Kas yra DORA?
Skaitmeninės operacinės atsparumo aktas – žinomas kaip DORA – yra Reglamentas (ES) 2022/2554, kurį Europos Parlamentas ir Taryba priėmė 2022 m. gruodžio 14 d. ES jį paskelbė Oficialiajame leidinyje 2022 m. gruodžio 27 d. Jis įsigaliojo 2023 m. sausio 16 d. ir tapo visiškai taikomas 2025 m. sausio 17 d.
DORA sprendžia konkrečią spragą ES finansų reguliavime. Iki DORA finansų institucijos operacinę riziką valdė pirmiausia atidėdamos kapitalą. Tačiau toks požiūris nepakankamai apėmė su IRT susijusius sutrikimus, kurie gali vienu metu paveikti daugelį institucijų, kai sutrinka bendros technologijų paslaugų teikėjo veikla. Todėl DORA įdiegia vienodą sistemą visoje ES IRT rizikos valdymui, incidentų pranešimui, operacinio atsparumo testavimui ir trečiųjų šalių technologijų paslaugų teikėjų priežiūrai.
Kas privalo laikytis DORA?
DORA taikoma dviem pagrindinėms organizacijų grupėms, dalyvaujančioms informacinių ir ryšių technologijų (IRT) paslaugų teikime finansų sektoriuje.
Pirmoji grupė yra finansų subjektai. Tai apima kredito įstaigas, mokėjimo įstaigas, elektroninių pinigų įstaigas, investicines įmones, draudimo ir perdraudimo įmones, kriptoturto paslaugų teikėjus, centrines vertybinių popierių depozitoriumus, centrines sandorio šalis ir prekybos vietas, be kita ko, išvardytas reglamento 2 straipsnyje.
Antroji grupė yra IRT trečiųjų šalių paslaugų teikėjai – įmonės, teikiančios technologijų paslaugas finansų subjektams. Ši grupė apima debesijos kompiuterijos paslaugų teikėjus, programinės įrangos kūrėjus, duomenų analizės įmones, kibernetinio saugumo įmones, duomenų centrų paslaugų teikėjus ir bet kurį kitą paslaugų teikėją, kurio paslaugos palaiko reguliuojamos finansų institucijos veiklą.
Svarbu tai, kad DORA taip pat apima už ES ribų įsisteigusius IRT paslaugų teikėjus. Jei technologijų įmonė Jungtinėse Valstijose, Jungtinėje Karalystėje ar Azijoje teikia paslaugas ES reguliuojamoms finansų institucijoms, DORA taikoma tiems santykiams.
LEI reikalavimas pagal DORA
DORA reikalauja, kad finansų subjektai tvarkytų išsamų Informacijos registrą, apimantį visus jų IRT trečiųjų šalių paslaugų teikėjus. Komisijos įgyvendinimo reglamentas (ES) 2024/2956, paskelbtas 2024 m. gruodžio 2 d., nustato standartines šio registro formas.
To įgyvendinimo reglamento 3 straipsnio 5 dalis tiesiogiai nurodo:
„Finansų subjektai privalo naudoti galiojantį ir aktyvų juridinio asmens identifikatorių (LEI) arba Europos unikalųjį identifikatorių, nurodytą Direktyvos (ES) 2017/1132 16 straipsnyje (toliau – EUID), ir, jei įmanoma, abu šiuos identifikatorius, siekdami identifikuoti visus savo IKT trečiųjų šalių paslaugų teikėjus, kurie yra juridiniai asmenys, išskyrus asmenis, veikiančius verslo pajėgumais.“
Kitaip tariant, kiekvienas IKT trečiosios šalies paslaugų teikėjas, kuris yra juridinis asmuo, turi būti identifikuojamas naudojant arba galiojantį ir aktyvų LEI, arba EUID. Abu turi būti galiojantys. Pasibaigusio galiojimo arba nebegaliojantis LEI neatitinka šio reikalavimo.
LEI ar EUID – kuris taikomas jums?
Abu identifikatoriai atitinka DORA reikalavimus, tačiau jie apima skirtingas situacijas. Supratimas apie skirtumą padeda pasirinkti teisingai.
LEI (juridinio subjekto identifikatorius) yra pasaulyje pripažintas 20 simbolių raidinių ir skaitmeninių ženklų kodas, pagrįstas ISO standartu 17442. Pasaulinė juridinio subjekto identifikatoriaus fondas (GLEIF) valdo Pasaulinę LEI sistemą ir viešai pateikia visus LEI duomenis Pasauliniame LEI indekse. LEI apima juridinius subjektus daugiau nei 200 jurisdikcijų ir taip pat apima nuosavybės ir kontrolės duomenis.
EUID (Europos unikalusis identifikatorius) susietas su ES verslo registrų sąveikos sistema (BRIS). Kadangi jis jungiasi išimtinai su ES nacionaliniais registrais, jis apima tik ES valstybėse narėse registruotus subjektus.
Čia įgyvendinimo reglamentas nustato esminį skirtumą: IRT paslaugų teikėjai, įsisteigę už ES ribų, turi būti identifikuojami naudojant tik LEI. EUID tiesiog nėra prieinamas ne ES subjektams. Dėl to LEI yra vienintelis galiojantis identifikatorius bet kuriam paslaugų teikėjui, veikiančiam už ES ribų.
ES įsikūrusiems paslaugų teikėjams tinka bet kuris identifikatorius. Tačiau pasaulinei veiklai ar paslaugų teikėjams, turintiems ryšių su ne ES šalimis, LEI yra geresnis pasirinkimas dėl jo tarptautinio pripažinimo ir platesnio duomenų aprėpties.
Ką praktiškai reiškia „galiojantis ir aktyvus“
Įgyvendinimo reglamentas konkrečiai reikalauja galiojančio ir aktyvaus LEI. Tai reiškia būseną, kuri rodoma GLEIF pasaulinėje duomenų bazėje.
LEI, kurio statusas yra „Išduotas“, yra galiojantis ir aktyvus, todėl atitinka DORA reikalavimus. LEI, kurio statusas yra „Pasibaigęs“, yra negaliojantis ir todėl neatitinka reikalavimo. Finansų subjektai negali registruoti pasibaigusio galiojimo LEI kaip atitinkančio identifikatoriaus savo informacijos registre.
LEI lieka galiojantis vienerius metus nuo išdavimo arba paskutinio atnaujinimo datos. Po to savininkas privalo jį atnaujinti, kad išlaikytų aktyvią būseną. Atnaujinimo metu išduodanti organizacija iš naujo patikrina subjekto referencinių duomenų – įskaitant juridinį pavadinimą, registruotą adresą ir nuosavybės struktūrą – atitiktį oficialiems registro šaltiniams. Šis procesas užtikrina, kad duomenys pasaulinėje LEI duomenų bazėje išliktų tikslūs ir aktualūs.
Galite patikrinti bet kurio LEI būseną naudodami GLEIF LEI paieškos įrankį arba per LEI System paiešką.
Kodėl LEI yra praktinis standartas DORA atitikčiai
DORA reguliuotojai pasirinko LEI, nes jis išsprendžia problemą, kurios negali išspręsti joks nacionalinis identifikatorius: nuoseklų, tarpvalstybinį juridinių subjektų identifikavimą vienu pasaulyje pripažintu formatu.
Nacionaliniai įmonių registracijos numeriai labai skiriasi tarp šalių, ne visada yra mašiniškai skaitomi ir visiškai neapima ne ES subjektų. LEI, priešingai, suteikia vieną nuoseklų kodą bet kuriam juridiniam subjektui, nepriklausomai nuo to, kur jis įregistruotas. Be to, kadangi LEI duomenys yra viešai prieinami ir patikrinami, finansų institucijos gali akimirksniu patikrinti paslaugų teikėjo duomenis neprašydamos dokumentų.
Finansų institucijoms, valdančioms daugelį IRT tiekėjų skirtingose šalyse, šis standartizavimas žymiai sumažina DORA atitikties administracinį sudėtingumą. Viena LEI paieška pateikia patikrintą informaciją apie paslaugų teikėjo juridinį pavadinimą, registracijos duomenis ir nuosavybės struktūrą – visa tai tiesiogiai susiję su DORA trečiųjų šalių rizikos valdymo įsipareigojimais.
IRT paslaugų teikėjams galiojančio LEI turėjimas leidžia finansų institucijų klientams juos teisingai įtraukti į savo DORA registrą. Paslaugų teikėjai, neturintys galiojančio LEI, kita vertus, sukuria atitikties spragas savo klientams ir todėl rizikuoja pakenkti verslo santykiams. GLEIF pateikia papildomą kontekstą, kaip LEI tai palaiko, savo LEI reguliavimo naudojimo apžvalgoje.
Ką IRT paslaugų teikėjai turėtų daryti dabar
Patikrinkite, ar turite galiojantį LEI. Jei teikiate IRT paslaugas bet kuriai ES reguliuojamai finansų institucijai, jūsų klientas privalo jus identifikuoti savo DORA Informacijos registre. Susisiekite su jais, kad patvirtintumėte, ar jie įrašė jūsų LEI ir ar jis šiuo metu aktyvus.
Užsiregistruokite LEI, jei jo neturite. Procesas yra visiškai skaitmeninis ir daugumai jurisdikcijų užbaigiamas per 24 valandas. Turite pateikti savo įmonės juridinį pavadinimą, registruotą adresą ir registracijos numerį. Daugeliu atvejų sistema šiuos duomenis automatiškai patikrina oficialiuose verslo registruose. LEI System yra akredituotas GLEIF registracijos agentas. Galite pradėti savo LEI registraciją šiandien.
Atnaujinkite savo LEI, jei jis pasibaigęs. Pasibaigusio galiojimo LEI turi būti atnaujintas, kad jūsų klientai galėtų jį naudoti DORA registre. Atnaujinimas atkuria statusą „Išduotas“ ir iš naujo patvirtina jūsų įmonės referencinius duomenis. Galite greitai atnaujinti savo LEI per LEI sistemą.
Palaikykite savo LEI duomenis atnaujintus. Jei pasikeitė jūsų įmonės pavadinimas, registruotas adresas ar nuosavybės struktūra, atitinkamai atnaujinkite savo LEI referencinių duomenų. Pasenę LEI duomenys sukuria atitikties komplikacijų jūsų finansų institucijų klientams, kai jie pateikia savo registrą nacionalinėms institucijoms.
DORA platesnio ES reguliavimo kontekste
DORA neveikia izoliuotai. Ji egzistuoja kartu su kitais ES reglamentais, kurie taip pat naudoja LEI kaip standartinį juridinių subjektų identifikatorių, įskaitant MiFID II sandorių ataskaitų teikimą, EMIR išvestinių finansinių priemonių ataskaitų teikimą ir ES momentinių mokėjimų reglamentą. Finansų subjektams, jau naudojantiems LEI sandorių ataskaitų teikimui, DORA todėl prideda papildomą dimensiją, o ne visiškai naują sistemą.
Be to, DORA tiesiogiai susieta su NIS2 direktyva (Direktyva (ES) 2022/2555) dėl kibernetinio saugumo. DORA veikia kaip sektorinis aktas pagal NIS2 finansų subjektams. Galite skaityti daugiau apie NIS2 ir LEI NIS2 ir LEI straipsnyje šioje svetainėje. Platesnei apžvalgai, kaip LEI veikia ES finansų reguliavime, žr. Kaip LEI veikia praktiškai ES.
DORA ir LEI – pagrindiniai faktai trumpai
Kas yra DORA? Reglamentas (ES) 2022/2554 dėl skaitmeninės operacinės atsparumo finansų sektoriuje.
Kada DORA tapo taikoma? 2025 m. sausio 17 d.
Kas privalo laikytis? ES finansų subjektai ir jų IRT trečiųjų šalių paslaugų teikėjai, įskaitant ne ES paslaugų teikėjus, aptarnaujančius ES finansų institucijas.
Ko DORA reikalauja IRT paslaugų teikėjų identifikavimui? Galiojančio ir aktyvaus LEI arba EUID, kaip nurodyta Komisijos įgyvendinimo reglamente (ES) 2024/2956.
Kuris identifikatorius taikomas ne ES IRT paslaugų teikėjams? Tik LEI. EUID apima tik ES registruotus subjektus.
Kokia LEI būsena atitinka DORA? Tik „Išduotas“. „Pasibaigęs“ LEI neatitinka reikalavimo.
Kur galiu užsiregistruoti arba atnaujinti LEI? Per akredituotą GLEIF registracijos agentą, pavyzdžiui, LEI System.