Digital Operational Resilience Act (DORA) — vaikutukset finanssialaan pähkinänkuoressa

DORA:n viisi pilaria — mitä DORA-asetus merkitsee finanssialan yrityksille?

1. IT-riskienhallintavaatimukset

• DORA velvoittaa yritysjohdon ottamaan täyden vastuun IT-riskien hallinnasta, digitaalisen toiminnan häiriönsietokyvyn strategian määrittämisestä ja hyväksymisestä sekä sen toimeenpanemisesta.
• DORA on sitovaa lainsäädäntöä ja antaa toimivaltaisille viranomaisille valtuudet määrätä hallinnollisia seuraamuksia ja maksuja sekä korjaavia toimenpiteitä asetuksen rikkomisesta.
• Yritysten on kehitettävä testausmenetelmiään ja laadittava liiketoimintavaikutusten analyysi, joka perustuu vakavien liiketoiminnan häiriöiden skenaarioihin.

2. IT-poikkeamien luokittelu ja raportointi

• DORA:n sääntelykehyksen on tarkoitus yhtenäistää useita EU:n nykyisiä, finanssialaa koskevia tietoturvapoikkeamien raportointivelvoitteita. Asetus tuo mukanaan myös uuden luokittelu-, ilmoitus- ja raportointikehyksen, joka haastaa yritykset parantamaan kykyään kerätä, analysoida sekä levittää tietoja havaitsemistaan kyberpoikkeamista ja -uhkista.
• DORA:n myötä finanssialan yrityksillä on ilmoitusvelvollisuus niiden merkittävistä kyberuhista ja -poikkeamista. Yritysten on myös kirjattava kaikki merkittävät kyberuhat, mikä edellyttää laajempaa häiriönhallintavalmiutta kyberuhkien seuraamiseksi, käsittelemiseksi ja ratkaisemiseksi.
• Euroopan valvontaviranomaisten tehtävänä on vielä täsmentää määräajat merkittävien tieto- ja viestintätekniikkaan liittyvien kyberuhkatilanteiden raportoinnille. Samalla valvontaviranomaisten odotetaan myös valmistelevan yhteisen raportin, jossa arvioidaan mahdollisuutta keskittää häiriöraportointi EU:hun perustettavaan keskukseen. Keskuksen tehtävänä olisi toimia väylänä, jonka kautta yritykset voisivat raportoida merkittävistä IT-häiriöistä.
  

3. Digitaalisen häiriönsietokyvyn testaaminen

• DORA asettaa digitaalisen toimintavarmuuden testausvaatimuksen kaikille soveltamisalaan kuuluville yrityksille. Sen mukaan yritysten on perustettava digitaalisen toiminnan häiriönsietokyvyn testausohjelma vuosittain tapahtuvaa systemaattista häiriönsietokykytestausta varten.
• Penetraatiotestauksen (TLPT) metodologiaa tulisi kehittää EKP:n nykyisen TIBER-EU-kehyksen mukaisesti. Näin TIBER-testausta parhaillaan suorittavat tai siihen siirtyvät yritykset voivat luottaa siihen, että työ otetaan huomioon DORA:n kehittyneissä testausvaatimuksissa.
• DORA edellyttää, että rahoituspalveluyritykset sisällyttävät kaikki kriittisiä tai tärkeitä toimintoja (CIF ) tukevat kolmannen osapuolen palveluntarjoajat (TPP) kehittyneisiin testeihinsä. (Finanssialan penetraatiotestauksissa tämä tapa on nykyisellään hyvin harvassa.) Siksi yritysten kannattaakin varautua merkittävään suunnitteluun ja kolmannen osapuolen palveluntarjoajien sekä kriittisten ja tärkeiden toimintojen kartoittamiseen.

4. TPRM — eurooppalaisen finanssialan viitekehyksen vahvistaminen

• DORA:n kolmansien osapuolten riskienhallinnan (TPRM) vaatimukset ovat suurelta osin linjassa nykyisten Euroopan valvontaviranomaisten ohjeiden kanssa. ESMA:n ja EIOPA:n TPRM-ohjeet kuitenkin kattavat vain ulkoistamisen, joka koskee pilvipalveluiden tarjoajia (Cloud Service Provider, CSP), kun DORA:ssa vaatimukset laajennetaan koskemaan myös muita IT-ulkoistuksia, jotka eivät sovella EBA:n ohjeita.
• DORA TPRM -vaatimukset sisältävät joukon sopimusehtoja, jotka yritysten on sisällytettävä IT-ulkoistussopimuksiin vuoden 2024 viimeiseen neljännekseen mennessä. Ehtojen sisällyttäminen sitovaan lainsäädäntöön lisää finanssialan yrityksiin kohdistuvaa painetta neuvotella ehdoista palveluntarjoajiensa kanssa myös silloin, kun ne eivät ole aiemmin siinä onnistuneet.
• Kokonaisvaltaisen monitoimittajastrategian kehittäminen on valinnainen osa DORA:n määrittelemää IT-riskienhallintastrategiaa. Yritysten on kuitenkin tehtävä keskittymäriskin arviointi kaikista ulkoistussopimuksista, jotka tukevat kriittisten ja tärkeiden toimintojen toimittamista.

5. CTPP-valvontakehys — maailman ensimmäinen finanssialan valvontajärjestelmä kolmansille osapuolille

• DORA laajentaa merkittävästi Euroopan valvontaviranomaisten, asianomaisten viranomaisten, valvojien ja riippumattomien asiantuntijoiden muodostaman yhteisen valvontafoorumin (Joint Oversight Forum, JOF) roolia.
• Kriittisiksi määriteltyihin kolmansiin osapuoliin (Critical Third Party Provider, CTPP) sovelletaan DORA:n kautta laajoja valvontavaltuuksia. Niiden avulla Euroopan valvontaviranomaiset voivat arvioida kyseisiä osapuolia, pyytää niitä muuttamaan turvallisuuskäytäntöjään sekä määrätä niille seuraamuksia, mikäli ne eivät toimi valvontaviranomaisten pyyntöjen mukaisesti. Tämä pakottaa osapuolet osoittamaan, että ne voivat parantaa finanssialan yrityksiä tukevien toimintojensa häiriönsietokykyä erityisesti silloin, kun finanssialan yritysten kriittiset ja tärkeät toiminnot ovat osallisina.
• DORA pidättää Euroopan valvontaviranomaisille mahdollisuuden määrätä finanssialan yrityksiä keskeyttämään tai irtisanomaan CTPP-sopimuksensa, mutta vain poikkeustapauksissa ja ottaen asianmukaisesti huomioon niiden vaikutukset alaan.

Tärkeitä standardeja vielä tulossa — mitä seuraavaksi?

DORA-sääntelyssä erityistä on se, miten suuri osa käytännöntoimintaa koskevista kriittisistä yksityiskohdista on siirretty toissijaisen sääntelyn piiriin (EU:n politiikassa "taso 2"). Tason 2 politiikan käytännön vaikutus näkyy siten, että yritykset joutuvat odottamaan vielä joidenkin DORA:n osa-alueiden sääntelyn valmistumista. Näitä ovat erityisesti IT-poikkeamien raportointikehystä sekä kehittyneen häiriönsietokyvyn testausta koskevat säännöt ja soveltamisala. Tänä aikana yritysten on edettävä täytäntöönpanotyössä, jonka ne voivat aloittaa tason 1 perusteella.

Yritysten kannattaa kiinnittää erityistä huomiota teknisten sääntelystandardien (RTS) sekä teknisten täytäntöönpanostandardien (ITS) neuvoa-antaviin versioihin kun ne julkaistaan, koska ne ovat yleensä melko samanlaisia kuin Euroopan valvontaviranomaisten hyväksymät lopulliset versiot.

Tuemme DORA:n kaikissa vaiheissa: IT- ja digitaalisten riskien hallinnan ammattilaiset ovat käytettävissäsi

Etsitkö tukea DORA:n vaatimusten täyttämiseen? Tarjoamme asiantuntevaa tukea kaikissa DORA:n vaiheissa ja autamme yritystäsi parantamaan häiriönsietokykyä digitaalisen toimintavarmuuden varmistamiseksi. Ota yhteyttä meihin ja saat räätälöidyn ratkaisun tarpeisiisi. Palveluihimme kuuluu muun muassa:

• IT-riskienhallinta (TVT-riskienhallinta)
• Häiriöhallinta
• Häiriöraportointi
• Toimittajariskien hallinta
• Digitaalisen häiriönsietokyvyn testaus, kuten tietoturvatestaus tai penentraatiotestaus