DORA-asetus (Digital Operational Resilience Act) on EU:n uusi finanssialaa koskeva asetus, jolla yhdenmukaistetaan riskien arviointi- ja hallintavaatimukset EU:ssa, luodaan sääntökehys digitaalisten riskien hallintaan finanssialalle ja vahvistetaan finanssialan kyberturvallisuuden tasoa. Suomessa asetus koskee kaikkia Finanssivalvonnan alaisia organisaatioita, paitsi työeläkeyhtiöitä. Asetus astui voimaan tammikuussa 2023 ja sen soveltaminen alkaa kaksi vuotta myöhemmin eli tammikuussa 2025.
DORA-asetuksen taustalla on huoli teknologian nopean kehittymisen aiheuttamista uhkista ja haavoittuvuuksista finanssialalle, jonka vuoksi DORA-asetus kattaa myös alaa palvelevat teknologiayritykset. Usealle teknologiayritykselle tämä tarkoittaa uusia velvoitteita ja vaatimuksia niin lainsäädännön osalta, mutta myös omien asiakkaidensa vaatimusten osalta. ICT-palveluntarjoajat DORA-asetus määrittelee laajalla skaalalla ottaen huomioon nopeasti kehittyvät teknologiat.
DORA-asetus keskittyy kattamaan seuraavien asioiden vaatimuksia:
- Artiklat 5-16: ICT-riskien hallinta
- Artiklat 17-23: ICT-poikkeamien hallinta, luokittelu ja raportointi
- Artiklat 24-27: Digitaalisen häiriönsietokyvyn testaus
- Artiklat 28-44: Kolmansiin osapuoliin liittyvien ICT-riskien hallinta
- Artikla 45: Tietojenvaihtojärjestelyt
Voit lukea tarkemmin artiklojen sisällöistä aiemmasta blogistamme.
Mitä DORA–asetus tarkoittaa finanssialan toimijoille ja teknologiayrityksille?
”Toimimme rahoitusalalla, koskeeko DORA-asetus meitä?”
Organisaation toimiessa rahoitusalalla, on käytännössä kaksi eri vaihtoa, jolloin DORA-asetus koskee organisaatiota.
Ensimmäinen vaihtoehto on, että organisaatio on Finanssivalvonnan alainen. Tällöin kuuluminen DORA-asetuksen piiriin on yksiselitteistä, pois lukien jo aiemmin mainitut työeläkeyhtiöt.
Toinen vaihtoehto on, että organisaation asiakas on nimennyt palveluntarjoajan kriittiseksi, jolloin myös palveluntarjoajan toiminta tulee DORA-säädöksen alaiseksi. Esimerkkinä tällaisesta on sijoituspalvelun ICT-toimittaja. Toisin sanoen, asiakasorganisaatiota itseään koskee DORA-vaatimukset, ja näin ollen vaatimukset valuvat toimitusketjussa alaspäin kuten NIS2-regulaatiossa. Näissä tapauksissa asiakkaan täytyy vaatia DORA:an liittyviä vaatimuksia, esimerkiksi häiriönhallintaa ja raportointia, riskienhallintaa sekä jatkuvuussuunnittelua, toimittajan kanssa tehdyissä sopimuksissa vähintään kriittisten palveluiden osalta.
On hyvä kuitenkin muistaa, että asetuksessa on poikkeuksia sekä toimialojen että pienten organisaatioiden kohdalla. DORA-asetus myös noudattaa suhteellisuusperiaatetta, jolloin vaatimuksia sovelletaan suhteessa organisaatioon ja sen toiminnan kokoon sekä riskiprofiiliin.
Poikkeukset löytyvät EU:n DORA Article 2: Scope listasta.
“Tarjoamme pilvipalvelua tai softakehitystä pankeille, koskeeko DORA-asetus meitä?”
Jos tarjottu pilvipalvelu tai ohjelmistokehitys liittyy DORA:aan tai se voisi aiheuttaa merkittäviä häiriöitä pankin toiminnalle, voi asetus koskea palveluntarjoajaa. Esimerkki tällaisesta tilanteesta voisi olla pankin lainajärjestelmän ylläpito tai sovelluskehitys.
”Toimimme ISO 27001 –standardin mukaisesti, kattaako tämä DORA:n vaatimukset?”
DORA-asetuksessa ja ISO 27001 -viitekehyksessä on paljon samoja vaatimuksia, mutta ISO 27001 –viitekehys ei täytä automaattisesti DORA:n vaatimuksia. ISO 27001 –viitekehys tukee DORA-asetusta, mutta ISO 27001 –standardi ei sisällä esimerkiksi seuraavia DORA–asetuksen vaatimuksia:
- Teknologinen toimintavarmuus finanssialan toimijoiden ICT-järjestelmissä, protokollissa ja työkaluissa (Artikla 7)
- Tieto- ja viestintätekniikkaan liittyvien riskien hallinta (Artikla 15)
- Digitaalisen häiriönhallinnan kattava testausohjelma (Artikla 24)
- Uhkaperusteinen tunkeutumistestaus (Threat-led –penetration testing) Artikla 26
Monet eroavaisuudet ISO 27001 -viitekehyksessä ja DORA-asetuksessa liittyvät testaukseen ja testauksen laajuuteen, jotka ovat DORA:ssa paljon syvällisempiä kuin ISO 27001:ssä. Koska DORA on velvoittavaa lainsäädäntöä, ei ISO 27001 –sertifiointi riitä vastamaan DORA:n kaikkia vaatimuksia. On myös hyvä huomioida, että ISO 27001 –standardi on laadittu sovellettavaksi usealla eri toimialalla, kun taas DORA on laadittu erityisesti vastamaan finanssialan riskeihin.
Tavoitteena parantaa finanssialan tietoturvaa
DORA–asetus koskee kattavasti finanssialaa ja nyt vaatimukset myös laajenevat monelle alaa palvelevalle teknologiayritykselle. Tavoitteena on parantaa ja taata finanssialan toimijoiden toiminta häiriötilanteissa ja pienentää kyberhyökkäysten uhkia, sillä finanssiala on yhä enenevissä määrin riippuvainen erilaisista teknologioista. Asetus on velvoittava EU-alueella toimiville yrityksille ja sen rikkomisesta voidaan määrätä sanktioita.