Mis on DORA?
Digitaalse tegevuskerksuse määrus – tuntud kui DORA – on määrus (EL) 2022/2554, mille Euroopa Parlament ja nõukogu võtsid vastu 14. detsembril 2022. EL avaldas selle Euroopa Liidu Teatajas 27. detsembril 2022. See jõustus 16. jaanuaril 2023 ja muutus täielikult kohaldatavaks 17. jaanuaril 2025.
DORA täidab konkreetse lünga EL-i finantsregulatsioonis. Enne DORA-t maandasid finantsasutused tegevusriski peamiselt kapitali eraldamisega. See lähenemisviis ei katnud aga piisavalt IKT-ga seotud häireid, mis võivad ühise tehnoloogiapakkuja tõrke korral mõjutada paljusid asutusi korraga. Seetõttu kehtestab DORA kogu EL-is ühtse raamistiku IKT-riskide juhtimiseks, intsidentidest teatamiseks, tegevuskerksuse testimiseks ja kolmandatest isikutest tehnoloogiateenuse osutajate järelevalveks.
Kes peavad DORA nõudeid täitma?
DORA kehtib kahele peamisele organisatsioonide rühmale, kes on seotud info- ja kommunikatsioonitehnoloogia (IKT) teenustega finantssektoris.
Esimene rühm on finantsüksused. Nende hulka kuuluvad krediidiasutused, makseasutused, e-raha asutused, investeerimisühingud, kindlustus- ja edasikindlustusandjad, krüptovarateenuse osutajad, väärtpaberite keskdepositooriumid, kesksed vastaspooled ja kauplemiskohad, lisaks muudele määruse artiklis 2 loetletud üksustele.
Teine rühm on IKT-teenuseid osutavad kolmandast isikust teenuseosutajad – ettevõtted, mis pakuvad tehnoloogiateenuseid finantsüksustele. Sellesse rühma kuuluvad pilvandmetöötluse pakkujad, tarkvaraarendajad, andmeanalüüsi ettevõtted, küberturvalisuse ettevõtted, andmekeskuste pakkujad ja kõik muud teenuseosutajad, kelle teenused toetavad reguleeritud finantsasutuse tegevust.
Oluline on märkida, et DORA hõlmab ka väljaspool EL-i asuvaid IKT-teenuse osutajaid. Kui Ameerika Ühendriikides, Ühendkuningriigis või Aasias asuv tehnoloogiaettevõte pakub teenuseid EL-is reguleeritud finantsasutustele, kohaldub DORA ka sellele suhtele.
LEI nõue DORA raames
DORA nõuab, et finantsüksused peaksid üksikasjalikku teaberegistrit, mis hõlmab kõiki nende IKT-teenuseid osutavaid kolmandast isikust teenuseosutajaid. 2. detsembril 2024 avaldatud komisjoni rakendusmäärus (EL) 2024/2956 sätestab selle registri standardvormid.
Selle rakendusmääruse artikli 3 lõige 5 sätestab otseselt:
„Finantsüksused kasutavad kehtivat ja aktiivset juriidilise isiku tunnust (LEI) või direktiivi (EL) 2017/1132 artiklis 16 osutatud Euroopa ainulaadset tunnust (EUID) ning võimaluse korral mõlemat tunnust, et tuvastada kõik oma IKT-teenuseid osutavad kolmandast isikust teenuseosutajad, kes on juriidilised isikud, välja arvatud ettevõtlusega tegelevad üksikisikud.“
Teisisõnu peab iga IKT-teenuseid osutav kolmandast isikust teenuseosutaja, kes on juriidiline isik, olema tuvastatav kas kehtiva ja aktiivse LEI või EUID abil. Mõlemad peavad olema ajakohased. Aegunud või kehtivuse kaotanud LEI seda nõuet ei täida.
LEI või EUID – kumb teile kohaldub?
Mõlemad tunnused vastavad DORA nõuetele, kuid need hõlmavad erinevaid olukordi. Erinevuste mõistmine aitab teil teha õige valiku.
LEI (Legal Entity Identifier) on ülemaailmselt tunnustatud 20-kohaline tähtnumbriline kood, mis põhineb ISO standardil 17442. Global Legal Entity Identifier Foundation (GLEIF) hallata on ülemaailmne LEI-süsteem ning see teeb kõik LEI-andmed avalikult kättesaadavaks ülemaailmses LEI-indeksis. LEI hõlmab juriidilisi isikuid enam kui 200 jurisdiktsioonis ning sisaldab ka omandi- ja kontrolliandmeid.
EUID (European Unique Identifier) on seotud EL-i äriregistrite sidestamise süsteemiga (BRIS). Kuna see on ühendatud eranditult EL-i riiklike registritega, hõlmab see ainult EL-i liikmesriikides registreeritud üksusi.
Siinkohal teeb rakendusmäärus olulise vahe: väljaspool EL-i asutatud IKT-teenuse osutajad tuleb tuvastada ainult LEI abil. EUID ei ole väljaspool EL-i asuvate üksuste jaoks lihtsalt kättesaadav. Seetõttu on LEI ainus kehtiv tunnus kõigile teenuseosutajatele, kes tegutsevad väljaspool EL-i.
EL-is asuvate teenuseosutajate puhul sobivad mõlemad tunnused. Globaalse tegevuse või väljaspool EL-i asuvate seoste puhul on LEI siiski kindlam valik selle rahvusvahelise tunnustatuse ja laiema andmehalduse tõttu.
Mida tähendab „kehtiv ja aktiivne“ praktikas
Rakendusmäärus nõuab konkreetselt kehtivat ja aktiivset LEI-d. See viitab staatusele, mis kuvatakse GLEIF-i ülemaailmses andmebaasis.
LEI, mille staatus on „Issued“ (väljastatud), on kehtiv ja aktiivne ning vastab seega DORA nõuetele. LEI, mille staatus on „Lapsed“ (aegunud), on kehtivuse kaotanud ja seetõttu nõuet ei täida. Finantsüksused ei saa kanda aegunud LEI-d oma teaberegistrisse nõuetele vastava tunnusena.
LEI kehtib üks aasta alates väljastamise või viimase uuendamise kuupäevast. Pärast seda peab omanik seda aktiivse staatuse säilitamiseks uuendama. Uuendamise käigus kontrollib väljastav organisatsioon uuesti üksuse viiteandmeid – sealhulgas juriidilist nime, registreeritud aadressi ja omandistruktuuri – ametlike registriandmete alusel. See protsess tagab, et ülemaailmses LEI-andmebaasis olevad andmed on täpsed ja ajakohased.
Saate kontrollida mis tahes LEI staatust GLEIF-i LEI otsingutööriista või LEI Systemi otsingu kaudu.
Miks on LEI praktiline standard DORA nõuete täitmiseks
DORA regulaatorid valisid LEI, sest see lahendab probleemi, mida ükski riiklik tunnus ei suuda: juriidiliste isikute järjepidev piiriülene tuvastamine ühes ülemaailmselt tunnustatud vormingus.
Riiklikud äriregistri numbrid varieeruvad riigiti oluliselt, ei ole alati masinloetavad ega hõlma üldse väljaspool EL-i asuvaid üksusi. LEI seevastu pakub ühte ühtset koodi igale juriidilisele isikule, olenemata selle asukohariigist. Lisaks, kuna LEI-andmed on avalikult kättesaadavad ja kontrollitavad, saavad finantsasutused teenuseosutaja andmeid koheselt kontrollida ilma dokumente küsimata.
Finantsasutuste jaoks, kes haldavad paljusid IKT-tarnijaid erinevates riikides, vähendab see standardimine oluliselt DORA nõuete täitmisega seotud halduskeerukust. Üksainus LEI-päring annab kinnitatud teavet teenuseosutaja juriidilise nime, registreerimisandmete ja omandistruktuuri kohta – kõik see on otseselt asjakohane DORA kolmandate isikute riskijuhtimise kohustuste täitmisel.
IKT-teenuse osutajate jaoks muudab kehtiva LEI olemasolu finantsasutustest klientidele lihtsaks nende korrektse kandmise DORA registrisse. Ilma kehtiva LEI-ta teenuseosutajad tekitavad aga oma klientidele lünki nõuete täitmisel ja riskivad seeläbi ärisuhete kahjustamisega. GLEIF pakub täiendavat konteksti selle kohta, kuidas LEI seda toetab, oma ülevaates LEI regulatiivsest kasutusest.
Mida IKT-teenuse osutajad peaksid nüüd tegema
Kontrollige, kas teil on kehtiv LEI. Kui pakute IKT-teenuseid mõnele EL-is reguleeritud finantsasutusele, peab teie klient teid oma DORA teaberegistris tuvastama. Võtke nendega ühendust, et kinnitada, kas nad on teie LEI registreerinud ja kas see on hetkel aktiivne.
Registreerige LEI, kui teil seda veel ei ole. Protsess on täielikult digitaalne ja enamikus jurisdiktsioonides lõpule viidud 24 tunni jooksul. Peate esitama oma ettevõtte juriidilise nime, registreeritud aadressi ja registrikoodi. Enamikul juhtudel kontrollib süsteem neid andmeid automaatselt ametlikest äriregistritest. LEI System on akrediteeritud GLEIF-i registreerimisagent. Saate alustada oma LEI registreerimist juba täna.
Uuendage oma LEI-d, kui see on aegunud. Aegunud LEI tuleb uuendada, enne kui teie kliendid saavad seda DORA registris kasutada. Uuendamine taastab staatuse „Issued“ ja kinnitab uuesti teie ettevõtte viiteandmed. Saate oma LEI-d kiiresti uuendada LEI Systemi kaudu.
Hoidke oma LEI-andmed ajakohasena. Kui teie ettevõtte nimi, registreeritud aadress või omandistruktuur on muutunud, uuendage vastavalt oma LEI viiteandmeid. Aegunud LEI-andmed tekitavad teie finantsasutustest klientidele probleeme nõuete täitmisel, kui nad esitavad oma registri riiklikele asutustele.
DORA laiema EL-i regulatsiooni kontekstis
DORA ei toimi eraldiseisvana. See asub kõrvuti teiste EL-i määrustega, mis kasutavad LEI-d juriidiliste isikute standardse tunnusena, sealhulgas MiFID II tehingute aruandlus, EMIR-i tuletisinstrumentide aruandlus ja EL-i välkmaksete määrus. Finantsüksuste jaoks, kes juba kasutavad LEI-sid tehingute aruandluseks, lisab DORA pigem täiendava mõõtme kui täiesti uue süsteemi.
Lisaks on DORA otseselt seotud küberturvalisuse direktiiviga NIS2 (direktiiv (EL) 2022/2555). DORA toimib finantsüksuste jaoks NIS2 raames sektorispetsiifilise aktina. NIS2 ja LEI kohta saate lähemalt lugeda selle saidi NIS2 ja LEI artiklist. Laiema ülevaate saamiseks selle kohta, kuidas LEI toimib EL-i finantsregulatsioonis, vaadake jaotist Kuidas LEI praktikas EL-is toimib.
DORA ja LEI – peamised faktid lühidalt
Mis on DORA? Määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust.
Millal muutus DORA kohaldatavaks? 17. jaanuaril 2025.
Kes peavad nõudeid täitma? EL-i finantsüksused ja nende IKT-teenuseid osutavad kolmandast isikust teenuseosutajad, sealhulgas väljaspool EL-i asuvad teenuseosutajad, kes teenindavad EL-i finantsasutusi.
Mida nõuab DORA IKT-teenuse osutaja tuvastamiseks? Kehtivat ja aktiivset LEI-d või EUID-d, nagu on sätestatud komisjoni rakendusmääruses (EL) 2024/2956.
Milline tunnus kehtib väljaspool EL-i asuvatele IKT-teenuse osutajatele? Ainult LEI. EUID hõlmab ainult EL-is registreeritud üksusi.
Milline LEI staatus vastab DORA nõuetele? Ainult „Issued“. „Lapsed“ staatusega LEI ei täida nõuet.
Kus saab LEI-d registreerida või uuendada? Akrediteeritud GLEIF-i registreerimisagendi kaudu, nagu näiteks LEI System.