Kaj je DORA?
Akt o digitalni operativni odpornosti — znan kot DORA — je Uredba (EU) 2022/2554, ki sta jo Evropski parlament in Svet sprejela 14. decembra 2022. EU jo je objavila v Uradnem listu 27. decembra 2022. V veljavo je stopila 16. januarja 2023, v celoti pa se uporablja od 17. januarja 2025.
DORA obravnava specifično vrzel v finančni regulativi EU. Pred DORA so finančne institucije operativno tveganje upravljale predvsem z oblikovanjem kapitalskih rezerv. Vendar ta pristop ni ustrezno pokrival motenj, povezanih z IKT, ki lahko ob izpadu skupnega tehnološkega ponudnika hkrati prizadenejo številne institucije. Zato DORA uvaja enoten okvir v celotni EU za upravljanje tveganj IKT, poročanje o incidentih, testiranje operativne odpornosti in nadzor nad tretjimi ponudniki tehnologije.
Kdo mora biti skladen z DORA?
DORA se uporablja za dve glavni skupini organizacij, ki v finančnem sektorju zagotavljajo storitve informacijske in komunikacijske tehnologije (IKT).
Prva skupina so finančni subjekti. Sem sodijo kreditne institucije, plačilne institucije, institucije za izdajo elektronskega denarja, investicijska podjetja, zavarovalnice in pozavarovalnice, ponudniki storitev v zvezi s kriptosredstvi, centralni depotni sistemi, centralne nasprotne stranke in trgovalna mesta, med drugim, kot je navedeno v členu 2 uredbe.
Druga skupina so tretji ponudniki storitev IKT — podjetja, ki finančnim subjektom zagotavljajo tehnološke storitve. V to skupino sodijo ponudniki računalništva v oblaku, razvijalci programske opreme, podjetja za podatkovno analitiko, podjetja za kibernetsko varnost, ponudniki podatkovnih centrov in kateri koli drug ponudnik, katerega storitve podpirajo poslovanje regulirane finančne institucije.
Pomembno je, da DORA zajema tudi ponudnike IKT s sedežem zunaj EU. Če tehnološko podjetje iz Združenih držav, Združenega kraljestva ali Azije zagotavlja storitve finančnim institucijam, ki jih regulira EU, se DORA uporablja za to razmerje.
Zahteva glede LEI v okviru DORA
DORA od finančnih subjektov zahteva, da vodijo podroben register informacij, ki zajema vse njihove tretje ponudnike storitev IKT. Izvedbena uredba Komisije (EU) 2024/2956, objavljena 2. decembra 2024, določa standardne predloge za ta register.
Člen 3(5) te izvedbene uredbe izrecno določa:
“Finančni subjekti za identifikacijo vseh svojih tretjih ponudnikov storitev IKT, ki so pravne osebe, razen posameznikov, ki delujejo v okviru poslovne dejavnosti, uporabijo veljaven in aktiven identifikator pravne osebe (LEI) ali evropski enotni identifikator iz člena 16 Direktive (EU) 2017/1132 (‘EUID’) ter, kjer sta na voljo, oba identifikatorja.”
Z drugimi besedami: vsak tretji ponudnik IKT, ki je pravna oseba, mora biti identificiran bodisi z veljavnim in aktivnim LEI bodisi z EUID. Oba morata biti aktualna. Pretečen ali potekel LEI te zahteve ne izpolnjuje.
LEI ali EUID — kateri velja za vas?
Oba identifikatorja izpolnjujeta zahteve DORA, vendar pokrivata različne primere. Razumevanje razlike vam pomaga izbrati pravilno.
LEI (Legal Entity Identifier) je globalno priznan 20-mestni alfanumerični kodeks, ki temelji na standardu ISO 17442. Global Legal Entity Identifier Foundation (GLEIF) upravlja Globalni sistem LEI in vse podatke LEI javno objavlja v Globalnem indeksu LEI. LEI zajema pravne osebe v več kot 200 jurisdikcijah ter vključuje tudi podatke o lastništvu in nadzoru.
EUID (European Unique Identifier) je povezan s sistemom povezovanja poslovnih registrov EU (BRIS). Ker se povezuje izključno z nacionalnimi registri EU, zajema le subjekte, registrirane v državah članicah EU.
Izvedbena uredba tu določa ključno razliko: ponudniki IKT, ustanovljeni zunaj EU, morajo biti identificirani izključno z LEI. EUID za subjekte zunaj EU preprosto ni na voljo. Posledično je LEI edini veljaven identifikator za vsakega ponudnika, ki deluje zunaj EU.
Za ponudnike s sedežem v EU je ustrezen kateri koli identifikator. Vendar je za globalno poslovanje ali ponudnike z izpostavljenostjo zunaj EU LEI boljša izbira zaradi mednarodnega priznanja in širšega nabora podatkov.
Kaj v praksi pomeni »veljaven in aktiven«
Izvedbena uredba izrecno zahteva veljaven in aktiven LEI. To se nanaša na status, ki je prikazan v globalni podatkovni zbirki GLEIF.
LEI s statusom “Issued” je veljaven in aktiven ter zato izpolnjuje zahteve DORA. LEI s statusom “Lapsed” je potekel in posledično zahteve ne izpolnjuje. Finančni subjekti v svojem registru informacij ne morejo evidentirati poteklega LEI kot skladnega identifikatorja.
LEI ostane veljaven eno leto od datuma izdaje ali zadnje obnove. Po tem ga mora imetnik obnoviti, da ohrani aktiven status. Med obnovo izdajateljska organizacija ponovno preveri referenčne podatke subjekta — vključno s pravnim imenom, registriranim naslovom in lastniško strukturo — glede na uradne registre. Ta postopek zagotavlja, da podatki v globalni podatkovni zbirki LEI ostanejo točni in ažurni.
Status katerega koli LEI lahko preverite z orodjem za iskanje LEI pri GLEIF ali prek iskanja v LEI System.
Zakaj je LEI praktični standard za skladnost z DORA
Regulatorji DORA so izbrali LEI, ker rešuje težavo, ki je ne more rešiti noben nacionalni identifikator: dosledno, čezmejno identifikacijo pravnih oseb v enotni, globalno priznani obliki.
Nacionalne registrske številke podjetij se med državami močno razlikujejo, niso vedno strojno berljive in sploh ne pokrivajo subjektov zunaj EU. LEI pa zagotavlja eno enotno kodo za katero koli pravno osebo, ne glede na to, kje je ustanovljena. Poleg tega so podatki LEI javno dostopni in preverljivi, zato lahko finančne institucije takoj preverijo podatke o ponudniku, ne da bi zahtevale dokumente.
Za finančne institucije, ki upravljajo številne dobavitelje IKT v različnih državah, ta standardizacija bistveno zmanjša administrativno kompleksnost skladnosti z DORA. En sam vpogled v LEI zagotovi preverjene informacije o pravnem imenu ponudnika, registracijskih podatkih in lastniški strukturi — vse to je neposredno relevantno za obveznosti DORA glede upravljanja tveganj pri tretjih osebah.
Za ponudnike IKT je imeti veljaven LEI preprost način, da jih lahko stranke iz finančnih institucij pravilno vključijo v svoj register DORA. Ponudniki brez veljavnega LEI pa svojim strankam ustvarjajo vrzeli v skladnosti in s tem tvegajo poslabšanje poslovnega odnosa. GLEIF ponuja dodatni kontekst o tem, kako LEI to podpira, v svojem pregledu regulativne uporabe LEI.
Kaj naj ponudniki IKT storijo zdaj
Preverite, ali imate veljaven LEI. Če zagotavljate storitve IKT kateri koli finančni instituciji, ki jo regulira EU, vas mora stranka identificirati v svojem registru informacij DORA. Obrnite se nanje, da potrdite, ali so zabeležili vaš LEI in ali je trenutno aktiven.
Registrirajte LEI, če ga nimate. Postopek je v celoti digitalen in se v večini jurisdikcij zaključi v 24 urah. Predložiti morate pravno ime podjetja, registrirani naslov in registrsko številko. V večini primerov sistem te podatke samodejno preveri v uradnih poslovnih registrih. LEI System je akreditirani registracijski agent GLEIF. Svojo registracijo LEI lahko začnete še danes.
Obnovite LEI, če je potekel. Potekli LEI je treba obnoviti, preden ga lahko vaše stranke uporabijo v registru DORA. Obnova ponovno vzpostavi status “Issued” in znova potrdi referenčne podatke vašega podjetja. Svoj LEI lahko hitro obnovite prek LEI System.
Poskrbite, da bodo podatki LEI posodobljeni. Če so se spremenili ime podjetja, registrirani naslov ali lastniška struktura, ustrezno posodobite referenčne podatke LEI. Zastareli podatki LEI povzročajo zaplete pri skladnosti za vaše stranke iz finančnih institucij, ko register predložijo nacionalnim organom.
DORA v kontekstu širše regulative EU
DORA ne deluje izolirano. Umešča se ob druge uredbe EU, ki prav tako uporabljajo LEI kot standardni identifikator pravnih oseb, vključno s poročanjem o transakcijah MiFID II, poročanjem o izvedenih finančnih instrumentih EMIR in Uredbo EU o takojšnjih plačilih. Za finančne subjekte, ki LEI že uporabljajo za poročanje o transakcijah, DORA zato dodaja dodatno razsežnost, ne pa povsem novega sistema.
Poleg tega se DORA neposredno povezuje z Direktivo NIS2 (Direktiva (EU) 2022/2555) o kibernetski varnosti. DORA deluje kot sektorsko specifičen akt v okviru NIS2 za finančne subjekte. Več o NIS2 in LEI lahko preberete v članku NIS2 in LEI na tem spletnem mestu. Za širši pregled delovanja LEI v finančni regulativi EU glejte Kako LEI v praksi deluje v EU.
DORA in LEI — ključna dejstva na kratko
Kaj je DORA? Uredba (EU) 2022/2554 o digitalni operativni odpornosti za finančni sektor.
Kdaj se je DORA začela uporabljati? 17. januarja 2025.
Kdo mora biti skladen? Finančni subjekti EU in njihovi tretji ponudniki storitev IKT, vključno s ponudniki zunaj EU, ki zagotavljajo storitve finančnim institucijam EU.
Kaj DORA zahteva za identifikacijo ponudnikov IKT? Veljaven in aktiven LEI ali EUID, kot je določeno v Izvedbeni uredbi Komisije (EU) 2024/2956.
Kateri identifikator velja za ponudnike IKT zunaj EU? Samo LEI. EUID zajema le subjekte, registrirane v EU.
Kateri status LEI izpolnjuje zahteve DORA? Samo “Issued”. LEI s statusom “Lapsed” zahteve ne izpolnjuje.
Kje lahko registriram ali obnovim LEI? Prek akreditiranega registracijskega agenta GLEIF, kot je LEI System.