Finanssialan kyberturvallisuus on noussut merkittäväksi huolenaiheeksi Euroopassa globaalin teknologian ja integroituneen digitalisaation myötä. Tietoverkkoihin liittyvät uhat ovat maantieteellisiä rajoja ylittäviä ja EU:n tavoitteena on tehostaa erityisesti sen sisämarkkinoiden häiriönsietokykyä.
Kyberhyökkäysuhkien ja -keinojen lisääntyessä EU haluaa vahvistaa huoltovarmuuskriittisten toimijoiden (NIS2) sekä finanssialan (DORA) toimijoiden kyberturvallisuutta. Digitaalisten palveluiden kompleksisuuden kasvun myötä niiden laadinta ja kehittäminen ovat entistä haastavampia – varsinkin kun uhkatoimijoiden määrä ja keinovalikoima on kasvanut. Näihin haasteisiin EU haluaa vastata uudella DORA-asetuksella.
DORA luo yhtenäisen sääntökehyksen finanssialalle
EU:n DORA-asetus (Digital Operational Resiliency Act, 2022/2554) finanssialan digitaalisesta häiriönsietokyvystä tuli voimaan tammikuussa 2023 ja sen soveltaminen alkaa kaksi vuotta myöhemmin eli 17.1.2025 alkaen. Asetus tuo uusia vaatimuksia finanssialalle luomalla sääntökehykset digitaalisten riskien hallintaan ja yhdenmukaistamalla riskien arviointi- ja hallintavaatimukset EU:ssa.
DORA on yhtenäinen sääntökehys, jolla on vahva vaikutus finanssialaan. Huomioitavaa on, että se kohdistuu finanssipalvelualan ja pankkisektorin lisäksi myös rahoituslaitoksia palveleviin teknologiayrityksiin. Kohteena olevat ICT-palveluntarjoajat on määritelty asetuksessa laveasti – huomioiden nopeasti kehittyvät teknologiat ja palvelumallit. Tämä tarkoittaa, että finanssialalle minkäänlaisia digitaalisia tai datapalveluita tarjoava yritys tulee todennäköisesti DORA-sääntelyn piiriin. ICT-palveluntarjoajat luokitellaan asetuksessa niiden tarjoamien palveluiden kriittisyyden mukaisesti. Kriittisiin ICT-palveluntarjoajiin kohdistuu vaatimuksia erityisesti niiden sopimusjärjestelyihin ja valvontakehykseen liittyen. Kriittinen ICT-palveluntarjoaja voi olla esimerkiksi pilvipalveluiden tarjoaja tai yritys, jolle on ulkoistettu merkittävä osa liiketoimintaa tai siihen liittyvä ICT-palvelu.
DORAn vaatimukset finanssialan toimijoille ja niiden ICT-palveluntarjoajille ovat:
ICT-riskin hallinta (Artiklat 5-16)
- Tavoitteena digitaalisen häiriönsietokyvyn korkea taso
- Ylimmän johdon vastuu
- Riskienhallintamenetelmä, -välineet, omaisuusluettelo ja niiden säännöllinen seuranta ja valvonta
- Mekanismit poikkeavan toiminnan havaitsemiseen, reagointiin ja toipumiseen
ICT-poikkeamien hallinta, luokittelu ja raportointi (Artiklat 17-23)
- Ilmoitus- ja raportointivelvollisuus
- ICT-poikkeamien ja kyberuhkien hallintaprosessi ja luokittelutiedot
Digitaalisen häiriönsietokyvyn testaus (Artiklat 24-27)
- Säännöllinen ja systemaattinen testausohjelma
- Yksilöidyt finanssiyhteistöt: Kehittynyt testaus uhkaperusteisen tunkeutumistestauksen (red teaming) avulla vähintään kolmen vuoden välein, testaajien pätevyysvaatimukset
- Mukana kriittisiä tai tärkeitä toimintoja tukevat palveluntarjoajat
Kolmansiin osapuoliin liittyvien ICT-riskien hallinta (Artiklat 28-44)
- Sopimusehtoja palveluntarjoajille
- Valvontaviranomaisten laajat valvontavaltuudet, valvontakehys ja tietopyyntövaatimus
Tietojenvaihtojärjestelyt (Artikla 45)
- Kyberuhkia koskevien tietojen ja tiedustelutietojen vaihtaminen finanssialan yhteisöjen kesken
ICT-palveluntarjoajan näkökulmasta asetuksen vaikutukset voidaan jakaa kolmeen alueeseen: sopimusjärjestelyt, viranomaisvalvonta ja vaatimustenmukaiset palvelut.
Asetus säätelee perusteellisesti finanssiyhteisöjen sopimussuhteita ICT-palveluntarjoajien kanssa liittyen mm. riskienhallintaan, seurantaan ja sopimusmääräyksiin vaaditun ICT-turvallisuustason jatkuvuuden varmistamiseksi. Viranomaisvalvonta liittyy erityisesti kriittisiin ICT-palveluntarjoajana oleviin kolmansiin osapuoliin ja niihin sovellettavaan ICT-riskien hallintakäytäntöjen valvontakehykseen. DORA-asetuksen keskiössä on riskienhallinta, joka kattaa koko toimitusketjun, ja jossa viranomainen voi valvoa ICT-toimitusketjun riskienhallinnan tehokkuutta. ICT-palveluntarjoajien tulisi lisäksi arvioida poikkeamien hallintaa ja häiriöidensietokykyään ja niihin liittyviä riskejä, sekä harjoitella niihin liittyviä toimia proaktiivisesti. Käytännössä asetus tuo suoria vaikutuksia ICT-palveluntarjoajan oman infrastruktuurin hallintaan erityisesti tietoturvallisuuteen, tietojen sijaintiin, häiriöiden hallintaan ja henkilöstön kouluttamiseen liittyen.
Mikä muuttuu?
Finanssialan digitaalista häiriösietokykyä on ohjattu jo ennen DORA-asetusta mm. ICT-palveluiden ulkoistamiseen ja pilvisiirtymään liittyvillä vaatimuksilla. DORA on kuitenkin vaatimuksiltaan yksityiskohtaisempi ja tiukempi erityisesti vaatimusten noudattamatta jättämisestä määrättävien seuraamuksien osalta: enintään kuuden kuukauden ajan päivittäin maksettavan uhkasakon määrä on enintään 1 prosentti kriittisen ICT-palveluntarjoajana olevan kolmannen osapuolen edellisen tilikauden päivittäisestä maailmanlaajuisesta keskiliikevaihdosta. DORA määrittelee myös laajat vastuualueet finanssiyhteisön ylimmälle hallintoelimelle liittyen mm. ICT-riskienhallintaan, datan tietoturvallisuuteen, häiriönsietokykystrategiaan ja auditointien hallintaan. Lisäksi DORAn piiriin kuuluu aiempiin viitekehyksiin verrattuna huomattavasti suurempi määrä organisaatioita. Voidaankin siis sanoa, että suurimpia muutoksia ovat vaatimusten tiukentuminen sekä laajentuminen koskemaan useampia yrityksiä sekä myös seuraamusten tiukentuminen.
Miten DORA ja NIS2 eroavat toisistaan? DORA ja NIS2 liittyvät molemmat kyberturvallisuuden kehittämiseen EU:ssa, mutta ne palvelevat eri tarkoituksia. Kun DORA:n tarkoitus on suojata finanssialaa EU:ssa, NIS2:n kohdealue on laajempi eli kyberturvallisuuden tason yhtenäistäminen EU:ssa. Vaikka DORA säätelee finanssialaa ja se asettaa NIS2-direktiiviä tarkempia velvoitteita, olisi molempien säädösten vaatimukset hyvä opetella tuntemaan. Kyberturvallisuuden uhkiin ja riskeihin varautuminen sekä niiden pienentäminen ovatkin olleet EU:n asetusten taustalla ja uudella DORA-asetuksella pyritään yhtenäistämään sekä kehittämään erityisesti finanssialan tietoturvaa EU:ssa.