Kas ir DORA?
Digitālās darbības noturības akts — pazīstams kā DORA — ir Regula (ES) 2022/2554, ko Eiropas Parlaments un Padome pieņēma 2022. gada 14. decembrī. ES to publicēja Oficiālajā Vēstnesī 2022. gada 27. decembrī. Tā stājās spēkā 2023. gada 16. janvārī un kļuva pilnībā piemērojama 2025. gada 17. janvārī.
DORA novērš konkrētu trūkumu ES finanšu regulējumā. Pirms DORA finanšu iestādes pārvaldīja darbības risku, galvenokārt rezervējot kapitālu. Tomēr šī pieeja pienācīgi neaptvēra ar IKT saistītus traucējumus, kas var ietekmēt daudzas iestādes vienlaikus, ja neizdodas kopīgs tehnoloģiju sniedzējs. Tāpēc DORA ievieš vienotu sistēmu visā ES IKT riska pārvaldībai, ziņošanai par incidentiem, darbības noturības testēšanai un trešo personu tehnoloģiju sniedzēju uzraudzībai.
Kam ir jāievēro DORA?
DORA attiecas uz divām galvenajām organizāciju grupām, kas iesaistītas informācijas un komunikācijas tehnoloģiju (IKT) pakalpojumu sniegšanā finanšu sektorā.
Pirmā grupa ir finanšu struktūras. To vidū ir kredītiestādes, maksājumu iestādes, elektroniskās naudas iestādes, ieguldījumu mērķsabiedrības, apdrošināšanas un pārapdrošināšanas sabiedrības, kriptoaktīvu pakalpojumu sniedzēji, centrālie vērtspapīru depozitāriji, centrālie darījumu partneri un tirdzniecības vietas, kā arī citas regulas 2. pantā uzskaitītās struktūras.
Otrā grupa ir IKT trešo personu pakalpojumu sniedzēji — uzņēmumi, kas sniedz tehnoloģiju pakalpojumus finanšu struktūrām. Šajā grupā ietilpst mākoņskaitļošanas pakalpojumu sniedzēji, programmatūras izstrādātāji, datu analīzes uzņēmumi, kiberdrošības uzņēmumi, datu centru nodrošinātāji un jebkurš cits pakalpojumu sniedzējs, kura pakalpojumi atbalsta regulētas finanšu iestādes darbību.
Svarīgi ir tas, ka DORA attiecas arī uz IKT pakalpojumu sniedzējiem, kas atrodas ārpus ES. Ja tehnoloģiju uzņēmums Amerikas Savienotajās Valstīs, Apvienotajā Karalistē vai Āzijā sniedz pakalpojumus ES regulētām finanšu iestādēm, DORA attiecas uz šīm attiecībām.
LEI prasība saskaņā ar DORA
DORA pieprasa finanšu struktūrām uzturēt detalizētu informācijas reģistru, kas aptver visus to IKT trešo personu pakalpojumu sniedzējus. Komisijas Īstenošanas regula (ES) 2024/2956, kas publicēta 2024. gada 2. decembrī, nosaka šī reģistra standarta veidnes.
Minētās īstenošanas regulas 3. panta 5. punktā ir tieši norādīts:
“Finanšu struktūras izmanto derīgu un aktīvu juridisko personu identifikatoru (LEI) vai Eiropas unikālo identifikatoru, kas minēts Direktīvas (ES) 2017/1132 16. pantā (“EUID”), un, ja ir pieejami abi šie identifikatori, abus šos identifikatorus, lai identificētu visus savus IKT trešo personu pakalpojumu sniedzējus, kas ir juridiskas personas, izņemot fiziskas personas, kuras darbojas saimnieciskā statusā.”
Citiem vārdiem sakot, katram IKT trešās puses pakalpojumu sniedzējam, kas ir juridiska persona, jābūt identificējamam, izmantojot vai nu derīgu un aktīvu LEI, vai EUID. Abiem jābūt aktuāliem. LEI ar beigušos termiņu vai anulēts LEI neizpilda šo prasību.
LEI vai EUID — kurš attiecas uz jums?
Abi identifikatori atbilst DORA prasībām, taču tie attiecas uz dažādām situācijām. Atšķirību izpratne palīdz izdarīt pareizo izvēli.
LEI (juridisko personu identifikators) ir pasaulē atzīts 20 rakstzīmju burtciparu kods, kura pamatā ir ISO standarts 17442. Globālais juridisko personu identifikatoru fonds (GLEIF) pārvalda Globālo LEI sistēmu un padara visus LEI datus publiski pieejamus Globālajā LEI indeksā. LEI aptver juridiskas personas vairāk nekā 200 jurisdikcijās, kā arī ietver datus par īpašumtiesībām un kontroli.
EUID (Eiropas unikālais identifikators) ir saistīts ar ES Uzņēmumu reģistru savstarpējās savienojamības sistēmu (BRIS). Tā kā tas ir savienots tikai ar ES valstu reģistriem, tas aptver tikai ES dalībvalstīs reģistrētas struktūras.
Šeit īstenošanas regula nosaka būtisku atšķirību: IKT pakalpojumu sniedzēji, kas veic uzņēmējdarbību ārpus ES, ir jāidentificē, izmantojot tikai LEI. EUID vienkārši nav pieejams struktūrām, kas nav reģistrētas ES. Tāpēc LEI ir vienīgais derīgais identifikators jebkuram pakalpojumu sniedzējam, kas darbojas ārpus ES.
ES reģistrētiem pakalpojumu sniedzējiem ir piemērots jebkurš no identifikatoriem. Tomēr globālām operācijām vai pakalpojumu sniedzējiem, kas darbojas ārpus ES, LEI ir spēcīgāka izvēle tā starptautiskās atpazīstamības un plašāka datu pārklājuma dēļ.
Ko praksē nozīmē “derīgs un aktīvs”
Īstenošanas regula īpaši pieprasa derīgu un aktīvu LEI. Tas attiecas uz statusu, kas parādās GLEIF globālajā datubāzē.
LEI ar statusu “Izdots” (Issued) ir derīgs un aktīvs, un tādējādi atbilst DORA prasībām. LEI ar statusu “Anulēts” (Lapsed) ir beidzies termiņš, un tādējādi tas neatbilst prasībai. Finanšu struktūras savā informācijas reģistrā nevar reģistrēt anulētu LEI kā prasībām atbilstošu identifikatoru.
LEI ir derīgs vienu gadu no izdošanas vai pēdējās atjaunošanas dienas. Pēc tam īpašniekam tas ir jāatjauno, lai saglabātu aktīvu statusu. Atjaunošanas laikā izdevēja organizācija atkārtoti pārbauda struktūras atsauces datus, tostarp juridisko nosaukumu, juridisko adresi un īpašumtiesību struktūru, salīdzinot tos ar oficiāliem reģistru avotiem. Šis process nodrošina, ka dati globālajā LEI datubāzē ir precīzi un aktuāli.
Jebkura LEI statusu varat pārbaudīt, izmantojot GLEIF LEI meklēšanas rīku vai LEI System meklēšanu.
Kāpēc LEI ir praktiskais standarts DORA atbilstībai
DORA regulatori izvēlējās LEI, jo tas atrisina problēmu, ko nespēj neviens valsts identifikators: konsekventu, pārrobežu juridisko personu identifikāciju vienotā, globāli atzītā formātā.
Valstu uzņēmumu reģistrācijas numuri dažādās valstīs ievērojami atšķiras, tie ne vienmēr ir mašīnlasāmi un vispār neaptver struktūras ārpus ES. Turpretim LEI nodrošina vienu konsekventu kodu jebkurai juridiskai personai neatkarīgi no tās reģistrācijas vietas. Turklāt, tā kā LEI dati ir publiski pieejami un pārbaudāmi, finanšu iestādes var nekavējoties pārbaudīt pakalpojumu sniedzēja informāciju, nepieprasot dokumentus.
Finanšu iestādēm, kas pārvalda daudzus IKT piegādātājus dažādās valstīs, šī standartizācija ievērojami samazina DORA atbilstības administratīvo sarežģītību. Viena LEI meklēšana sniedz pārbaudītu informāciju par pakalpojumu sniedzēja juridisko nosaukumu, reģistrācijas datiem un īpašumtiesību struktūru — tas viss ir tieši saistīts ar DORA trešo personu riska pārvaldības pienākumiem.
IKT pakalpojumu sniedzējiem derīgs LEI ļauj finanšu iestāžu klientiem tos viegli un pareizi iekļaut savā DORA reģistrā. Savukārt pakalpojumu sniedzēji bez derīga LEI rada atbilstības trūkumus saviem klientiem un tādējādi riskē sabojāt biznesa attiecības. GLEIF sniedz papildu kontekstu par to, kā LEI to atbalsta, savā pārskatā par LEI regulatīvo izmantošanu.
Kas IKT pakalpojumu sniedzējiem jādara tagad
Pārbaudiet, vai jums ir derīgs LEI. Ja sniedzat IKT pakalpojumus jebkurai ES regulētai finanšu iestādei, jūsu klientam ir jāidentificē jūs savā DORA informācijas reģistrā. Sazinieties ar viņiem, lai apstiprinātu, vai viņi ir reģistrējuši jūsu LEI un vai tas pašlaik ir aktīvs.
Reģistrējiet LEI, ja jums tāda nav. Process ir pilnībā digitāls un lielākajā daļā jurisdikciju tiek pabeigts 24 stundu laikā. Jums ir jānorāda uzņēmuma juridiskais nosaukums, juridiskā adrese un reģistrācijas numurs. Vairumā gadījumu sistēma automātiski pārbauda šos datus oficiālajos uzņēmumu reģistros. LEI System ir akreditēts GLEIF reģistrācijas aģents. Jūs varat sākt savu LEI reģistrāciju jau šodien.
Atjaunojiet savu LEI, ja tā termiņš ir beidzies. Anulēts LEI ir jāatjauno, pirms jūsu klienti var to izmantot DORA reģistrā. Atjaunošana atjauno statusu “Izdots” un atkārtoti apstiprina jūsu uzņēmuma atsauces datus. Jūs varat ātri atjaunot savu LEI, izmantojot LEI System.
Uzturiet savus LEI datus aktuālus. Ja ir mainījies jūsu uzņēmuma nosaukums, juridiskā adrese vai īpašumtiesību struktūra, attiecīgi atjauniniet savus LEI atsauces datus. Novecojuši LEI dati rada atbilstības sarežģījumus jūsu finanšu iestāžu klientiem, kad tie iesniedz savu reģistru valsts iestādēm.
DORA plašāka ES regulējuma kontekstā
DORA nedarbojas izolēti. Tā pastāv līdzās citām ES regulām, kurās LEI tiek izmantots kā standarta identifikators juridiskām personām, tostarp MiFID II darījumu ziņošanai, EMIR atvasināto instrumentu ziņošanai un ES tūlītējo maksājumu regulai. Finanšu struktūrām, kas jau izmanto LEI darījumu ziņošanai, DORA pievieno papildu dimensiju, nevis pilnīgi jaunu sistēmu.
Turklāt DORA ir tieši saistīta ar NIS2 direktīvu (Direktīva (ES) 2022/2555) par kiberdrošību. DORA darbojas kā nozarei specifisks akts saskaņā ar NIS2 finanšu struktūrām. Vairāk par NIS2 un LEI varat lasīt NIS2 un LEI rakstā šajā vietnē. Plašāku pārskatu par to, kā LEI darbojas ES finanšu regulējumā, skatiet sadaļā Kā LEI darbojas praksē ES.
DORA un LEI — galvenie fakti īsumā
Kas ir DORA? Regula (ES) 2022/2554 par finanšu sektora digitālās darbības noturību.
Kad DORA kļuva piemērojama? 2025. gada 17. janvārī.
Kam ir jāievēro noteikumi? ES finanšu struktūrām un to IKT trešo personu pakalpojumu sniedzējiem, tostarp pakalpojumu sniedzējiem ārpus ES, kas apkalpo ES finanšu iestādes.
Ko DORA pieprasa IKT pakalpojumu sniedzēju identifikācijai? Derīgu un aktīvu LEI vai EUID, kā noteikts Komisijas Īstenošanas regulā (ES) 2024/2956.
Kurš identifikators attiecas uz IKT pakalpojumu sniedzējiem ārpus ES? Tikai LEI. EUID attiecas tikai uz ES reģistrētām struktūrām.
Kāds LEI statuss atbilst DORA prasībām? Tikai “Izdots” (Issued). Anulēts (Lapsed) LEI neizpilda šo prasību.
Kur es varu reģistrēt vai atjaunot LEI? Izmantojot akreditētu GLEIF reģistrācijas aģentu, piemēram, LEI System.