On vuosi 2023 ja monien huulilla on jälleen uusi kirjainyhdistelmä DORA — Digital Operational Resilience Act. DORA:n pyrkimyksenä on yhtenäistää digitaalista resilienssiä ja IT-riskienhallinnan vaatimuksia, joista on tähän mennessä säädetty erikseen eri asetuksissa ja direktiiveissä. DORA edellyttää suurta enemmistöä Euroopan finanssialan toimijoista ja IT-palveluntarjoajista ottamaan laajemman katsantokannan liiketoiminnan ja IT:n kestävyyteen ja jatkuvuuteen. DORA:n piiriin kuuluvien yhtiöiden kannattaakin valmistautua hyvissä ajoin muutoksiin, sillä asetuksen soveltaminen alkaa tammikuusta 2025.
DORA-asetuksella on EU:n jäsenvaltioiden rajat ylittävä vaikutus, sillä sen tarkoituksena on päästä eroon eri maiden poikkeavista käytännöistä hallita IT- ja erityisesti tietoturvariskiä. Lisäksi kyse ei ole enää valvontaviranomaisten suosituksista ja ohjeista, vaan sitovasta lainsäädännöstä. Valvontaviranomaisilla on käsissään kaikki valvonta-, tutkinta- ja seuraamusvaltuudet asetuksen toimeenpanemiseksi. DORA ei salli niin paljon kansallista liikkumavaraa kuin esimerkiksi direktiivipohjainen lainsäädäntö.
Vaikka DORA-asetus julkaistiin kokonaisuudessaan viime vuoden viimeisinä päivinä, joudumme silti jännityksellä odottamaan tarkempia ”seuraavan tason” teknisiä standardeja asetuksen eri osa-alueille. Ensimmäisiä teknisiä standardeja odotetaan julkaistavaksi ensi vuoden tammikuussa ja seuraavaa erää vain 6 kuukautta ennen kuin asetus pitää olla toimeenpantu käytäntöön. Kahden vuoden siirtymäaika menee kuitenkin hujauksessa — suosittelemmekin organisaatioilta ripeää toimintaa.
Kokosimme alle kolme käytännön vinkkiä, mitä organisaatioiden tulee huomioida DORA:n implementoinnissa:
DORA on yksi 14 regulaatioaloitteesta ja osa EU:n strategiaa, jonka tavoitteena on muokata Euroopan digitaalista tulevaisuutta. Euroopan digisääntelyn maisemaa mullistavat DORA-asetuksen lisäksi esimerkiksi digipalvelusäädös (Digital Services Act), datasäädös (Data Act) ja tekoälyasetus (AI Act). Finanssiorganisaatioiden sääntelytuntosarvet on siis oltava hereillä ja vastaanottavaisessa tilassa. Finanssialan yhtiöt ovat investoineet ja tulevat yhä investoimaan merkittävästi toiminnan teknologian modernisointiin ja digitalisointiin. Tällöin on ensisijaisen tärkeää, että hankkeissa ja IT:ssä on osaamista ymmärtää sääntelyn vaikutukset sekä uusiin että olemassa oleviin ratkaisuihin ja toimintaan.
Älä siis jää odottelemaan viime hetken paniikkia. Ryhdy sen sijaan toimiin ja varusta organisaatiosi tarvittavilla tiedoilla ja työkaluilla varmistaaksesi menestyksesi digiaikakaudella. Kysy meiltä lisää — autamme yrityksiä mukauttamaan mm. toimintaansa ja teknologiaa vastaamaan uusimpia säädösvaatimuksia.
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.