DORA (EU 2022/2554), joka tunnetaan paremmin finanssialan digitaalista häiriönsietökykyä koskevana EU:n asetuksena, astui osittain voimaan jo 16. tammikuuta 2023, mutta astuu täysmääräisesti voimaan 17. tammikuuta 2025 alkaen. Sen tavoitteena on digitaalisen häiriönsietokyvyn parantaminen.
Asetuksen tarkoitus on vahvistaa finanssiyksiköiden tietoturvaa varmistaen samalla, että EU-alueella rahoituslaitokset pysyvät joustavina vakavien toimintahäiriöiden sattuessa. Se kattaa kaikki finanssiyksiköt, paitsi suomalaiset työeläkeyhtiöt, jotka jäävät EU-lainsäädännön ulkopuolelle.
Asetuksessa viitataan nimenomaisesti finanssialan tieto- ja viestintätekniikan (TVT) riskeihin. TVT-häiriöt ja toiminnan häiriönsietokyvyn puute voivat mahdollisesti vaarantaa koko rahoitusjärjestelmän vakauden. Digitaalisen häiriönsietokyvyn testaus on siis tärkeässä asemassa.
Siksi DORA asettaakin yhdenmukaisia vaatimuksia, jotka koskevat rahoituslaitosten liiketoimintaprosesseja tukevien TVT-palveluiden turvallisuutta.
Asetusta sovelletaan suhteellisuusperiaatetta noudattaen, jolloin DORA-velvoitteet mukautuvat rahoituslaitoksen kokoon ja toimintaympäristöön.
DORA (eli digital operational resilience act) yhdenmukaistaa finanssialan digitaalisten operaatioiden häiriönsietökykyä koskevia määräyksiä. DORA-asetusta sovelletaan 20 erityyppisiin rahoituslaitoksiin. Joukkoon kuuluvat mm. perinteiset pankit, sijoituspalveluyritykset ja luottolaitokset sekä muut vähemmän perinteiset yhteisöt, kuten kryptovaluutat ja joukkorahoitukset.
Erityisesti DORA asetus ulottuu myös kolmannen osapuolen kolmansien osapuolten TVT-palveluntarjoajiin, jotka tukevat rahoituslaitosten toimintaa. Näitä ovat esimerkiksi luottoluokituspalvelut ja data-analyysipalvelujen tarjoajat.
Näin asetuksen soveltamisala kattaa myös kriittiset tietopalvelut, jotka voivat vaikuttaa rahoitusalan toimintavarmuuteen.
Kuten kaikki muutkin elämän osa-alueet, finanssialakin on yhä riippuvaisempia teknologiasta. Erityisesti rahalaitokset ovat alttiita tietoverkkohyökkäyksille, jotka voivat johtaa rahoituspalveluiden toimintoihin jopa yli maiden rajojen. Tällä voi olla vaikutusta myös muihin yrityksiin, toimialoihin ja muuhun talouteen, mikä vain entisestään korostaa rahoitusalan digitaalisen sietokyvyn ja kestävyyden merkitystä.
Suomessa ei ole erillistä kyberturvallisuuslainsäädäntöä, vaan ainoastaan laki sähköisen viestinnän palveluista (14/917), jonka tavoitteena on edistää sähköisen viestinnän palvelujen tarjontaa ja käyttöä sekä varmistaa, että viestintäverkkoja- palveluita on kohtuullisin ehdoin jokaisen saatavilla koko maassa.
Kyseisellä lailla myös varmistetaan, että viestintäverkot ja -palvelut ovat teknisesti kehittyneitä, laadultaan hyviä, toimintavarmoja ja turvallisia sekä hinnaltaan edullisia. Tavoitteena on myös turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen.
Suomessa tietysti sovellettiin myös verkko- ja tietoturvadirektiiviä (NIS-direktiivi), jonka kohteena ovat kriittiset infrastruktuurin tarjoajien ja toimijoiden tietoturvavelvollisuuksista sekä tietoturvahäiriöstä ilmoittamisesta.
23.5.2024, hallitus antoi eduskunnalle esityksen NIS2-direktiivin kansallisesta täytäntöönpanosta, jonka tavoitteena on vahvistaa EU:n ja sen jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla. NIS2, joka korvaa aiemman NIS-direktiivin, on tullut soveltaa 18.10.2024 lähtien.
Erona kansallisella sekä EU-tason kyberturvallisuuslainsäädäntöön on se, että DORA on ainoa, joka on erikseen kohdennettu tietylle spesifille sektorille.
Lisäksi DORA kannustaa finanssialan sektorin toimijoita yhteistyöhön TVT palvelujen riskien vähentämiseksi. Merkittävänä osana yhteistyötä olisi tietotaidon jakaminen rahoituslaitosten kesken.
Kuten aikaisemmin mainittu, DORA asetus (operational resilience act DORA) noudattaa suhteellisuusperiaatetta, mikä tarkemmin ottaen tarkoittaa kyseisen asetuksen täytäntöönpanon suhteuttamisen yrityksen kokoon, riskiprofiiliin sekä sen palveluiden luonteeseen, laajuuteen ja teknisyyteen.
Kunkin rahoituslaitoksen johtoelimellä on viime kädessä vastuu kaikesta TVT-riskienhallinnasta, mutta myös sen edellyttämien järjestelyjen valvonnasta ja täytäntöönpanosta.
Raamit, jotka DORA asettaa finanssisektorille, sisältävät mukaan lukien kattavan strategian, käsittelytavan sekä ns. muut työkalut myös TVT-infrastruktuurin että fyysisen omaisuuden suojaamiseksi.
Käytössä olevien järjestelmien on oltava tarkoituksenmukaisia, luotettavia ja teknisesti kestäviä. Vuosittaiset tarkastukset, auditoinnit sekä riskiarvioinnit ovat pakollisia suorittaa.
Lisäksi DORA asetus edellyttää, että rahoituslaitoksella on oltava määritellyt ja implementoidut tieto- ja viestintätekniikkaan liittyvien vaaratilanteiden hallintaprosessit, joidenka avulla vaaratilanteet havaitaan ajoissa. Rahoituslaitokset ovat velvollisia ilmoittamaan kaikista merkittävistä tapahtumista asianomaisille toimivaltaisille viranomaisille.
17.1.2025 mennessä kaikkien rahoituslaitosten ja kolmansien osapuolten finanssialan TVT- palvelujen tarjoajien tulee noudattaa DORA-regulaatiota. Viranomaisilla ovat täydet valvonta- ja tutkintavaltuudet sekä he voivat aloittaa seuraamustoimet, mikäli rikkomuksia ilmenee. Siihen asti Euroopan komissio jatkaa kriittisten TVT-palveluntarjoajien valvontakehyksien valmistelua.
Euroopan valvontaviranomaiset (eng. ESAs) julkaisivat 17.7.2024 toisen erän toimintaperiaatteita. Ensimmäinen erä julkaistiin tammikuussa. Uusi erä koostuu neljästä teknisten sääntelystandardien luonnoksesta, yhdestä täytäntöönpanostandardista sekä kahdesta ohjeesta, jolla pyritään parantamaan finanssisektorin digitaalista toimintavarmuutta. Paketissa keskitytään TVT-vaaratilanteiden raportointikehykseen, jotta raportointi olisi aina selkeää. Lisäksi paketti käsittää TVT-uhkien läpipääsyä koskevan testauksen.
Käyttöönotetaan myös joitakin valvontakehyksen suunnittelua koskevia vaatimuksia, joilla parannetaan rahoituslaitosten digitaalista häiriösietokykyä sekä toimintavarmuutta. Näin pyritään varmistamaan, että rahoituspalvelut voivat toimia taukoamatta sekä turvallisesti ja, että asiakkailla olisi keskeyttämätön pääsy palveluihin.
Olemme valmiita tukemaan sinua kaikissa DORA-asetukseen liittyvissä kysymyksissä, kuten vaatimusten kartoituksessa, riskienhallinnan kehittämisessä ja raportointivaatimusten valmistelussa. Ota yhteyttä tästä linkistä asiantuntijoihimme saadaksesi lisätietoja ja räätälöityjä ratkaisuja tarpeisiisi.