Mikä ihmeen DORA-asetus?

Digital Operational Resilience Act (DORA) on Euroopan unionin uusi sääntelykehystys, joka pyrkii vahvistamaan digitaalista toimintakykyä ja vastustuskykyä rahoitussektorilla. DORA-asetus on osa laajempaa ponnistusta, jolla varmistetaan, että finanssialan yritykset voivat selviytyä ja toimia tehokkaasti digitaalisessa ympäristössä.

DORA-asetus keskittyy erityisesti rahoitusalan toimijoiden operatiivisen toimintakyvyn parantamiseen. Tämä tarkoittaa sitä, että asetus pyrkii varmistamaan, että pankit, vakuutusyhtiöt ja muut rahoituslaitokset ovat riittävän vahvoja ja valmiita vastaamaan digitaalisiin uhkiin ja häiriöihin, kuten kyberhyökkäyksiin, tietoturvaongelmiin ja teknisiin häiriöihin.

Keskeisiä elementtejä DORA-asetuksessa ovat:

Operatiivisen toimintakyvyn hallinta: Asetus edellyttää rahoituslaitoksia kehittämään ja ylläpitämään tehokkaita operatiivisen toimintakyvyn hallintajärjestelmiä. Tämä auttaa varmistamaan, että ne voivat jatkuvasti tarjota palveluitaan asiakkaille ja toimia vakaina ja luotettavina.

Tietoturva ja tietosuoja: DORA-asetus korostaa tietoturvan ja tietosuojan merkitystä. Rahoituslaitoksilta vaaditaan asianmukaista tietoturvasuunnittelua ja -valvontaa sekä velvoite ilmoittaa viranomaisille merkittävistä tietoturva- ja tietosuojarikkomuksista.

Kolmannet osapuolet: Asetus koskee myös kolmansia osapuolia, kuten IT-palveluntarjoajia ja pilvipalveluntarjoajia, jotka toimittavat palveluita rahoituslaitoksille. Nämä kolmannet osapuolet ovat velvollisia noudattamaan tiukempia turvallisuus- ja luotettavuusvaatimuksia.

Valvonta ja raportointi: DORA-asetus vahvistaa valvontaviranomaisten roolia ja antaa niille lisää valtuuksia valvoa rahoituslaitosten toimintaa. Rahoituslaitosten odotetaan myös raportoivan säännöllisesti operatiivisen toimintakyvyn hallinnastaan ja tietoturvastaan.

Miksi DORA-asetus on tärkeä?

DORA-asetus on tärkeä monesta syystä. Ensinnäkin, digitaalisen toimintakyvyn ja vastustuskyvyn vahvistaminen on elintärkeää rahoitussektorille, joka on yhä riippuvaisempi teknologiasta ja digitaalisista järjestelmistä. Yhä useammat rahoituspalvelut tarjotaan verkossa, ja asiakkaat odottavat niiden olevan saatavilla 24/7. Tämän vuoksi rahoituslaitosten on oltava valmiita torjumaan digitaalisia uhkia ja ylläpitämään palveluidensa saatavuutta.

Toiseksi, DORA-asetus pyrkii suojelemaan rahoitusjärjestelmän vakautta. Rahoitusalan toimijat ovat keskeisiä talouden toimijoita, ja niiden vakavat häiriöt voivat aiheuttaa laajempia taloudellisia ongelmia. Asetuksen avulla pyritään varmistamaan, että rahoituslaitokset eivät ole haavoittuvia digitaalisille hyökkäyksille tai teknisille ongelmille, jotka voisivat horjuttaa koko järjestelmää.

DORA-asetus koskee yli 22 000 rahoitusalan toimijaa ja ICT-alan palveluntarjoajaa EU:n alueella. Asetuksen myötä otetaan käyttöön erityisiä ja oikeudellisesti sitovia vaatimuksia, jotka koskevat kaikkia rahoitusalan toimijoita, kuten pankkeja, sijoituspalveluyrityksiä, vakuutusyhtiöitä ja -edustajia sekä kryptovaluutan, tietopalvelujen ja pilvipalvelujen tarjoajia.

Kolmanneksi, DORA-asetus edistää yhtenäisyyttä ja yhdenvertaisuutta rahoitusalan toimijoiden kesken Euroopan unionissa. Se luo yhteiset pelisäännöt ja standardit, joita kaikkien on noudatettava, mikä vähentää kilpailun vääristymiä ja lisää markkinoiden luottamusta.

DORA tarjoaa kattavat puitteet kolmansien osapuolten tarjoamiin ICT-palveluihin liittyvien riskien hallintaan sekä kyberturvallisuuden parantamiseen, jotta tarjottujen palvelujen yhdenmukaisuus voidaan varmistaa koko arvoketjussa.

Milloin DORA-asetus astuu voimaan?

DORA-asetus astui voimaan 16.1.2023. Kahden vuoden siirtymäajan jälkeen rahoitusalan toimijoiden odotetaan noudattavan asetuksen vaatimuksia vuoden 2025 alkuun mennessä.

Euroopan komissio julkaisi 24.9.2020 luonnoksen rahoitusalan digitaalista häiriönsietokykyä koskevasta asetuksesta (Digital Operational Resilience Act, DORA) osana Digitaalisen rahoituksen pakettia (Digital Finance Package, DFP).

Sen jälkeen, kun Euroopan parlamentti ja neuvosto olivat julkaisseet DORA-asetusta koskevat ehdotuksensa, lainsäätäjät kävivät poliittisia ja teknisiä kysymyksiä käsitteleviä kolmikantaneuvotteluja koko vuoden 2022 ensimmäisen puoliskon ajan. Euroopan neuvosto hyväksyi DORA-asetuksen 28.11.2022 sen jälkeen, kun Euroopan parlamentti oli äänestänyt sen puolesta 10.11.2022.

DORA-asetus astui voimaan 16.1.2023. Euroopan valvontaviranomaiset kehittävät parhaillaan ensimmäisiä siihen liittyviä teknisiä sääntely- ja täytäntöönpanostandardeja.

Euroopan valvontaviranomaiset määrittelevät ja antavat useita asetukseen liittyviä teknisiä sääntely- ja täytäntöönpanostandardeja. Lisäksi Euroopan valvontaviranomaiset antavat rahoitusalan toimijoille tietoa ja ohjeita siitä, miten tietyt DORA-asetuksen vaatimukset täytetään.

DORA-asetukseen liittyvät vaatimukset ovat täytäntöönpanokelpoisia 24 kuukautta niiden voimaantulon jälkeen, eli rahoitusalan toimijoiden odotetaan noudattavan DORA-asetuksen vaatimuksia vuoden 2025 alkuun mennessä.

DORA-asetuksen keskeiset osa-alueet

ICT-riskienhallinta

Rahoitusalan toimijoiden on otettava käyttöön kattava ICT-riskienhallintajärjestelmä ja:

  • Perustettava sekä ylläpidettävä luotettavia ICT-järjestelmiä ja -työkaluja, jotka minimoivat ICT-palveluihin liittyvien riskien vaikutukset.
  • Tunnettava, luokiteltava ja dokumentoitava kriittiset toimintonsa ja resurssinsa.
  • Seurattava jatkuvasti kaikkia ICT-riskien lähteitä ja määriteltävä toimenpiteet riskien torjumiseksi ja ennaltaehkäisemiseksi.
  • Varmistettava nopeat havainnot poikkeavasta toiminnasta.
  • Määriteltävä kattavat toimintaperiaatteet liiketoiminnan jatkuvuuden takaamiseksi ja laatia toimintasuunnitelma katastrofien varalle.  Suunnitelmien ja niihin liittyvien toimintojen toimivuus on testattava vuosittain.
  • Määriteltävä menettelytavat, jotka auttavat oppimaan sekä sisäisistä että ulkoisista ICT-palveluihin liittyvistä häiriötilanteista.
  • Raportoitava ICT-palveluihin liittyvistä häiriötilanteista.

Rahoitusalan toimijoiden on:

  • Kehitettävä tehokas prosessi kaikkien ICT-palveluihin liittyvien häiriötilanteiden kirjaamiseen ja luokittelemiseksi sekä määriteltävä kaikki merkittäviksi häiriötilanteiksi luokiteltavat tapahtumat DORA-asetuksen ja Euroopan valvontaviranomaisten (EBA, EIOPA ja ESMA) kriteerien mukaisesti.
  • Toimitettava sekä alustava että väli- ja loppuraportti ICT-palveluihin liittyvistä häiriötilanteista.
  • Yhdenmukaistettava ICT-palveluihin liittyvistä häiriötilanteista raportoiminen Euroopan valvontaviranomaisten kehittämien mallien avulla.
  • Testattava digitaalinen häiriönsietokyky.

Dora-asetus edellyttää, että kaikki toimijat:

  • Suorittavat vuosittain ICT-työkalujen ja -järjestelmien perustestauksen.
  • Tunnistavat, lieventävät ja poistavat välittömästi kaikki havaitut haavoittuvuudet ja puutteet toteuttamalla tarvittavat vastatoimet.
  • Suorittavat säännöllisesti kattavamman testauksen (Threat-Led Penetration Testing, TLPT) ICT-palveluille, jotka vaikuttavat kriittisiin toimintoihin. Kolmansien osapuolten, jotka tarjoavat ICT-palveluita, on osallistuttava testaukseen ja toimittava täysimääräisessä yhteistyössä.
  • Toteutettava myös kolmansien osapuolten tarjoamiin ICT-palveluihin liittyvien riskien arviointia ja hallintaa.

Rahoitusalan toimijoiden on:

  • Seurattava tehokkaasti riskejä, jotka liittyvät kolmansien osapuolten tarjoamiin ICT-palveluihin.
  • Ilmoitettava kaikki ulkoistetut toimet, mukaan lukien konsernin sisäiset palvelut ja mahdolliset muutokset, jotka vaikuttavat kriittisten TVT-palvelujen ulkoistamiseen kolmansille osapuolille.
  • Otettava huomioon IT-palvelujen keskittämiseen ja edelleen ulkoistamiseen liittyvät riskit.
  • Yhdenmukaistettava palveluiden keskeiset tekijät ja toimintamallit kolmannen osapuolen palveluntarjoajien kanssa.
  • Varmistettava, että kolmannen osapuolen ICT-palveluntarjoajien kanssa solmitut sopimukset sisältävät kaikki tarvittavat seurantaan ja saatavuuteen liittyvät tiedot, kuten täydellisen palvelutasokuvauksen sekä tietojen käsittelypaikat.
  • Huomioitava riskit, jotka johtuvat siitä, että heidän käyttämänsä kolmannen osapuolen ICT-palveluntarjoaja ei noudata annettuja suosituksia. Kriittisten ICT-palvelujen tarjoajiin sovelletaan lisäksi Euroopan unionin valvontaviitekehystä, jonka perusteella voidaan antaa suosituksia havaittujen ICT-riskien lieventämiseen.

 

Tietojenvaihto

  • Asetuksen mukaan rahoitusalan toimijat voivat tehdä järjestelyjä, joiden avulla he voivat vaihtaa keskenään tietoverkkouhkia koskevia tietoja.
  • Valvontaviranomainen toimittaa rahoitusalan toimijoille asianmukaista anonymisoitua tietoa tietoverkkouhista. Tämän vuoksi rahoitusalan toimijoiden on määriteltävä keinot, joiden avulla voidaan tarkastella viranomaisten toimittamia tietoja ja ryhtyä tarvittaviin toimiin.

 

Miten Granite voisi palvella juuri Teitä DORA-asetusten tuomien uusien vaatimusten toteuttamisessa? Tutustu Graniten DORA-työkaluihin täältä.


Julkaistu 27.9.2023