Kuidas edeneb DORA rakendamine – kas IKT teenusepakkujatega sõlmitud lepingud on korras?

Info- ja kommunikatsioonitehnoloogia (IKT) mängib digiajastul olulist rolli finantssektori toimimisel. Samas suurendab IKT ka finantssüsteemi haavatavust küberohtude suhtes, kuna sektor on muutunud digitaalseks ja sõltub rohkem kolmandate isikute teenustest ja infrastruktuurist. Sellest oleme pikemalt kirjutanud siin. Varasemalt puudusid Euroopa Liidu õiguses selged ja ühtsed standardid finantssektorile IKT teenuse osutajatega sõlmitavate lepingute suhtes. Osati küll reguleerisid neid lepinguid järelevalveasutuste tegevuse edasiandmise juhised, mille rakendamispraktika oli aga seinast seina. Ühtlasi on finantssektori ettevõtjatel ja IKT teenusepakkujatel sageli raske kokku leppida lepingutingimustes, mis vastavad usaldatavusstandarditele ja regulatiivsetele nõuetele, ent ei kaota täielikult oma majanduslikku mõttekust. Nüüd sätestab DORA finantssektori ettevõtete ja IKT teenusepakkujate vahelised kindlad lepingulised sisunõuded. Järgnevalt anname nendest ülevaate. IKT teenusepakkujatega sõlmitud lepingute kohustuslikud elemendid on järgnevad:

1. Vorminõue. Teenuseleping peab olema kirjalik.
2. Teenuse üksikasjalik kirjeldus. IKT teenuseosutaja teenuse ja funktsioonide kirjeldus peab olema selge ja täielik, sh peab olema märgitud, kas tegu on kriitilise või olulise tähtsusega teenusega (vt alt täiendavaid nõudeid). Leping peab sisaldama teenustaseme kirjeldusi, sh nende muutmist ja läbivaatamist. Reguleeritud peab olema ka tegevuse edasiandmise õigus ja alltöövõtuga seotud täiendavad nõuded.
3. Asukoht. Leping peab sisaldama, kus IKT teenuseid ja funktsioone pakutakse ehk kus andmeid töödeldakse ja säilitatakse.
4. Isikuandmete kaitse. Lepingus peab sisalduma regulatsioon isikuandmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ning samuti taastamise ja tagastamise kohta maksejõuetuse, kriisilahenduse või äritegevuse lõppemise korral.
5. Lepingus peab sisalduma muuhulgas IKT teenusepakkuja kohustus osutada finantssektori ettevõtjale ilma lisakulutusteta või eelnevalt kokkulepitud hinnaga abi siis, kui leiab aset IKT intsident.
6. Koostöö kohustus. IKT teenusepakkuja peab olema valmis tegema täielikku koostööd järelevalveasutuste ja kriisilahendusasutustega.
7. Lepingu lõpetamise regulatsioon. Leping peab sisaldama minimaalset lepingu lõpetamise etteteavitamise tähtaega.
8. Leping peab sisaldama IKT teenuseosutaja kohustust osaleda IKT-turbe teadlikkuse suurendamise programmides ja digitaalse tegevuskerksuse koolitusel.

Nagu ülal viidatud, siis kui tegu on kriitilise tähtsusega või olulisi funktsioone toetavate IKT teenusepakkujatega, siis peab lisaks eelnevale olema täiendavalt reguleeritud järgnev:

9. Täielikud teenustasemete kirjeldused, sh nende muutmised ja läbivaatamised koos täpsete kvantitatiivsete ja kvalitatiivsete tulemuseesmärkidega. Euroopa järelevalveasutused töötavad selleks välja ka tehnilised standardid.
10. Teadete esitamine ja aruandluskohustus. Teavitused peavad hõlmama kõiki muutuseid, mis võivad oluliselt mõjutada IKT teenuseosutaja suutlikkust osutada teenuseid kokkulepitud tasemel.
11. Talitluspidevuse rakendamine ja testimine. Talitluspidevuse rakendamine ja testimine peavad tagama, et finantssektori ettevõtja osutab teenuseid turvaliselt kooskõlas kohalduva õigusega.
12. Läbistustestis osalemise kohustus. IKT teenuseosutaja on kohustatud osalema finantssektori ettevõtja ohuteabel põhinevas läbistustestimises ja tegema selle raames täielikku koostööd.
13. Lepingus peab olema põhjalikult reguleeritud pääsu-, kontrolli- ja auditeerimisõigused, maht ja sagedus.
14. Väljumisstrateegia. Lepingus peab olema kokku lepitud kohustuslik üleminekuperiood, mille jooksul IKT teenusepakkuja jätkab teenuse osutamist, mis võimaldab finantssektori ettevõtjal migreerida teenus teisele teenusepakkujale või leida teenuse asendamiseks majasisene lahendus.

Lepinguliste suhete reguleerimisel on mikroettevõtjast finantssektori ettevõtjal võimalik kasutada erandit, mille alusel selle pääsu-, kontrolli- ja auditeerimisõiguse saab delegeerida sõltumatule kolmandale isikule. Seda eeldusel, et finantssektori ettevõtja saab siiski igal ajal IKT teenusepakkujalt nõuda selle tegevuse kohta teavet ja kinnitust. Lepingute üle läbi rääkides kaaluvad finantssektori ettevõtjad ja kolmandast isikust IKT-teenuste osutajad, kas kasutada konkreetse teenuse jaoks avaliku sektori asutuste välja töötatud lepingu tüüptingimusi. Seega võib tulevikus oodata ka standardklauslite tekste, mis samuti lepingu läbirääkimisi hõlpsamaks peaks muutma. See kõik tähendab, et lisaks uute IKT teenusepakkujate lepingute sõlmimisele, tuleb tõenäoliselt ka avada vanad kehtivad lepingud, viimaks need uute nõuetega kooskõlla, mis võib olla päris suur väljakutse. TRINITI väljakutseid ei karda ja oleme hea meelega abiks lepinguliste nõuete kaardistamisega, olemasolevate lepingute analüüsiga või lepingu läbirääkimistega. Kui Teid see teema kõnetab, vajate lisajõudu, siis võtke julgelt TRINITI toimeka tiimiga ühendust. Mõtleme kaasa, tegutseme ja leiame lahendused.   Kelly Nõmmiko ja Kristena Kutti