Finanssialan toimija: näin valmistaudut DORA:n täytäntöönpanoon

DORA tehostaa ja parantaa yrityksen häiriönsietokykyä

EU:ssa on päästy lopulliseen sopimukseen DORA-asetuksesta. Finanssialan yritysten on nyt korkea aika tarkastella omia digitaalisia toimintojaan kriittisesti sekä alkaa suunnittelemaan asetuksen täytäntöönpanoa. DORA muuttaa ratkaisevasti sitä, miten finanssialan yritykset jatkossa lähestyvät digitaalista häiriönsietokykyään. Asetus pakottaa yritykset omaksumaan laajemman näkemyksen häiriönsietokyvystä sekä parantamaan valmiuksiaan vastata mahdollisiin häiriötilanteesiin.

DORA:an kannattaa suhtautua katalysaattorina. Se auttaa yrityksiä nopeuttamaan strategista muutosta siinä, miten ne hallitsevat kyberajan riskejä. Samalla se auttaa ylintä johtoa ja hallituksia arvioimaan toiminnallisten häiriöiden vaikutusta liiketoimintaan ja ymmärtämään käytettävissä olevia lievennyskeinoja tehokkaammin.

Kaiken tämän toteuttaminen annetussa 24 kuukauden määräajassa on merkittävä tehtävä — etenkin, koska yritysten on otettava vielä huomioon DORA:n 2. tason tekniset standardit, joita vasta valmistellaan EU:ssa.

Ota ainakin nämä kaksi asiaa huomioon DORA:n täytäntöönpanossa

DORA-asetusta ei tule pitää niin kutsuttuna rasti ruutuun -tyyppisenä harjoituksena vaatimustenmukaisuudesta, vaan kannustimena yrityksen digitaalisen häiriönsietokyvyn vahvistamiseksi sekä ennakoivana toimena jatkuvuudenhallinnan parantamiseksi. DORA:n käyttöönotto kokonaisuudessaan vain 24 kuukauden pituisella ajanjaksolla vaatii suuren määrän työtä. Yritys voi jo ennen asetuksen virallista käyttöönottamista alkaa tekemään valmistelevia toimia saadakseen arvokasta lisäaikaa uuteen asetukseen sopeutumiseen. Tällaisista valmistelevista toimista erityisesti seuraavat kaksi on hyvä pitää mielessä:

• Valmistaudu alati lisääntyvään valvontaan. DORA antaa niin kansallisille kuin EU-tasonkin valvontaviranomaisille uusia laajoja toimivaltuuksia digitaalisten toimintojen häiriönsietokyvyn saralla. Kun kokemus lisää valvontaviranomaisten ymmärrystä häiriönhallinnasta, on todennäköistä, että myös vaatimukset yrityksille kasvavat. Lisäksi kun mukana on useita valvontaviranomaisia, erilaiset valvontatavoitteet ja -prioriteetit kyberhäiriöiden vaikutusten osalta voivat tehdä odotusten noudattamisesta entistä monimutkaisempaa.
• Tunnista investointeja ja kehitystä vaativat kyvykkyydet. Monet DORA:n vaatimukset edellyttävät huomattavia investointeja IT- ja kybertoimintojen sekä kolmansien osapuolten riskienhallinnan (TPRM) hallinto-, riski- ja vaatimustenmukaisuuskehykseen sekä jatkotyötä havaittujen toiminnallisten haavoittuvuuksien korjaamiseksi. Yritysten tulee suorittaa DORA:n 1. tason lopullisiin vaatimuksiin perustuva puuteanalyysi, jota päivitetään sitä mukaa, kun 2. tason standardiluonnoksia tulee saataville. Puuteanalyysillä voidaan selvittää, missä kyvykkyyksissä, resursseissa ja asiantuntemuksessa on vielä puutteita, jotka pitää korjata käynnissä olevan 24 kuukauden täytäntöönpanojakson aikana. Yritysten tulee keskittyä DORA-puuteanalyysissään erityisesti seuraaviin kohtiin:
• • IT-riskienhallintakäytännöt, mukaan lukien kriittisten ja tärkeiden toimintojen (CIF) tunnistaminen;
  • Poikkeama- ja uhkatietojen keruu- ja analysointivalmiuksien maturiteetti;
  • Skenaariotestauksen ja vakavien skenaarioiden suunnittelun kehittyneisyys (kuten yllä olevassa kohdassa on käsitelty); ja
  • IT-ulkoistusprosessien ja -tietojen integrointi (mukaan lukien yritysten kyky analysoida kolmansien ja neljänsien osapuolten keskittymäriskejä)

Tuemme DORA:n kaikissa vaiheissa: IT- ja digitaalisten riskien hallinnan ammattilaiset ovat käytettävissäsi

Etsitkö tukea DORA:n vaatimusten täyttämiseen? Tarjoamme asiantuntevaa tukea kaikissa DORA:n vaiheissa ja autamme yritystäsi parantamaan häiriönsietokykyä digitaalisen toimintavarmuuden varmistamiseksi. Ota yhteyttä meihin ja saat räätälöidyn ratkaisun tarpeisiisi. Palveluihimme kuuluu muun muassa:

• IT-riskienhallinta (TVT-riskienhallinta)
• Häiriöhallinta 
• Häiriöraportointi
• Toimittajariskien hallinta
• Digitaalisen häiriönsietokyvyn testaus, kuten tietoturvatestaus tai penentraatiotestaus