Projekta ID
25-TA-1597Atzinuma sniedzējs
Latvijas Finanšu nozares asociācija
Atzinums iesniegts
18.07.2025.
Saskaņošanas rezultāts
Saskaņots ar priekšlikumiem
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Likumprojekts (grozījumi)
Priekšlikums
Lūdzam precizēt 8. punkta k1) apakšpunktu (skatīt piedāvāto redakciju).
Piedāvātajai normas redakcijai ir būtiska loma kiberdrošības regulējuma loģiskā un samērīgā strukturēšanā finanšu sektorā. Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (turpmāk – DORA) un ar to saistītie grozījumi Kapitāla prasību direktīvā paredz, ka kredītiestāžu grupas ievieš IKT risku pārvaldību un incidentu ziņošanas kārtību – tostarp meitas sabiedrībās – uz konsolidēta vai subkonsolidēta pamata. Praktiski tas nozīmē, ka līzinga, faktorings un citas banku meitas sabiedrības jau ietilpst mātes kredītiestādes iekšējā kontroles un uzraudzības ietvarā, un incidenti tiek apkopoti un ziņoti Latvijas Bankai vai mātes bankas mītnes valsts uzraugam. Ja nacionālajā likumā šādas kredītiestāžu meitas sabiedrības tiktu pakļautas atsevišķam Nacionālā kiberdrošības centra regulējumam, radītos absurda dubultās uzraudzības situācija. Proti, viena un tā pati grupa turpinātu incidentus ziņot Latvijas Bankai, bet tajā pašā laikā tās meitas sabiedrībai būtu jāziņo par tiem pašiem incidentiem vēl vienam uzraugam – Nacionālajam kiberdrošības centram. Tiktu uzturēti divi procesu kopumi un vairāki ziņošanas kanāli identiska satura informācijai, veidojot administratīvu slogu, kavējot reakciju un radot risku neatbilstībām datu konsistencē.
Savukārt licencētās patērētāja kreditēšanas sabiedrības, kas nav kredītiestādes vai to meitassabiedrības, uz DORA un konsolidētās uzraudzības prasībām neattiecas, tomēr tās darbojas ar tikpat digitāli intensīviem procesiem kā kredītiestādes vai to meitas sabiedrības, piemēram patērētāju kreditēšanas jomā. Šim segmentam vēl aizvien trūkst skaidra, sektoram pielāgota kiberdrošības ietvara, un nacionālā regulējuma vakuums var atstāt viņu klientus neaizsargātus pret pakalpojumu nepieejamību, krāpniecību un datu noplūdēm. Iekļaujot tieši šīs sabiedrības normas tvērumā, likumdevējs aizver “caurumu” kiberdrošībā, vienlaikus izvairoties no dubultas uzraudzības banku grupām.
Tāpēc piedāvātā redakcija, ar kuru patērētāja kreditēšanas pakalpojumu sniedzēji tiek iekļauti likuma subjekta lokā, bet kredītiestāžu meitas sabiedrības netiek uzraudzītas dubultā, nodrošina vienotu DORA piemērošanu kredītiestāžu grupās, samazina birokrātiju, stiprina klientu aizsardzību un ļauj uzraugiem saņemt precīzu, savlaicīgu un pilnīgu informāciju par kredītiestāžu un to meitassabiedrību digitālo noturību.
Piedāvātajai normas redakcijai ir būtiska loma kiberdrošības regulējuma loģiskā un samērīgā strukturēšanā finanšu sektorā. Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (turpmāk – DORA) un ar to saistītie grozījumi Kapitāla prasību direktīvā paredz, ka kredītiestāžu grupas ievieš IKT risku pārvaldību un incidentu ziņošanas kārtību – tostarp meitas sabiedrībās – uz konsolidēta vai subkonsolidēta pamata. Praktiski tas nozīmē, ka līzinga, faktorings un citas banku meitas sabiedrības jau ietilpst mātes kredītiestādes iekšējā kontroles un uzraudzības ietvarā, un incidenti tiek apkopoti un ziņoti Latvijas Bankai vai mātes bankas mītnes valsts uzraugam. Ja nacionālajā likumā šādas kredītiestāžu meitas sabiedrības tiktu pakļautas atsevišķam Nacionālā kiberdrošības centra regulējumam, radītos absurda dubultās uzraudzības situācija. Proti, viena un tā pati grupa turpinātu incidentus ziņot Latvijas Bankai, bet tajā pašā laikā tās meitas sabiedrībai būtu jāziņo par tiem pašiem incidentiem vēl vienam uzraugam – Nacionālajam kiberdrošības centram. Tiktu uzturēti divi procesu kopumi un vairāki ziņošanas kanāli identiska satura informācijai, veidojot administratīvu slogu, kavējot reakciju un radot risku neatbilstībām datu konsistencē.
Savukārt licencētās patērētāja kreditēšanas sabiedrības, kas nav kredītiestādes vai to meitassabiedrības, uz DORA un konsolidētās uzraudzības prasībām neattiecas, tomēr tās darbojas ar tikpat digitāli intensīviem procesiem kā kredītiestādes vai to meitas sabiedrības, piemēram patērētāju kreditēšanas jomā. Šim segmentam vēl aizvien trūkst skaidra, sektoram pielāgota kiberdrošības ietvara, un nacionālā regulējuma vakuums var atstāt viņu klientus neaizsargātus pret pakalpojumu nepieejamību, krāpniecību un datu noplūdēm. Iekļaujot tieši šīs sabiedrības normas tvērumā, likumdevējs aizver “caurumu” kiberdrošībā, vienlaikus izvairoties no dubultas uzraudzības banku grupām.
Tāpēc piedāvātā redakcija, ar kuru patērētāja kreditēšanas pakalpojumu sniedzēji tiek iekļauti likuma subjekta lokā, bet kredītiestāžu meitas sabiedrības netiek uzraudzītas dubultā, nodrošina vienotu DORA piemērošanu kredītiestāžu grupās, samazina birokrātiju, stiprina klientu aizsardzību un ļauj uzraugiem saņemt precīzu, savlaicīgu un pilnīgu informāciju par kredītiestāžu un to meitassabiedrību digitālo noturību.
Piedāvātā redakcija
“k1) kapitālsabiedrība, kura saņēmusi speciālu atļauju (licenci) patērētāja kreditēšanas pakalpojuma sniegšanai (izņemot Latvijas Republikā licencētas kredītiestādes vai citā Eiropas Savienības vai Eiropas Ekonomikas zonas valstī licencētas (reģistrētas) kredītiestādes meitas sabiedrību);”