Sisältöön

DORA - SecMeter

Ohita valikko
Ohita valikko

DORA

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
DORA-asetus (Digital Operational Resilience Act)



Digitalisaation ja kyberuhkien lisääntyessä EU on ottanut käyttöön uuden sääntelykehyksen, jolla parannetaan koko rahoitussektorin digikykyä. DORA-asetus (Digital Operational Resilience Act) on Euroopan unionin vastaus tarpeeseen varmistaa, että rahoituslaitokset pystyvät sietämään ja toipumaan digitaalisista häiriöistä, kuten kyberhyökkäyksistä, teknisistä vioista ja palvelunestotilanteista.

DORA on suoraan sovellettava EU-asetus, joka tuli voimaan vuoden 2023 alussa. Siirtymäaika päättyy 10.1.2025, jolloin kaikkien asetuksen piiriin kuuluvien on oltava valmiita noudattamaan sen vaatimuksia.

Tavoitteena on varmistaa, että rahoitusala toimii vakaasti myös teknologisissa häiriötilanteissa ja että kyberresilienssiä kehitetään aktiivisesti, ei vasta kriisin sattuessa.

Rahoituslaitosten on täytettävä DORA-vaatimukset vuoden 2025 alkuun mennessä. Tämä tarkoittaa usein uusia prosesseja, henkilöstön koulutusta, IT-ympäristöjen tarkistusta ja toimittajasopimusten päivittämistä. DORA ei ole vain sääntöjen noudattamista, vaan strateginen mahdollisuus vahvistaa koko yrityksen kestävyyttä digitaalisessa maailmassa.
Ketä DORA koskee?
DORA-asetus ulottuu laajalle ja kattaa lähes koko rahoitusalan:

  • Pankit ja luottolaitokset
  • Sijoituspalveluyritykset ja rahastoyhtiöt
  • Vakuutus- ja jälleenvakuutusyhtiöt
  • Maksulaitokset ja sähkörahayhteisöt
  • Kaupankäyntialustat ja arvopaperikeskukset
  • Fintech- ja insurtech-yritykset

Fintech-yritykset (financial technology)
Nämä ovat yrityksiä, jotka tarjoavat digitaalisia tai teknologiaan perustuvia rahoituspalveluita, esimerkiksi:

  • mobiilimaksuja
  • digitaalista lainanantoa
  • sijoitusalustoja
  • kryptovaluuttapalveluita
  • automaattisia varainhoitoratkaisuja (robo-advisors)

Jos fintech-yritys tarjoaa palveluita, jotka kuuluvat EU:n rahoitusalan sääntelyn piiriin (esim. toimii maksulaitoksena tai sijoituspalveluyrityksenä), se kuuluu DORA:n soveltamisalaan.

Insurtech-yritykset (insurance technology)
Nämä ovat yrityksiä, jotka digitalisoivat vakuutuspalveluita, esimerkiksi:

  • tarjoavat vakuutuksia mobiilisovelluksella
  • käyttävät tekoälyä riskinarviointiin tai vahinkojen käsittelyyn
  • hyödyntävät data-analytiikkaa hinnoittelussa tai asiakaspalvelussa

Jos insurtech-yritys toimii vakuutuksenantajana tai tarjoaa vakuutuspalveluja EU:n sääntelyn alaisena toimijana, sekin kuuluu DORA:n piiriin.

Fintech- ja insurtech-yritysten on:

  • hallittava ICT-riskinsä (esim. palvelinkatkokset, kyberhyökkäykset)
  • raportoitava vakavat digihäiriöt
  • testattava omaa digitaalista kestävyyttä säännöllisesti
  • hallittava kolmannen osapuolen (esim. pilvipalvelun) riskejä
  • ylläpidettävä selkeitä varautumissuunnitelmia

Lisäksi DORA ulottuu kolmansiin osapuoliin, jotka tarjoavat näille toimijoille kriittisiä ICT-palveluita. Näitä ovat esimerkiksi:

  • Pilvipalveluntarjoajat
  • Tietoturvayritykset
  • IT-infrastruktuurin ja ohjelmistojen toimittajat
  • Verkkoyhteyksien ja datakeskusten ylläpitäjät

Tämä on merkittävä muutos, koska myös teknologian tarjoajat joutuvat nyt osaksi rahoitusalan valvontaa ja vastuuta.

Mitä DORA edellyttää?
DORA jakautuu viiteen keskeiseen velvoitealueeseen:

ICT-riskien hallinta
Rahoituslaitosten on luotava kattavat käytännöt riskien tunnistamiseen, ehkäisyyn, hallintaan ja raportointiin. Kyse ei ole vain teknisestä suojauksesta, vaan myös organisaatiokulttuurin ja prosessien kehittämisestä.

Häiriötilanteiden raportointi
Merkittävistä digitaalisista häiriöistä, kuten kyberhyökkäyksistä tai palvelukatkoksista on ilmoitettava viranomaisille nopeasti ja yksityiskohtaisesti. Tämä lisää läpinäkyvyyttä ja nopeuttaa koko alan reagointia.

Digikestävyyden testaus
Organisaatioiden on säännöllisesti testattava valmiuksiaan erilaisiin uhkiin, kuten kyberhyökkäyksiin tai järjestelmähäiriöihin. Harjoitukset voivat sisältää myös punatiimityyppisiä simulaatioita.

Kolmansien osapuolten hallinta
ICT-toimittajien roolia valvotaan tarkemmin. DORA vaatii rahoituslaitoksia arvioimaan, auditoimaan ja hallitsemaan toimittajiin liittyviä riskejä. Palvelusopimusten on sisällettävä selkeät vastuut, valvontakeinot ja irtisanomisehdot.

Tietojenvaihto ja yhteistyö
Kyberuhkien torjumiseksi DORA edistää myös turvallista tiedonvaihtoa eri toimijoiden ja viranomaisten välillä. Tavoitteena on jakaa havaintoja nopeasti ja estää laajamittaisia vaikutuksia.

Miksi DORA on tärkeä?
DORA asettaa yhtenäiset säännöt kaikille EU:n rahoitusalan toimijoille, mikä parantaa kyberturvallisuutta koko järjestelmän tasolla. Aikaisemmin eri maissa oli eritasoisia vaatimuksia ja valvontakäytäntöjä, mikä loi epätasapainoa ja haavoittuvuuksia.

Lisäksi DORA:

  • Vähentää systeemisiä riskejä, jotka voivat vaikuttaa koko talouteen
  • Parantaa asiakasturvaa ja luottamusta rahoitussektoriin
  • Pakottaa ulkoiset palveluntarjoajat sitoutumaan turvallisuusstandardeihin
  • Asettaa resilienssin osaksi liiketoimintastrategiaa, ei vain IT-toimintoa
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön