DORA-asetus ja sen vaikutukset yrityksille

Mitä DORA-asetus tarkoittaa?

DORA (Digital Operational Resilience Act) on uusi EU-asetus, jonka avulla rahoitusmarkkinoilla ilmeneviä digitaalisia riskejä pyritään hallitsemaan tehokkaasti ja kattavasti.

Asetuksen tavoitteena ei ole ainoastaan yritysten taloudellisen vakauden takaaminen vaan myös yritysten digitaalisen häiriönsietokyvyn varmistaminen kyberturvallisuuteen sekä tieto- ja viestintätekniikkaan liittyvien vakavien toimintahäiriöiden sattuessa.

Samalla kun DORA tarjoaa asiaankuuluville aloille yhden johdonmukaisen valvontamallin, se varmistaa tietoturvaan ja digitaaliseen häiriönsietokykyyn liittyvien käytäntöjen yhtenäisyyden koko EU:n alueella.

Miksi DORA-asetus on tärkeä?

  • DORA-asetus koskee yli 22 000 rahoitusalan toimijaa ja ICT-alan palveluntarjoajaa EU:n alueella. Asetuksen myötä otetaan käyttöön erityisiä ja oikeudellisesti sitovia vaatimuksia, jotka koskevat kaikkia rahoitusalan toimijoita, kuten pankkeja, sijoituspalveluyrityksiä, vakuutusyhtiöitä ja -edustajia sekä kryptovaluutan, tietopalvelujen ja pilvipalvelujen tarjoajia.
  • DORA tarjoaa kattavat puitteet kolmansien osapuolten tarjoamiin ICT-palveluihin liittyvien riskien hallintaan sekä kyberturvallisuuden parantamiseen, jotta tarjottujen palvelujen yhdenmukaisuus voidaan varmistaa koko arvoketjussa.  
  • DORA-asetuksen viisi tärkeintä osa-aluetta: ICT-riskien hallinta, ICT-palveluihin liittyvät häiriötilanteet, digitaalisen häiriönsietokyvyn testaus, kolmansien osapuolten tarjoamiin ICT-palveluihin liittyvien riskien hallinta sekä tietojenvaihto. 
  • Asetus on ainutlaatuinen, sillä se tarjoaa puitteet kolmansien osapuolten tarjoamien (Euroopan valvontaviranomaisten määrittelemien) kriittisten ICT-palvelujen yleisvalvontaan koko Euroopan unionin alueella. 

Milloin DORA-asetus astuu voimaan?

DORA-asetus astui voimaan 16.1.2023. Kahden vuoden siirtymäajan jälkeen rahoitusalan toimijoiden odotetaan noudattavan asetuksen vaatimuksia vuoden 2025 alkuun mennessä.

Euroopan komissio julkaisi 24.9.2020 luonnoksen rahoitusalan digitaalista häiriönsietokykyä koskevasta asetuksesta (Digital Operational Resilience Act, DORA) osana Digitaalisen rahoituksen pakettia (Digital Finance Package, DFP).

Sen jälkeen, kun Euroopan parlamentti ja neuvosto olivat julkaisseet DORA-asetusta koskevat ehdotuksensa, lainsäätäjät kävivät poliittisia ja teknisiä kysymyksiä käsitteleviä kolmikantaneuvotteluja koko vuoden 2022 ensimmäisen puoliskon ajan. Euroopan neuvosto hyväksyi DORA-asetuksen 28.11.2022 sen jälkeen, kun Euroopan parlamentti oli äänestänyt sen puolesta 10.11.2022.

DORA-asetus astui voimaan 16.1.2023. Euroopan valvontaviranomaiset kehittävät parhaillaan ensimmäisiä siihen liittyviä teknisiä sääntely- ja täytäntöönpanostandardeja. 

Euroopan valvontaviranomaiset määrittelevät ja antavat useita asetukseen liittyviä teknisiä sääntely- ja täytäntöönpanostandardeja. Lisäksi Euroopan valvontaviranomaiset antavat rahoitusalan toimijoille tietoa ja ohjeita siitä, miten tietyt DORA-asetuksen vaatimukset täytetään. 

DORA-asetukseen liittyvät vaatimukset ovat täytäntöönpanokelpoisia 24 kuukautta niiden voimaantulon jälkeen, eli rahoitusalan toimijoiden odotetaan noudattavan DORA-asetuksen vaatimuksia vuoden 2025 alkuun mennessä.

DORA-asetuksen mukainen sääntely keskittyy viiteen keskeiseen osa-alueeseen

ICT-riskienhallinta

Rahoitusalan toimijoiden tulee ottaa käyttöön ICT-riskienhallintaan suunniteltu kattava järjestelmä sekä: 

  • perustaa ja ylläpitää toimintavarmoja ICT-järjestelmiä ja työkaluja, jotka minimoivat ICT-palveluihin liittyvien riskien vaikutukset
  • tunnistaa, luokitella ja dokumentoida kriittiset toiminnot ja resurssit
  • seurata jatkuvasti kaikkia ICT-riskien lähteitä sekä määritellä keinot, joilla riskeiltä voidaan suojautua ja joilla niitä voidaan ehkäistä
  • varmistaa, että poikkeava toiminta havaitaan nopeasti 
  • määritellä erilliset ja kattavat toimintaperiaatteet, joiden avulla taataan liiketoiminnan jatkuvuus, sekä laatia toimintasuunnitelma katastrofien ja niistä selviämisen varalle. Suunnitelmien sekä kaikkien niihin liittyvien toimintojen toimivuus tulee testata vuosittain.
  • määritellä menettelyt, jotka auttavat oppimaan niin sisäisistä kuin ulkoisistakin ICT-palveluihin liittyvistä häiriötilanteista.

ICT-palveluihin liittyvistä häiriötilanteista raportoiminen

Rahoitusalan toimijoiden on:

  • kehitettävä tehokas prosessi kaikkien ICT-palveluihin liittyvien häiriötilanteiden kirjaamiseen/luokittelemiseen sekä määriteltävä kaikki merkittäviksi häiriötilanteiksi luokiteltavissa olevat tapahtumat DORA-asetuksen ja Euroopan valvontaviranomaisten (EBA, EIOPA ja ESMA) kriteerien mukaisesti.
  • toimitettava ICT-palveluihin liittyvistä häiriötilanteista alustava raportti sekä väli- ja loppuraportti
  • yhdenmukaistettava ICT-palveluihin liittyvistä häiriötilanteista raportoiminen Euroopan valvontaviranomaisten kehittämien mallien avulla.

Digitaalisen häiriönsietokyvyn testaus

Asetus edellyttää, että kaikki toimijat:

  • suorittavat vuosittain ICT-työkalujen ja -järjestelmien perustestauksen
  • tunnistavat, lieventävät ja poistavat viipymättä kaikki havaitut haavoittuvuudet ja puutteet toteuttamalla tarvittavat vastatoimet
  • suorittavat säännöllisesti kattavamman testauksen (Threat-Led Penetration Testing, TLPT) ICT-palveluille, jotka vaikuttavat kriittisiin toimintoihin. ICT-palveluja tarjoavien kolmansien osapuolten on osallistuttava testaukseen ja toimittava niiden osalta täydessä yhteistyössä. 

Kolmansien osapuolten tarjoamiin ICT-palveluihin liittyvien riskien hallinta

Rahoitusalan toimijoiden on:

  • seurattava tehokkaasti riskejä, jotka liittyvät siihen, että ICT-palveluja tuottavat kolmannet osapuolet
  • ilmoitettava kaikki ulkoistetut toimet, mukaan lukien konsernin sisäiset palvelut ja mahdolliset muutokset, joita on tehty kriittisten TVT-palvelujen ulkoistamiseen kolmansille osapuolille
  • huomioitava IT-palvelujen keskittämiseen ja edelleen ulkoistamiseen liittyvät riskit
  • yhdenmukaistettava palveluiden keskeiset tekijät ja toimintamallit kolmannen osapuolen palveluntarjoajien kanssa
  • varmistettava, että kolmannen osapuolen ICT-palveluntarjoajien kanssa solmitut sopimukset sisältävät kaikki tarvittavat seurantaan ja saatavuuteen liittyvät tiedot, kuten täydellisen palvelutasokuvauksen sekä tietojen käsittelypaikat.
  • kriittisten ICT-palvelujen tarjoajiin sovelletaan lisäksi Euroopan unionin valvontaviitekehystä, jonka perusteella voidaan antaa suosituksia havaittujen ICT-riskien lieventämiseen. Rahoitusalan toimijoiden on huomioitava riskit, jotka ovat seurausta siitä, että heidän käyttämänsä kolmannen osapuolen ICT-palveluntarjoaja ei noudata annettua suositusta.

Tietojenvaihto

  • Asetuksen mukaan rahoitusalan toimijat voivat tehdä järjestelyjä, joiden avulla he voivat vaihtaa keskenään tietoverkkouhkia koskevia tietoja
  • Valvontaviranomainen toimittaa rahoitusalan toimijoille asianmukaista anonymisoitua tietoa tietoverkkouhista. Tämän vuoksi rahoitusalan toimijoiden tulee määritellä keinot, joiden avulla voidaan tarkastella viranomaisten toimittamia tietoja ja ryhtyä tarvittaviin toimiin.

Contact us

Marko Lehto

Marko Lehto

Partner, Financial Services, PwC Finland

Tel: +358 (0)20 787 8216

Anne Hintzell

Anne Hintzell

Cybersecurity Advisory Services, PwC Finland

Tel: +358 (0)20 7877148

Jirka Mansner

Jirka Mansner

Enterprise risk management, PwC Finland

Tel: +358 (0)20 7877770

Seuraa ja osallistu