DORA ir DI tiekėjų išorės paslaugos: ką privalo daryti finansinės įstaigos
Skaitmeninio veiklos atsparumo aktas, Reglamentas (ES) 2022/2554 (DORA), pradėtas taikyti 2025 m. sausio 17 d., įpareigoja apie 22 000 finansinių subjektų ES laikytis vienodo IRT rizikos valdymo režimo. DI sistemos, tiekiamos trečiųjų šalių, aiškiai patenka į apimtį kaip IRT paslaugos. Tai reiškia, kad modelių tiekėjai, hostingo platformos ir DI konsultacijų partneriai, dirbantys su finansinių įstaigų darbo srautais, paveldi DORA lygmens patikros, sutarties, pasitraukimo ir incidento pranešimo prievoles.
Ką iš tikrųjų apima DORA ir kodėl ji taikoma DI tiekėjams
DORA yra pirmasis ES horizontalus reglamentas dėl finansinio sektoriaus veiklos atsparumo. Penki ramsčiai: IRT rizikos valdymas (5-16 str.), IRT susijusių incidentų pranešimas (17-23 str.), skaitmeninio veiklos atsparumo testavimas (24-27 str.), trečiųjų šalių IRT rizikos valdymas (28-30 str.) ir informacijos dalijimasis (45 str.). DI paslaugos pagal 3 str. 21 dalį yra IRT paslaugos. Nėra DI išimties, nėra de minimis ribos.
Ko reikalauja 28-30 straipsniai DI tiekėjų sutartyse
28 str. nustato bendrus principus: finansinė įstaiga lieka pilnai atsakinga net ir tada, kai išorina, privalo įtraukti IRT trečiosios šalies riziką į bendrą rizikos valdymą ir vesti informacijos registrą apie visas IRT sutartis. 29 str. nustato išankstinę patikrą: ar sutartis dengia kritinę funkciją, tiekėjo tinkamumas, koncentracijos rizika ir subrangos grandinės. 30 str. nustato privalomus sutarties punktus: paslaugų aprašymą ir duomenų apdorojimo vietą, paslaugų lygio susitarimus su matuojamais tikslais, audito ir prieigos teises, incidentų bendradarbiavimą, pasitraukimo strategiją ir nemokumo apsaugos priemones.
Kritinių trečiųjų šalių režimas (CTPP)
DORA įveda naują tiesioginį priežiūros režimą IRT tiekėjams, paskirtiems Kritiniais trečiųjų šalių tiekėjais (CTPP). Europos priežiūros institucijos kasmet peržiūri ir paskiria CTPP, atsižvelgdamos į sisteminį poveikį, sektoriaus koncentraciją ir paslaugos pakeičiamumą. CTPP statusas reiškia tiesioginę ES priežiūrą, taip pat įsipareigojimus suteikti vietoje audito teisę ir laikytis Bendros priežiūros komiteto reikalavimų. Stambūs pamatinių modelių tiekėjai 2026-2027 m. greičiausiai pateks į šį režimą.
Incidentų pranešimas DI sistemose
DORA 17-23 straipsniai reikalauja: ankstyvojo pranešimo per 24 valandas nuo svarbaus IRT incidento, formalaus pranešimo per 72 valandas, galutinės ataskaitos per mėnesį. DI sistemose svarbus incidentas apima: jautrių duomenų nutekėjimą per modelio atsakymą, prompt injection, kuris keičia sprendimo logiką, modelio veikimo nukrypimą, kuris paveikia klientų sprendimus. Sutartyje DI tiekėjas turi įsipareigoti pranešti per 6 valandas nuo incidento aptikimo.
Pasitraukimo planas ir koncentracijos rizika
30 str. 3 dalies f punktas reikalauja pasitraukimo strategijos, kuri leidžia finansinei įstaigai perduoti darbą alternatyviam tiekėjui be neproporcingų sąnaudų. DI atveju tai reiškia: užklausų šablonų ir vertinimo rinkinių nuosavybė pas klientą, paieškos srauto perkeliamumas, audito žurnalų eksportas tinkamu formatu, modelio rezultatų reprodukuojamumas alternatyviu modeliu su priimtina kokybės riba. Koncentracijos rizika reikalauja antrojo sertifikuoto tiekėjo kaip atsarginio kelio.
Lietuvos bankas ir DORA įgyvendinimas
Lietuvos bankas yra DORA priežiūros institucija Lietuvos rinkoje. Praktikoje tai reiškia: prižiūrimi subjektai (komerciniai bankai, mokėjimo įstaigos, draudikai, investicinės įmonės) privalo per 2026 m. baigti registro pildymą, atlikti TLPT testavimą didesniems subjektams, parengti pasitraukimo planą ir įdiegti incidentų pranešimo grandinę. Impetora pažinties etapas su finansiniu klientu pradedamas DORA klausimynu, kuris atsako į sutarties sąlygas dar prieš pasirašant pagrindinę sutartį.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.