DORA-asetus (Digital Operational Resilience Act) on uusi EU-säädös, joka määrittelee finanssialan yritysten digitaalisen riskienhallinnan periaatteet ja vaatimukset. Asetusta aletaan soveltamaan tammikuusta 2025 lähtien, ja se koskee kaikkia Finanssivalvonnan valvonnassa olevia toimijoita (paitsi kansallisen sääntelyn piirissä olevia työeläkeyhtiöitä) sekä yrityksiä, jotka tarjoavat ICT-palveluja finanssialan yrityksille.
DORA:n tarkoituksena on luoda yhteinen ja kattava finanssialan ICT-riskienhallintasäännöstö ja yhdenmukaistaa eri EU:n jäsenvaltioissa jo olemassa olevia ICT-riskienhallintaan liittyviä toimintatapoja. Asetus on askel kohti finanssialan digitaalisen häiriönsietokyvyn parantamista ja toiminnan jatkuvuuden turvaamista myös vakavien toimintahäiriöiden varalta. Asetuksen avulla pyritään varmistamaan, että finanssipalvelut ovat asiakkaiden käytettävissä myös vakavien tieto- ja viestintätekniikkaan liittyvien häiriöiden sattuessa.
DORA:n tavoitteena on varmistaa, että finanssialan yrityksillä on olemassa riittävät prosessit, järjestelmät ja valvontatoimet, joiden avulla ne pystyvät hallitsemaan ICT-järjestelmiin liittyviä riskejä ja toimintahäiriöitä. Yrityksillä tulee olla käytössä tehokkaat riskienhallintajärjestelmät ICT-järjestelmiin liittyvien riskien tunnistamiseksi ja hallitsemiseksi. Tämä edellyttää myös sitä, että yrityksillä on olemassa sisäiset prosessit järjestelmien poikkeamiin ja häiriötilanteisiin reagoimiseksi. Yritysten on toimittava ennakoivasti ICT-riskienhallinnassa ja niillä on oltava prosessi, jonka avulla ne myös voivat raportoida ICT-järjestelmiin liittyvistä häiriöistä, kuten esimerkiksi palvelunestohyökkäyksistä, valvovalle viranomaiselle. Yritysten on myös testattava operatiivista häiriönsietokykyään säännöllisin tietoturvatestauksin. Asetus myös mahdollistaa kyberuhkia koskevan tietojen vaihdon yritysten ja viranomaisten välillä. Samalla yritysten tulee ottaa käyttöön prosesseja, joilla pystytään reagoimaan viranomaisilta saatavaan uhkatietoon. Asetuksen soveltamisalaan kuuluvat myös ne palveluntarjoajat, jotka tarjoavat finanssisalan yrityksille ICT-palveluja, ja siksi finanssialan yritysten tulee myös säännöllisesti arvioida ja hallinnoida ICT-palveluntarjoajiin liittyviä riskejä.
DORA:n vaatimusten täyttämiseksi yritysten on koulutettava henkilöstönsä, luotava ja suunniteltava uusia toimintatapoja sekä testattava valmiuttaan sietää ICT-järjestelmien häiriötilanteita. Yritysten tietoturvajärjestelmät tulee tarvittaessa päivittää vastaamaan DORA:n vaatimuksia sekä samalla arvioida ICT-ulkoistussopimusten ja tietosuojaperiaatteiden ajantasaisuus.
Pohditko miten päästä alkuun? Voit esimerkiksi aloittaa seuraavilla toimenpiteillä:
-
Kokoa asiantuntijat:
Ota mukaan IT-, tietoturva-, ja compliance-henkilöstö. -
Tunnista prioriteetit:
Tunnista olennaiset toiminnot ja niitä tukevat ICT-järjestelmät. -
Suorita GAP-analyysi:
Arvioi olemassa olevien prosessien vaatimustenmukaisuus ja tunnista tarvittavat toimenpiteet. -
Tunnista ICT-palveluntarjoajat ja heidän kanssaan
solmitut sopimukset:
Vaativatko sopimukset päivittämistä? -
Luo strategia:
Laadi perusteellinen asetuksen vaatimusten implementointisuunnitelma.
Originally published 03 May 2024
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.