DORA

Yleiskatsaus

Digitaalisen operatiivisen resilienssin asetus (DORA) asettaa yhtenäiset vaatimukset rahoituslaitosten liiketoimintaprosesseja tukevien verkko- ja tietojärjestelmien turvallisuudelle ja resilienssille. Se luo myös valvontakehyksen kriittisille ICT:n kolmansien osapuolten palveluntarjoajille.^[1]

DORA on asetus, mikä tarkoittaa, että se soveltuu suoraan kaikissa EU:n jäsenvaltioissa ilman kansallista täytäntöönpanoa.

Soveltamisalan kohteet

Rahoituslaitokset^[2]

• Luottolaitokset (pankit)
• Maksulaitokset
• Sähköisen rahan laitokset
• Sijoituspalveluyritykset
• Vakuutus- ja jälleenvakuutusyhtiöt
• Keskitetyt arvopaperikeskukset
• Kaupparekisterit
• Luottoluokituslaitokset
• Kryptovaluuttapalveluntarjoajat
• Joukkorahoituspalveluntarjoajat
• Tietojen raportointipalveluntarjoajat

Kriittiset ICT:n kolmannen osapuolen palveluntarjoajat

Euroopan valvontaviranomaiset nimeävät kriittiset ICT-palveluntarjoajat seuraavien perusteella:

• Järjestelmällinen vaikutus palveluntarjoajan epäonnistuessa
• Korvattavuuden aste
• Rahoituslaitosten lukumäärä, jotka ovat riippuvaisia palveluntarjoajasta

Nimetyt palveluntarjoajat kuuluvat EU:n valvontakehyksen piiriin.

DORAn viisi pilaria

1. ICT-riskienhallinta (Luku II)

Rahoituslaitosten on perustettava ja ylläpidettävä:

• Hallinto: Hallituksen vastuu ICT-riskistrategiasta
• Riskikehys: Tunnistaminen, suojaus, havaitseminen, reagointi, palautuminen
• Dokumentaatio: Politiikat, menettelyt ja protokollat ICT-turvallisuudelle
• Testaus: Säännöllinen ICT-järjestelmien ja työkalujen arviointi

2. ICT-häiriöiden raportointi (Luku III)^[3]

Merkittävät ICT:hen liittyvät häiriöt on raportoitava standardoitujen lomakkeiden avulla.

3. Digitaalisen operatiivisen resilienssin testaus (Luku IV)

Testauksen on katettava: haavoittuvuuksien arvioinnit, verkon turvallisuusarvioinnit, ohjelmistoturvallisuuden tarkastukset, lähdekoodin tarkastukset (mahdollisuuksien mukaan), skenaarioihin perustuva testaus ja yhteensopivuustestaus.

4. Kolmannen osapuolen riskienhallinta (Luku V)^[4]

Rahoituslaitosten on:

• Pidettävä rekisteri kaikista ICT:n kolmannen osapuolen järjestelyistä
• Suoritettava huolellisuustarkastus ennen sopimuksen tekemistä
• Arvioitava keskittymisriskit
• Sisällytettävä pakolliset sopimusehdot
• Määriteltävä poistumisstrategiat
• Raportoida järjestelyt toimivaltaisille viranomaisille

Pakolliset sopimusehdot sisältävät palvelutason kuvaukset, tietosuojavelvoitteet, pääsy- ja tarkastusoikeudet, häiriöiden raportointivaatimukset sekä irtisanomisoikeudet siirtymätuen kera.

5. Tiedonvaihto (Luku VI)

Rahoituslaitokset voivat vaihtaa kyberuhkatietoa luotetuissa yhteisöissä luottamuksellisuussääntöjen alaisina kollektiivisen puolustuksen vahvistamiseksi.

Suhteellisuus

DORA soveltaa suhteellisuusperiaatetta toimijan koon ja riskiprofiilin, palveluiden luonteen, laajuuden ja monimutkaisuuden sekä järjestelmällisen merkityksen perusteella.

Yksinkertaistetut vaatimukset koskevat pieniä ja ei-yhdistettyjä sijoituspalveluyrityksiä, maksulaitoksia ja sähköisen rahan laitoksia tiettyjen rajojen alapuolella sekä tiettyjä vakuutusmeklareita.

Rangaistukset

Toimivaltaiset viranomaiset voivat määrätä:^[5]

• Hallinnollisia sakkoja
• Toistuvia seuraamusmaksuja
• Julkisia lausuntoja
• Toimiluvan peruuttamisen
• Väliaikaisia kieltoja johtotehtäviin

Erityiset määrät määritellään jäsenvaltion lainsäädännössä.

Kehittäjien ja ICT-palveluntarjoajien vaikutukset

Jos tarjoat ICT-palveluita rahoitusalalle:

1. Sopimusten tarkastus: Varmista, että sopimukset täyttävät DORAn vaatimukset
2. Häiriöiden raportointi: Perusta raportointikanavat asiakkaille
3. Testauksen tuki: Mahdollista asiakkaiden tunkeutumistestaus
4. Poistumissuunnittelu: Mahdollista järjestelmällinen siirtymä sopimusten päättyessä
5. Keskittymisriskien seuranta: Seuraa riippuvuuksia palveluistasi
6. Kriittinen nimitys: Valmistaudu mahdolliseen EU-valvontaan