | Kirjalik raamistik ja kontrollid | Riskiregister, kontrollide kaardistus |
| Teaberegister | Standarditud IKT-lepingute loend | Registri koostamine ja esitamine |
| Intsidentide aruandlus | Klassifikatsioon ja tähtajaline teavitus | Astmeline teavitus Finantsinspektsioonile |
| Tegevuskerksuse testimine | Korrapärane testimine, TLPT | Testimisprogrammi haldus |
| Kolmanda osapoole riskid | IKT-tarnijate haldus | Tarnijaregister, lepingutingimused |
Kõige töömahukam ja DORA-le kõige omasem kohustus on teaberegister (register of information), mis tuleb esitada standardvormis. Just siin annab eritarkvara suurima ajavõidu, sest teave hajub käsitsi hallates eri lepingutesse ja süsteemidesse.
Kaks tüüpi DORA lahendust
Spetsialiseeritud DORA/GRC-platvormid keskenduvad IKT-riskijuhtimisele, teaberegistrile ja intsidendihaldusele. Need on ehitatud just finantssektori nõuete jaoks ja katavad viit sammast sügavuti. Sobivad üksusele, kelle põhirõhk on DORA-l.
Laiad ettevõtteklassi süidid katavad DORA kõrval ka muid raamistikke (GDPR, NIS2, tarnijariskid). Laius kajastub hinnas ja juurutusajas ning sobib pigem suurele finantsasutusele, kellel on mitu kattuvat kohustust.
Võrdluskriteeriumid
| Kriteerium | Miks loeb |
|---|---|
| Teaberegistri tugi | Finantsinspektsiooni standardvorm |
| Intsidentide klassifikatsioon | DORA nõuab ühtset raskusastme hindamist |
| Tarnijaregister | Kolmanda osapoole IKT-riskide haldus |
| TLPT-tugi | Olulistele üksustele ohupõhine testimine |
| GDPR-i kattuvus | Sama intsident, mitu teavitust |
| EL-i majutus | Finantssektori turvanõuded |
DORA, NIS2 ja GDPR: kuidas tööriistad kokku puutuvad
Finantsüksust võivad üheaegselt puudutada DORA, NIS2 ja GDPR. DORA on finantssektoris eriregulatsioon (lex specialis) NIS2 suhtes, mistõttu selle IKT-riskijuhtimise nõuded asendavad NIS2 vastavad kohustused. Samal ajal kattub DORA intsidendihaldus GDPR-iga: sama IKT-intsident võib olla isikuandmetega seotud rikkumine, mis vajab teavitust AKI-le. Ühtne intsidentide klassifikatsioon säästab tööd. Samuti kattub tarnijate haldus: DORA kolmanda osapoole IKT-riskid ja GDPR-i volitatud töötleja lepingud puudutavad sageli samu tarnijaid. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses, mis täiendab DORA tööd isikuandmete poolel. Piiritlemine küberturvalisuse poolel: NIS2 Eestis ja parim NIS2 tarkvara.
Mis Eesti kontekstis loeb
Eesti DORA rakendamisel on kolm praktilist eripära:
- Finantsinspektsioon kui järelevalveasutus. Intsidentidest teavitatakse ja teaberegister esitatakse Finantsinspektsioonile. Tööriist peaks toetama õiget vormi ja kanalit.
- Teaberegistri harjutus. Finantsinspektsioon on juba korraldanud teaberegistri esitamise harjutuse, mis annab vormi ja andmenõuete kohta konkreetse aluse.
- Otsekohaldumine ilma üleminekuajata. Kuna DORA on määrus, on vastavus nõutud alates 17.01.2025 – tööriista valik on kiireloomuline. Vaata DORA Eestis.
Kuidas DORA tööriista valida: praktilised sammud
- Hinda kohaldatavust. Kontrolli, kas kuulud DORA üksuseliikide hulka ja kas sulle kohaldub proportsionaalsuse põhimõttel kergendatud raamistik.
- Kaardista IKT-lepingud. Teaberegistri koostamiseks kogu kokku kõik IKT-teenuslepingud ja nende põhiandmed.
- Vali raamistik. Kas vajad spetsialiseeritud DORA-platvormi või laia süiti mitme kattuva kohustusega.
- Kontrolli teaberegistri moodulit. See on DORA töömahukaim kohustus – tööriist peaks selle standardvormis koostama.
- Hinda intsidendimoodulit. Klassifikatsioon ja tähtajaline teavitus Finantsinspektsioonile peavad olema toetatud.
- Kontrolli tarnijahaldust. Kolmanda osapoole IKT-riskide seire on püsiv kohustus, mitte ühekordne lepingukontroll.
Finantsinspektsiooni ootused praktikas
Eesti finantsüksusele on kasulik mõista, mida Finantsinspektsioon järelevalves tegelikult ootab. Algfaasis keskendub valvet kolmele asjale: IKT-riskijuhtimise raamistiku olemasolu, teaberegistri esitamine standardvormis ja intsidentidest teavitamise toimivus. Finantsinspektsioon on juba korraldanud teaberegistri esitamise harjutuse, mis annab üksustele konkreetse aluse vormi ja andmenõuete kohta – see on selge signaal, et register on järelevalve fookuses. Tööriist, mis suudab need kolm valdkonda katta ja aruandlust automatiseerida, vastab otseselt järelevalve ootustele. Kuna DORA-d kohaldatakse otse ilma üleminekuajata, eeldatakse vastavust juba 17.01.2025 – tööriista valik ei tohiks seetõttu venida.
Teaberegister: DORA töömahukaim kohustus
Teaberegister väärib eraldi tähelepanu, sest see on ühtaegu DORA-le kõige omasem ja käsitsi kõige raskemini hallatav kohustus. Register koondab kõik IKT-teenuslepingud: lepingupartnerid, teenuse tüübi ja selle toetatavad äritegevused, funktsiooni kriitilisuse, alltöövõtuahelad, lepingu kestuse ja andmete asukoha. Käsitsi hallatuna hajub see teave eri lepingutesse ja süsteemidesse ning vananeb kiiresti. Tarkvara, mis suudab registri koostada ja standardvormis Finantsinspektsioonile esitada, on seetõttu DORA vastavuse keskne komponent, mitte lisafunktsioon.
DORA viie samba katvus tarkvaras
Hea DORA tööriist ei kata sambaid ühtlaselt – mõned nõuavad rohkem automaatikat kui teised. Alljärgnev tabel näitab, kus tarkvara annab suurima väärtuse:
| Sammas | Automaatika väärtus | Miks |
|---|---|---|
| IKT-riskijuhtimine | Keskmine | Raamistik on suuresti korralduslik |
| Intsidentide aruandlus | Kõrge | Klassifikatsioon ja tähtajad vajavad süsteemi |
| Teaberegister | Väga kõrge | Standardvorm, suur andmemaht |
| Tegevuskerksuse testimine | Keskmine | Testimist teevad spetsialistid, dokumentatsioon süsteemis |
| Kolmanda osapoole riskid | Kõrge | Tarnijaregister ja lepingutingimuste seire |
Nagu tabel näitab, on teaberegister koht, kus tarkvara annab suurima ajavõidu – see on ühtaegu kõige mahukam ja standardvormi tõttu kõige paremini automatiseeritav kohustus. Just siin tasub tööriista võimekust kõige põhjalikumalt testida.
DORA ja GDPR ühine dokumentatsioon praktikas
Finantsüksus, mida puudutavad nii DORA kui ka GDPR, saab dokumentatsiooni ühtlustamisest konkreetse võidu:
- Ühtne intsidendiregister. Sama IKT-intsident võib olla nii DORA-teavitus Finantsinspektsioonile kui ka GDPR-i isikuandmete rikkumine AKI-le – üks klassifikatsioon säästab tööd ja väldib vastuolulisi aruandeid.
- Ühine tarnijaregister. DORA teaberegister ja GDPR-i volitatud töötleja lepingud puudutavad sageli samu IKT-tarnijaid.
- Ühtne varade ja protsesside kaardistus. Sama IKT-teenus on nii DORA teaberegistris kui ka GDPR-i töötlemistoimingute registris.
Levinuimad vead DORA tööriista valikul
- Teaberegistri alahindamine. See on DORA töömahukaim kohustus; tööriist, mis seda standardvormis ei koosta, jätab põhitöö tegemata.
- Proportsionaalsuse eiramine. Väikseim üksus võib kohaldada kergendatud raamistikku – üleliia keerukas tööriist tekitab tarbetut koormust.
- Tarnijaseire ühekordsuse eeldus. Kolmanda osapoole riskide haldus on püsiv kohustus, mitte ühekordne lepingukontroll.
TLPT ja tegevuskerksuse testimine praktikas
Ohupõhine tungimistestimine (TLPT, threat-led penetration testing) on DORA üks nõudlikumaid kohustusi, kuid see ei puuduta kõiki üksusi. TLPT-d nõutakse üksnes olulistelt finantsüksustelt – suurpankadelt, keskseteltvastaspooltelt ja turuinfrastruktuurilt –, kelle häire mõjutaks laiemalt finantssüsteemi stabiilsust. Testi viivad läbi sõltumatud, kvalifitseeritud testijad ja see jäljendab reaalseid ohustsenaariume, mitte üksnes tehnilisi haavatavusi.
Enamik Eesti finantsüksusi – väiksemad makseasutused, kindlustusvahendajad, fondivalitsejad – ei kuulu TLPT kohustuse alla, vaid rakendab korrapärast, kergemat testimisprogrammi: haavatavuste skaneerimine, läbivaatused ja stsenaariumitestid. Tarkvara roll ei ole test ise läbi viia, vaid dokumenteerida testimisprogramm ja selle tulemused järelevalvele tõendataval kujul. Tööriista valikul tasub seetõttu kontrollida, kas see peab testimiskalendrit, seob leiud IKT-riskiregistriga ja jälgib parandusmeetmete täitmist – just see dokumentatsioonijälg, mitte testi tehniline pool, on koht, kus tarkvara väärtust annab.
Kuidas DORA tööriista pilooteerida
Enne täismahulist juurutust tasub tööriista katsetada piiratud ulatuses – see paljastab, kas lahendus tegelikult sobib. Praktiline piloot kulgeb kolmes etapis:
- Teaberegistri prooviloomine. Sisesta väike hulk reaalseid IKT-lepinguid ja vaata, kui hõlpsalt tööriist koostab standardvormis registri. See on DORA töömahukaim kohustus ja parim proovikivi.
- Intsidendistsenaarium. Mängi läbi üks IKT-intsident: kas tööriist juhib klassifitseerimise ja astmelise teavituse õigesti Finantsinspektsiooni vormi ja tähtaegadega?
- Tarnijaseire proov. Lisa paar kriitilist IKT-tarnijat ja kontrolli, kas tööriist jälgib lepingutingimusi ja kontsentratsiooniriski.
Piloot annab vastuse küsimusele, mida demo ei paljasta: kui palju käsitsitööd jääb pärast automaatikat alles. Kuna DORA-d kohaldatakse otse ilma üleminekuajata, on kiire, kuid põhjalik piloot mõistlikum kui pikk hankeprotsess – oluline on, et valitud tööriist kataks teaberegistri ja intsidentide teavituse tegelikult, mitte üksnes müügislaidil.
Vastavus on pidev, mitte ühekordne
DORA vastavus ei lõpe teaberegistri esmaesitamisega. IKT-lepingud muutuvad, tarnijad vahetuvad ja intsidendid nõuavad pidevat klassifitseerimist – seetõttu peab tööriist toetama jooksvat halduse tsüklit, mitte üksnes ühekordset projekti. Teaberegistrit tuleb ajakohastada iga uue või muudetud IKT-lepingu korral, testimisprogrammi korrata ja tarnijariske pidevalt seirata. Tööriist, mis hoiab need andmed elavana ja järelevalvele esitatavana, annab suurima väärtuse just aja jooksul, mitte juurutushetkel. Finantsinspektsioon eeldab vastavust igal hetkel, mitte üksnes esmaesitamisel – seetõttu on pideva halduse võimekus, mitte ühekordne seadistus, kõige olulisem valikukriteerium.
Korduma kippuvad küsimused
Kui palju DORA tarkvara maksab?
Hind sõltub lahendusetüübist ja üksuse suurusest. Spetsialiseeritud DORA/GRC-platvormid jäävad tavaliselt vahemikku mõni tuhat kuni paarkümmend tuhat eurot aastas. Laiad ettevõtteklassi süidid, mis katavad ka muid raamistikke, algavad kõrgemalt ja nõuavad pikemat juurutust. Suurpankadel ja turuinfrastruktuuril, kellele kohaldub TLPT, on kulu suurem.
Kas GDPR tarkvara katab ka DORA?
Mitte täielikult. GDPR tarkvara katab andmekaitse põhikohustused ja DORA-ga kattuva osa – eelkõige intsidendihalduse ja tarnijate lepingute halduse. DORA IKT-riskijuhtimise täisraamistik, teaberegister ja tegevuskerksuse testimine on siiski finantssektori erivaldkond, mis võib nõuda spetsialiseeritud tööriista.
Kes teostab DORA järelevalvet Eestis?
Finantsinspektsioon teostab järelevalvet finantssektori üksuste üle. Intsidentidest teavitatakse ja teaberegister esitatakse Finantsinspektsioonile. Kriitilised IKT-teenusepakkujad kuuluvad EL-i tasandi järelevalve alla.
Mis on DORA teaberegister ja kas tarkvara aitab seda koostada?
Teaberegister on standarditud loend kõigist IKT-teenuslepingutest, mis tuleb Finantsinspektsioonile esitada. See on DORA töömahukaim uus kohustus ja eeldab sageli eraldi tarkvaratuge, sest teave hajub käsitsi hallates eri lepingutesse.
Kas DORA või NIS2 tarkvara – kumb finantsüksusele?
DORA, sest see on finantssektoris eriregulatsioon (lex specialis) ja asendab NIS2 vastavad IKT-riskijuhtimise kohustused. NIS2 tööriist ei kata DORA teaberegistri ja tegevuskerksuse testimise erinõudeid.
Kokkuvõte
Parim DORA tarkvara katab viis sammast – IKT-riskijuhtimise, intsidentide aruandluse, tegevuskerksuse testimise, kolmanda osapoole riskide halduse ja eelkõige standarditud teaberegistri. Eesti finantsüksusele loeb Finantsinspektsiooni vormi ja intsidentide teavitusprotsessi tugi. Valik sõltub profiilist: spetsialiseeritud DORA-platvorm või lai süit mitme kattuva kohustusega. Kuna DORA, NIS2 ja GDPR kattuvad, tasub kaaluda ühtset lähenemist. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses. Vaata ka DORA Eestis ja küberturvalisuse poolel parim NIS2 tarkvara.
Vaata Legiscope’t töös – broneeri 15-minutiline demo
Viimati üle vaadatud: juuli 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo