Mida arvad finantsasutustele kohalduvatest digitaalse tegevuskerksuse nõuetest?

Mis on plaanitavate muudatuste eesmärk?
Plaanitavate muudatuste põhiline eesmärk on vähendada finantssektoris äriprotsesside ja oluliste funktsioonide katkemise riski ning ohtu nii ettevõtte kui ka klientide teabe- ja finantsvarale, mida võivad põhjustada nii tehnilised rikked, operatiivsed vead kui ka küberründed. Lisaks võetakse eelnõuga üle direktiiv 2022/2554 (DORA).

Keda mõjutab?

• Eestis tegevusloa või registreeringu alusel tegutsevaid finantsasutusi.

Mis on olulisemad plaanitavad muudatused?

• Finantsasutusel on kohustus teavitada nii Finantsinspektsiooni kui ka RIA-t tõsistest info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest ning soovi korral olulistest küberohtudest (vt eelnõu § 4 p 7, § 5 p 6, § 7 p 5, § 8 p 16, § 9 p 3, § 10 p 11 ja p 19 ). Varasemalt puudus erinevatest regulatsioonidest kohustus, mis käsitleb info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest ja küberohtudest teavitamist.
• Finantsasutus peab regulaarselt testima ettevõtte digitaalset tegevuskerksust (vt eelnõu  § 7 p 4, § 8 p 10, § 10 p 10). Varasemalt see nõutud ei olnud.
• Finantsasutus peab  juhtima kolmandast isikust IKT teenuseosutajaga seotud riske, sealhulgas järgima finantsasutuse ja kolmandast isikust IKT teenuseosutaja vahelistele lepingutele kohalduvaid põhimõtteid (vt täpsemalt eelnõu § 1 p 3 ja 6, § 7 p 7). Varasemalt seda nõuet kehtestatud ei olnud Finantskriisi ennetamise ja lahendamise seaduses.
• Eelnõu kohaselt peab finantsasutus kehtestama tõhusa ja usaldusväärse IKT-riskide juhtimisraamistiku, mis on dokumenteeritud ja auditeeritud, võimaldades IKT-ga seotud riske kiiresti ja tõhusalt juhtida (vt eelnõu § 4 p 4, § 5 p 5 ja p 10, § 7 p 4, § 8 p 10, § 10 p 10 ja p 17).
• Muudatuste kohaselt peavad finantsasutused välja töötama talituspidevuse plaani majandustegevuse taastamise ja jätkuvuse tagamiseks (vt eelnõu § 4 p 4, § p 5 ja 10 ja § 7 p 4).
• Eelnõu kohaselt võib Finantsinspektsioon nõuda, et krediidiasutus abistaks temaga ühte konsolideerimisgruppi kuuluvat isikut ja krediidiasutus peab Finantsinspektsioonile esitama teavet, mis on kriisilahenduskava koostamiseks ja rakendamiseks vajalik. Finantsinspektsioonile on vaja esitada andmed ka kriitilise tähtsusega kolmandast isikust info- ja tehnoloogiateenuse osutajate kohta ning digitaalse tegevuskerksuse testi tulemused (vt eelnõu § 1 p 3).
• Plaanitava muudatuse kohaselt peab finantsasutuse kriisilahenduskava sisaldama informatsiooni selle kohta, millised on võimalused kriitiliste funktsioonide ja põhiäriliinide õiguslikult ja majanduslikult teistest funktsioonidest eraldamiseks, et tagada krediidiasutuse maksejõuetuse korral tema tegevuse jätkumine ja ka digitaalne tegevuskerksus. Ühtlasi peab kavas sisalduma informatsioon finantsasutuste süsteemide kohta (vt eelnõu § 1 p 4 ja 5).
• Fondivalitsejal on kohustus teavitada nii Finantsinspektsiooni kui ka Riigi Infosüsteemi Ametit (RIA) tõsistest info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest ning soovi korral olulistest küberohtudest (vt eelnõu § 4 p 2 ja 7).
• Eelnõu kohaselt peab kolmanda riigi kindlustusandja Eestis filiaali asutamise loa taotlemisel esitama Finantsinspektsioonile äriühingu põhikirja või ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal (vt lähemalt eelnõu § 5 p 1 ja 2).
• Plaanitava muudatuse kohaselt ei ole lubatud enam kindlustusandjate piiriülene ümberkujundamine (vt eelnõu § 5 p 7).
• Eelnõu kohaselt makseasutuses ja e-raha asutuses peab sise-eeskirjadega kehtestama intsidentidest teatamise korra, mis on seotud info- ja kommunikatsiooniteenustega (vt eelnõu § 8 p 9).
• Eelnõu kohaselt kehtestatakse piirang, mille kohaselt võib e-raha asutus tegutseda üksnes aktsiaseltsina, kui ta osutab mh makseteenuseid. Kehtiva seaduse kohaselt saab e-raha asutus osutada teatud makseteenuseid osaühinguna, kuigi makseasutus peab samade teenuste osutamiseks olema aktsiaselts (vt lähemalt eelnõu § 8 p 11).
• Plaanitava muudatuse kohaselt makseteenuste osutamise tegevusloa taotlemisel tuleb Finantsinspektsioonile muu hulgas esitada info- ja kommunikatsiooniteenuste kasutamise kord (vt eelnõu § 8 p 12). Kehtivas seaduses see nõutud ei ole.

Millal jõustuvad muudatused?
Plaanitavad muudatused jõustuvad 17. jaanuaril 2025 .a.

Anna teada, mida arvad plaanitavatest muudatustest. Tagasisidet ootan hiljemalt 11. detsembriks e-posti aadressile martin@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille saadan rahandusministeeriumile