Digital Operational Resilience Act (DORA) on uusi EU-asetus, joka vahvistaa rahoitusalan toimijoiden kyberturvallisuutta ja operatiivista jatkuvuutta. DORA:n tavoitteena on varmistaa, että rahoitusmarkkinoiden toimijat pystyvät sietämään ja hallitsemaan digitaalisia riskejä, kuten kyberhyökkäyksiä ja IT-häiriöitä, sekä edistää niiden ennakoivaa hallintaa.
Asetus ei koske vain yksittäisten yritysten taloudellista vakautta, vaan myös koko EU:n rahoitusmarkkinoiden toimintavarmuutta ja turvallisuutta. DORA luo yhtenäiset ja sitovat säännöt digitaalisen resilienssin hallintaan, varmistaen koko unionin laajuisen kyberturvallisuusstandardin.
Miksi DORA-asetus on tärkeä ja ketä se koskee?
DORA on merkittävä askel kohti vahvempaa digitaalista turvallisuutta, sillä se kattaa yli 22 000 rahoitusalan ja ICT-palvelujen tarjoajaa EU:n alueella. DORA:n tavoitteena on lisätä yhdenmukaisuutta, parantaa riskienhallintaa ja vahvistaa rahoitussektorin luottamusta digitaalisessa toimintaympäristössä. Se asettaa oikeudellisesti sitovat vaatimukset muun muassa seuraaville tahoille:
Pankit ja sijoituspalveluyritykset
Vakuutusyhtiöt ja -edustajat
Kryptovaluutan palveluntarjoajat
Pilvipalveluntarjoajat ja muut ICT-palveluiden toimittajat
Mitkä ovat DORA:n keskeiset osa-alueet?
Asetus keskittyy viiteen ydinteemaan, jotka kattavat rahoitusalan toimijoiden digitaalisen kestävyyden eri näkökulmat.
ICT-riskienhallinta
Rahoitusalan toimijoiden tulee toteuttaa kattava ICT-riskienhallinnan järjestelmä, joka sisältää:
Kriittisten toimintojen ja resurssien tunnistamisen ja dokumentoinnin
ICT-palvelujen riskien jatkuvan seurannan ja suojautumiskeinot
Poikkeamien nopean havaitsemisen ja niihin reagoinnin
Liiketoiminnan jatkuvuussuunnitelmat ja katastrofitilanteisiin varautumisen
Suunnitelmien vuosittaisen testaamisen
ICT-palveluihin liittyvät häiriötilanteet ja niiden raportointi
Rahoitusalan toimijoiden on kehitettävä tehokas prosessi ICT-palvelujen häiriötilanteiden tunnistamiseen ja raportointiin. Asetus edellyttää:
Kaikkien merkittävien ICT-häiriöiden raportointia viranomaisille
Alustavan raportin, väliraportin ja loppuraportin toimittamista
Raportoinnin yhdenmukaistamista Euroopan valvontaviranomaisten (EBA, EIOPA, ESMA) kriteerien mukaisesti
Digitaalisen häiriönsietokyvyn testaus
Kaikkien toimijoiden tulee huolehtia digitaalisen häiriönsietokyvn testauksesta:
Vuosittainen perustason ICT-työkalujen ja -järjestelmien testaus
Kriittisiin ICT-palveluihin liittyvien toimijoiden on suoritettava laajamittaisia testauksia (Threat-Led Penetration Testing, TLPT) vähintään kolmen vuoden välein
Testauksissa havaitut haavoittuvuudet ja puutteet tulee korjata viipymättä.
Kolmansien osapuolten ICT-palveluihin liittyvien riskien hallinta
Rahoitusalan toimijoiden on seurattava tehokkaasti riskejä, jotka liittyvät kolmansien osapuolten tarjoamiin palveluihin:
Valvottava ulkoistettujen ICT-palveluiden turvallisuutta
Ilmoitettava kaikki ulkoistetut toiminnot ja niihin liittyvät muutokset
Varmistettava, että palvelusopimukset sisältävät kattavat tietoturvamääritykset
Noudatettava Euroopan unionin valvontaviitekehystä kriittisille ICT-palveluntarjoajille
Tietojenvaihto ja yhteistyö
Tietojenvaihto ja yhteistyö auttaa organisaatioita reagoimaan nopeammin ja ennakoimaan mahdollisia uhkia seuraavin keinoin:
Rahoitusalan toimijoiden keskinäinen tietojenvaihto kyberuhista ja mahdollisista hyökkäyksistä
Viranomaisten toimittama anonymisoitu ja relevantti tieto kyberuhkista, jonka avulla toimijat voivat parantaa omaa tietoturvaansa
Milloin DORA tulee voimaan?
DORA astui voimaan 16. tammikuuta 2023. Asetuksen vaatimusten täyttämiseen on myönnetty kahden vuoden siirtymäaika, joten rahoitusalan toimijoiden tulee noudattaa sitä täysimääräisesti vuoden 2025 alusta lähtien.
Kuinka valmistautua DORA-asetukseen?
DORA:n noudattaminen edellyttää huolellista valmistautumista ja muutoksia organisaatioiden kyberturvallisuus- ja riskienhallintakäytäntöihin. Suositeltuja toimenpiteitä ovat:
Riskienhallinnan arviointi ja kehittäminen: ICT-riskejä koskevan prosessien ja toimintamallien tarkistaminen.
Häiriötilanteiden hallinnan kehittäminen: Raportointivelvoitteiden ja jatkuvuussuunnitelmien päivittäminen.
Ulkopuolisten palveluntarjoajien valvonta: Sopimusten ja vaatimustenmukaisuuden tarkastaminen.
Testauksen ja auditointien suorittaminen: Digitaalisen häiriönsietokyvyn testaus ja haavoittuvuuksien analysointi.
ICT-Kumppanit: Toimintamallit, palvelut, kyvykkyydet sekä sopimukset on hyvä käydä läpi yhdessä kumppanin kanssa ja katsoa, että ne ovat linjassa DORA vaatimusten kanssa.
Bitmore auttaa DORA-vaatimusten täyttämisessä
Bitmorella on laaja kokemus rahoitusalan toimijoiden kanssa työskentelystä ja DORA-vaatimusten jalkauttamisesta. Olemme tarkastelleet useiden asiakkaidemme kanssa DORA:n vaatimuksia ja sovittaneet niitä tarjoamiimme palveluihin. Meiltä löytyvät ratkaisut, joilla DORA-vaatimuksiin voidaan vastata, sekä valmiit sopimuspohjat DORA:n sääntelyn alaisille asiakkaille.
Onko organisaatiosi valmis DORA:n vaatimuksiin? Ota yhteyttä – autamme sinua rakentamaan digitaalisen resilienssin!