Uudised
Eesti
Blogi
Advokaadibüroo, kes hoolib oma klientidest

Finantssektori ettevõtte juhid – kas teie IKT teenusepakkujate riskid on kontrolli all?

Info- ja kommunikatsioonitehnoloogia (IKT) kasutamine on vältimatu igas sektoris, s.h. finantssektoris, mis ongi muutunud valdavalt digitaalseks. Samas on see suurendanud ka IKT-riski, muutes finantssüsteemi küberohtude suhtes haavatavamaks ning suurendanud ka sõltuvust kolmandate isikute taristust ja teenuseosutajatest.

Ilmselt pole enam finantssektoris tegutsevatele turuosalistele ja nende kolmandatest isikutest teenusepakkujatele (IKT teenusepakkuja) uudis, et 17.01.2025 sünnib Euroopa Liidus uus finantssektori digitaalset tegevuskerksust reguleeriv määrus (DORA), mis viib küberturvalisuse nõuded uuele tasemele.

Praeguseks hetkeks peaksid olema finantssektori ettevõtjad (nt krediidiasutused, makseasutused, fondivalitsejad ja paljud muud finantssektori ettevõtjad DORA art 2 mõistes) DORAle juba nö käed külge pannud ja hakanud oma majasistestes protsessides muudatusi tegema. Lisaks aga peavad finantssektori ettevõtjad omama laiemat haaret kui ainult majasisesed protsessid – DORAst ei jää puutumata ka IKT teenusepakkujate tegevus. DORA sekkub jõuliselt nendega sõlmitud lepingutesse ja protsessidesse. Mida see kõik praktikas tähendab?

IKT teenusepakkujate ja nendega seotud riskide kaardistus on hügieeniküsimus

Miks omavad IKT teenusepakkujad märgilist tähendust? DORA määrus nõuab, et finantssektori ettevõtja tagaks oma ettevõttes digitaalse tegevuskerksuse. Ehk teisisõnu peab tagatud olema IKT-suutlikkus, mis tähendab ka kolmandatest isikutest IKT-teenusepakkujate terviklikkuse ja usaldusväärsuse tagamist. Nii finantssektori ettevõtja ise kui ka tema IKT-teenusepakkujad peavad suutma tagada finantsteenuse jätkuva osutamise ja kvaliteedi ka katkestuste vältel. Seega on IKT teenusepakkujate roll siin digitaalse tegevuskerksuse tagamisel äärmiselt oluline.

Miks EL seda valdkonda reguleerib? DORA määrusega ellu kutsutud nõuetega soovitakse seada kindel ja kõrge valdkondlik standard kolmandatest isikutest IKT teenusepakkujatele. Lisaks ei olnud seni piisavalt tagatud IKT teenuseosutajatest sõltuvuse seire, ehk finantssektori ettevõtjatel ei pruukinud olla piisavat ja ajakohast ülevaadet oma teenusepakkujatest.

Seega on suhtumine DORAsse kui järjekordsesse finantssektorit piiravasse regulatsiooni lühinägelik. Küberintsidendid riigipiire ei tunne – finantssektoris toimuvad tõsised IKTga seotud rikkumised ei mõjuta ainult üksikuid finantssektori ettevõtjaid. Need soodustavad ka lokaalselt nõrkuse edasi kandumist finantsülekannete kanaleid pidi ja võivad avaldada negatiivset mõju kogu meie finantssüsteemi stabiilsusele, näiteks põhjustades likviidsuse väljavoolu ning üldiselt vähendada kindlustunnet ja usaldust finantsturgudesse.

Finantssektori ettevõtte juht – kuhu oled jõudnud IKT teenusepakkujatega seonduvate kohustuste täitmisel?

Finantssektori ettevõtja juhtorganil on IKT teenusepakkujatega seoses 4 peamist kohustust:

  1. Oma ülevaadet! – Finantssektori ettevõtte juhtorgan peab kiitma heaks ja vaatama perioodiliselt läbi oma põhimõtted kokkulepete kohta, mis käsitlevad IKT teenusepakkujate teenuste kasutamist. See eeldab, et kõik sellised teenusepakkujad on kaardistatud ja lepingute vastavus DORAle analüüsitud. Ära unusta, et vajalik on koostada lepingutega seoses ka teaberegister – kusjuures eristatud peavad olema kriitilise tähtsusega ja olulisi funktsiooni toetavad IKT-teenuste lepingud muudest lepingutest;
  1. Loo aruandlusprotsessid! – Finantssektori ettevõtte juhtorgan peab looma organisatsiooni tasandil aruandluskanalid, et olla kõigiti teavitatud teenusepakkujatega sõlmitud kokkulepetest, kavandatud olulistest muudatustest ja selliste muudatuste mõjudest IKT-riskile. Praktikas tegelevad sellega täiesti eraldiseisvad ametikohad või osakonnad – mida suurem on ettevõte ja sõltuvus IKT teenusepakkujatest, seda suurem on tööpõld. Ära ei tohi unustada ka teenuseosutaja kontsentratsiooniriski määramist. Nt kui teenuseosutaja ei ole hõlpsasti asendatav või osutab mitut IKT teenust, on kontsentratsioonirisk suurem;
  1. IKT-teenuseostuajate riski strateegia peab olema läbi mõeldud ja pidevalt uuenev! – IKT-teenuseosutajate riski käsitluse strateegia on üks osa finantssektori ettevõtja IKT-riski juhtimise raamistikust. Ei piisa strateegia ühekordsest vastuvõtmisest, seda tuleb perioodiliselt taashinnata ja vajadusel muuta;
  1. Lepingud korda! – DORA kehtestab IKT teenusepakkujatega sõlmitavatele lepingutele kindlad raamid ja nõuded. Seega peab olema valmis ka juba olemasolevaid lepinguid taasavama ja vajadusel muudatusi tegema. Lisaks, peab olema valmis esitama IKT-teenusepakkujatega seotud lepingud ja nendega seotud muud riskimeetmed järelevalveasutusele. Kusjuures analüüsida tuleb lepingulisi suhteid ahela lõpuni – seega ei jää puutumata ka alltöövõtjad. Enne lepingusse minemist peab olema teostatud ka riskihinnang. Ole valmis auditeerimiseks ja pääsu- ja kontrollimeetodite teostamiseks. Kusjuures audiitori valikul peab kohustatud isik ise veenduma, et audiitor on piisavalt pädev asjaomaste auditite ja hindamiste läbiviimiseks.

Kui eelnev pani pea ringi käima, siis tegelikult pole asi nii keeruline kui paistab ning kõik on tehtav. Oma teenusepakkujate ja nendega seotud riskide kaardistamine on tavapärane hügieeniküsimus. TRINITI saab aidata nö kodu korda teha. Kui Teid see teema kõnetab, vajate lisajõudu keerulises uues reeglite rägastikus nagiveerimises, siis võtke julgelt TRINITI toimeka tiimiga ühendust. Mõtleme kaasa, tegutseme ja leiame lahendused.