küberturvalisus
11.03 2024

DORA määrus: finantssektor peab leidma rohtu küberohtude vastu

Vähem kui aasta pärast, 17. jaanuaril 2025, hakkab ka Eestis kehtima finantssektori digitaalset tegevuskerksust (Digital Operational Resilience Act, DORA) käsitlev EL-i määrus. DORA-l on väga praktiline eesmärk, kuna sellega tahetakse vähendada info- ja kommunikatsioonitehnoloogiast (IKT) tulenevaid riske finantssektoris.

Määrus puudutab pankasid, kindlustusandjaid ja investeerimisettevõtteid, kes peavad küberohtude vältimiseks astuma mitmeid samme. Ennekõike rakendama tugevaid protsesse ja süsteeme, et tuvastada, maandada ja raporteerida IKT-ga seotud riske ja intsidente.

DORA ignoreerimise hind võib olla väga ränk – finantsasutuse töö peatub või on põhjalikult häiritud, mis ohustab kogu finantsstabiilsust. Küberintsidendid on väga tõenäolised, kuna aasta-aastalt on juhtumite arv kordades kasvanud. KPMG rahvusvaheliste uuringute põhjal on 90 protsenti kõigist ettevõtetest elanud läbi vähemalt ühe küberrünnaku ning 26 protsenti neist juhtumitest pani firma tegevuse ajutiselt seisma.

Isegi kui nii hullusti ei lähe, siis sanktsioonide alla kuuluvad regulatiivsed sanktsioonid või rahatrahvid. Kõige selle kohal varitseb mainekahju, sest finantsasutuse usaldusväärsus satub küsimärgi alla ka väiksemate IKT-valdkonna möödalaskmiste korral.

Mida peab finantsettevõte DORA määrust silmas pidades ette võtma?

Viis peamist tegevussuunda on järgmised:

  1. 1. IKT riskijuhtimine: finantsettevõtted peavad arendama ja rakendama IKT riskijuhtimise raamistikke, mis hõlmavad riskide hindamist, maandamist ja jälgimist. See hõlmab ka asjakohaseid poliitikaid, protseduure ja kontrollimeetmeid.
  2. 2. Küberintsidentidest teavitamine: ettevõtted peavad looma süsteemid ja protseduurid intsidentide kiireks tuvastamiseks. Samuti peab info juhtumitest jõudma kiiresti küberintsidentidega tegeleva ametiasutuseni – Eesti puhul on selleks RIA juures asuv CERT-EE. Samuti tuleb teavitada kõiki asjakohaseid osapooli.
  3. 3. Küberkaitse võimekuse testimine: regulaarselt tuleb korraldada teste, et hinnata ettevõtte süsteemide ja protsesside vastupanuvõimet erinevatele küberrünnakutele. Sealhulgas tuleb vähemalt iga kolme aasta tagant läbi viia testrünnakuid, nagu näiteks Red Teaming.
  4. 4. Koostööpartnerite riskide juhtimine: tuleb hinnata ja juhtida riske, mis tulenevad kolmandatest osapooltest nagu näiteks IKT-teenusepakkujad ja tarkvaratarnijad. Tuleb tagada, et nende tegevus ei ohusta ettevõtte tegevuskerksust.
  5. 5. Info jagamine ja teadlikkuse tõstmine: DORA kutsub finantssektori ettevõtteid omavahel infot jagama, et anda edasi oma teadmisi ja töötavasid küberkaitse vallas. Nii saab paremini vastu seista potentsiaalsetele ohtudele.

Küberkaitse kriitilist tähtsust rõhutab ka Euroopa Keskpanga (EKP) poolt jaanuaris 2024 käivitatud stressitest (Cyber Resilience Stress Test, CRST). Esmakordselt toimuv test hõlmab enam kui sadat EKP järelevalve alla kuuluvat olulisemat panka ning tõsisemalt mõõdetakse ligi 30 panga küberkaitse protseduure. DORA valguses on oodata, et sellised aktsioonid muutuvad eri tasanditel regulaarseks.

DORA nõuete täitmiseks tasub mõelda väliste konsultantide ja ekspertide kaasamisele. Nende oskusteave ja kogemus aitavad vältida nii võimalikke trahve ja regulatiivseid sanktsioone, kui ka tugevdada ettevõtte IKT-ala vastupidavust, mis on kriitilise tähtsusega pidevalt muutuvas tehnoloogiamaailmas. Esiteks aitavad ekspertide erialateadmised ja kogemused tuvastada peidetud IKT-riske, mille peale ettevõtte enda tiim ei pruugi tulla. Teiseks võivad nad pakkuda objektiivset vaadet ettevõtte tegevusele, aidates sellega tuvastada probleemseid kohti. Samuti aitavad eksperdid säästa aega ja ressursse, juhtides keerulisi vastavusprotsesse ja tagades, et kõik regulatiivsed nõuded oleksid täidetud tõhusalt ja õigeaegselt.

Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

KPMG ekspert kübertestidest: tahame, et ettevõte ei satuks päris rünnaku ohvriks

Organisatsiooni küberturvalisuse taset aitab hästi valideerida – ning nõrkusi ja vajalikke uuendus..

küberturvalisus

Küberturbe ekspert: IT-hügieeni ei tohi pühade ja puhkuste ajal unarusse jätta

Töö- ja vaba aja segunemine ning kaugtöö ulatuslik levik tähendavad, et ka pühade ajal võetakse va..

küberturvalisus

Ettevõtet ei saa osta eelneva IT-auditita

Majanduses on käes heitlikud ajad, mis toovad alati kaasa ettevõtete oste ja müüke. Ühtedele annav..

küberturvalisus

Kuidas olla valmis küberintsidendi seljatamiseks

Küberintsidentide puhul pole ammu enam küsimus selles, kas need toimuvad, vaid millal need toimuva..

küberturvalisus

IT-riskid on liiga paljudes ettevõtetes alahinnatud

Kuigi konkurentsitihedates sektorites, nagu finants ja telekomid, omistatakse küberturbele suurt t..

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Narva mnt 5, 10117 Tallinn, Estonia
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: