On vuosi 2023 ja monien huulilla on jälleen uusi kirjainyhdistelmä DORA — Digital Operational Resilience Act. DORA:n pyrkimyksenä on yhtenäistää digitaalista resilienssiä ja IT-riskienhallinnan vaatimuksia, joista on tähän mennessä säädetty erikseen eri asetuksissa ja direktiiveissä. DORA edellyttää suurta enemmistöä Euroopan finanssialan toimijoista ja IT-palveluntarjoajista ottamaan laajemman katsantokannan liiketoiminnan ja IT:n kestävyyteen ja jatkuvuuteen. DORA:n piiriin kuuluvien yhtiöiden kannattaakin valmistautua hyvissä ajoin muutoksiin, sillä asetuksen soveltaminen alkaa tammikuusta 2025.
DORA-asetuksella on EU:n jäsenvaltioiden rajat ylittävä vaikutus, sillä sen tarkoituksena on päästä eroon eri maiden poikkeavista käytännöistä hallita IT- ja erityisesti tietoturvariskiä. Lisäksi kyse ei ole enää valvontaviranomaisten suosituksista ja ohjeista, vaan sitovasta lainsäädännöstä. Valvontaviranomaisilla on käsissään kaikki valvonta-, tutkinta- ja seuraamusvaltuudet asetuksen toimeenpanemiseksi. DORA ei salli niin paljon kansallista liikkumavaraa kuin esimerkiksi direktiivipohjainen lainsäädäntö.
Mitä GDPR-oppeja voimme soveltaa DORA-projekteissa?
Vaikka DORA-asetus julkaistiin kokonaisuudessaan viime vuoden viimeisinä päivinä, joudumme silti jännityksellä odottamaan tarkempia ”seuraavan tason” teknisiä standardeja asetuksen eri osa-alueille. Ensimmäisiä teknisiä standardeja odotetaan julkaistavaksi ensi vuoden tammikuussa ja seuraavaa erää vain 6 kuukautta ennen kuin asetus pitää olla toimeenpantu käytäntöön. Kahden vuoden siirtymäaika menee kuitenkin hujauksessa — suosittelemmekin organisaatioilta ripeää toimintaa.
Kokosimme alle kolme käytännön vinkkiä, mitä organisaatioiden tulee huomioida DORA:n implementoinnissa:
- Aloita valmistautuminen hyvissä ajoin. Kuten DORA:ssa, myös EU:n yleisessä tietosuoja-asetuksessa (General Data Protection Act, GDPR) oli kahden vuoden siirtymäaika. Kokemuksesta tiedämme, että kaksi vuotta menee silmän räpäyksessä. Ei syytä paniikkiin, mutta valmistautuminen kannattaa aloittaa hyvissä ajoin. Valmistautumistyön ensimmäinen (ja luonnollinen) vaihe on arvioida nykytilaa. DORA käytännössä terävöittää monia jo organisaatiossa olemassa olevia prosesseja ja käytäntöjä, joten työlistalle kannattaa kirjata nykytila- tai GAP-analyysi. Tämän arvioinnin avulla DORA-projektin seuraavia askelmerkkejä on helpompi suunnitella ja priorisoida.
- Päivitä tietosuojadokumentaatio. DORA terävöittää kyberturvallisuuden hallintaa organisaatiossa ja tekee käytännöistä sitovia. Asetuksessa vilisee dokumentointivelvollisuus ja keskiössä olevat tieto- ja viestintäteknologiat ja -prosessit ovat kuin suoraan GDPR-ohjekirjasta; toimenpiteitä, joilla varmistetaan henkilötietojen eheys, saatavuus ja luotettavuus. Organisaation jo olemassa oleva tietosuojadokumentaatio päivittyy myös osana DORA-projektia.
- Terävöitä viestintää ja läpinäkyvyyttä. DORA-asetuksessa mainittu viestintä ei ole uutta auringon alla, jos asiaa peilataan tietosuoja-asetuksen läpinäkyvyyden periaatteeseen. Organisaatioissa pitäisi jo olla sisäänrakennettuna vastuullinen tiedottaminen, jota nyt on tarkoitus päivittää ja jonka suunnitelmia tulisi terävöittää. Osallista siis viestinnästä vastaavat tahot mukaan DORA-projektiin.
DORA on vain yksi osa Euroopan digisääntelyä
DORA on yksi 14 regulaatioaloitteesta ja osa EU:n strategiaa, jonka tavoitteena on muokata Euroopan digitaalista tulevaisuutta. Euroopan digisääntelyn maisemaa mullistavat DORA-asetuksen lisäksi esimerkiksi digipalvelusäädös (Digital Services Act), datasäädös (Data Act) ja tekoälyasetus (AI Act). Finanssiorganisaatioiden sääntelytuntosarvet on siis oltava hereillä ja vastaanottavaisessa tilassa. Finanssialan yhtiöt ovat investoineet ja tulevat yhä investoimaan merkittävästi toiminnan teknologian modernisointiin ja digitalisointiin. Tällöin on ensisijaisen tärkeää, että hankkeissa ja IT:ssä on osaamista ymmärtää sääntelyn vaikutukset sekä uusiin että olemassa oleviin ratkaisuihin ja toimintaan.
Älä siis jää odottelemaan viime hetken paniikkia. Ryhdy sen sijaan toimiin ja varusta organisaatiosi tarvittavilla tiedoilla ja työkaluilla varmistaaksesi menestyksesi digiaikakaudella. Kysy meiltä lisää — autamme yrityksiä mukauttamaan mm. toimintaansa ja teknologiaa vastaamaan uusimpia säädösvaatimuksia.
Kysy meiltä lisää
Oona Matinpalo
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalvelujentarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.
