Valitsus kiitis heaks uute küberturvalisuse nõuete kehtestamise finantsettevõtetele, et parandada nende võimet ennetada küberrünnetest tulenevaid olukordi, mis võivad viia teenuste katkemise, finantskaotuste ja andmeleketeni.

“Geopoliitiline olukord on küberohu riske oluliselt suurendanud ja finantssektor langeb küberrünnakute sihtmärgiks kolm korda tõenäolisemalt kui mõni muu sektor. Finantsteenuste toimimisel on tehnoloogial võtmeroll ja võimalike rünnakute ennetamine seda vajalikum,” selgitas rahandusminister Mart Võrklaev. Ta lisas, et rünnete ja häirete esinemise korral peaks ettevõttel olema tegevusplaan, tagamaks, et teenuste osutamist on võimalik kiiresti jätkata, ja klientide andmed on kaitstud.

2022. aasta lõpus lepiti Euroopa Liidus kokku, et finantssektori digitaalse tegevuskerksuse nõudeid on vaja ühtlustada ja tõhustada. Selleks võeti vastu nn DORA määrus (Digital Operational Resilience Act) koos direktiiviga, millega muudetakse mitmeid finantssektori El õigusakte. 

Määrusest tulenevalt peavad finantsettevõtted kehtestama info- ja kommunikatsioonitehnoloogiaga seotud riskide juhtimisraamistiku. Selle raames tuleb näiteks välja töötada infoturbe poliitika, et määrata kindlaks reeglid andmete, teabevara ja info- ja võrgusüsteemide kaitseks. 

Lisaks peavad ettevõtetel olema mehhanismid, et koheselt avastada nii küberründeid kui ka tehnoloogiaga seotud probleeme ja tõrkeid, mis võivad viia katkestusteni. Kui ettevõte siiski on tuvastanud intsidendi, tuleb sellele koheselt reageerida, haavatavad kohad võimalikult kiiresti kindlaks teha ja käivitada meetmed, et kahju ei suureneks. Samuti on juhtimisraamistiku osaks kestev õppimine, alustades kogu personali küberhügieenist ja lõpetades ettevõtte võimekusega õppida toimunud intsidentidest. 

Finantsettevõtted peavad hakkama teavitama nii Finantsinspektsiooni kui ka Riigi Infosüsteemi Ametit tõsistest info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest. Teavitada tuleb ka kliente, kui intsident mõjutab nende finantshuve. 

Samuti peavad ettevõtted oma digitaalset tegevuskerksust pidevalt testima, et hinnata valmisolekut intsidentide käsitlemiseks, tuvastada nõrgad kohad ja puudused ning need parandada. Suuremad ja süsteemselt olulisemad finantsettevõtted peavad iga kolme aasta tagant läbi viima ka ohuteabel põhineva testimise. 

Digitaalse tegevuskerksuse tagamisel on olulised ka finantsettevõtte partnerid, kes neile info- ja kommunikatsioonitehnoloogiaga seotud teenuseid osutavad, mistõttu nähakse ette ka reeglid selliste teenuste edasiandmisele. 

Eelnõu mõjutab teatud eranditega kogu finantssektorit: pangad, kindlustusandjad, makseasutused, investeerimisühingud jne. Samas on arvestatud ka proportsionaalsuse põhimõtetega ja osa ettevõtetele kohaldub n-ö leebem regulatsioon. Lisaks on määruses jooksvalt ette nähtud erandid mikroettevõtetele, kus töötab vähem kui 10 inimest ning kelle aastakäive ja/või aastabilansi kogumaht ei ületa 2 miljonit eurot.  

DORA määrus ja direktiiv tuleb riigisisesesse õigusesse üle võtta 2025. aasta 17. jaanuariks.