Etusivu Finanssialan regulaatio Digitaalisen häiriönsietokyvyn asetus DORA lisää velvoitteita finanssialalle ja ICT-palveluntarjoajille

Digitaalisen häiriönsietokyvyn asetus DORA lisää velvoitteita finanssialalle ja ICT-palveluntarjoajille

29.04.2024

DORAn (Digital Operational Resiliency Act, Euroopan parlamentin asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä) soveltaminen alkaa vuoden 2025 alusta. (1) Luonnoksia tarkemmista sääntelystandardeista on jo julkaistu ja lopulliset versiot ovat odotettavissa kesällä 2024.

DORA-asetuksen tarkoituksena on parantaa finanssialan toimijoiden kykyä sietää ja ennakoida niiden liiketoiminnassaan käyttämien tietojärjestelmien vikoja ja häiriöitä sekä ehkäistä kyberhyökkäyksiä entistä paremmin. Ennen kaikkea DORA asettaa vaatimuksia myös finanssialan ICT-palveluntarjoajille, mukaan lukien pilvipalvelujen tarjoajat. Samalla asetus harmonisoi sääntelyä sekä yhdenmukaistaa valvojien käytäntöjä EU:n alueella, ja tämä omalta osaltaan helpottaa finanssialan toimijoiden kansainvälistymisen.

Uuden sääntelykehikon soveltamisala

DORA velvoittaa finanssialan toimijoita laajasti: ainoastaan tietyt toimijat, kuten esimerkiksi työeläkeyhtiöt ja rekisteröidyt vaihtoehtorahastojen hoitajat jäävät soveltamisalan ulkopuolelle. Asetus huomioi myös toimijoiden koon, ja mahdollistaa näin suhteellisuusperiaatteen soveltamisen.

Niin sanotuille mikroyrityksille (2) on myönnetty helpotuksia useasta asetuksen vaatimuksesta. Sääntelyn vaatimat ICT:hen liittyvien poikkeamien hallintaprosessi, näiden poikkeamien ja kyberuhkien luokittelu sekä poikkeamista raportointi koskevat kaikkia toimijoita koosta riippumatta, kun taas esimerkiksi ICT-välineiden, -järjestelmien ja -prosessien testausta koskevista vaateista mikroyritykset ovat vapautettuja.

Lisäksi seuraavat toimijat saavat laatia yksinkertaistetun riskienhallintajärjestelmän TVT-palveluidensa (3) (ICT – palveluidensa) osalta:

  • pienet ja ilman sidonnaissuhteita olevat sijoituspalveluyritykset (ns. vakavaraisuusluokkaan III kuuluvat sijoituspalveluyritykset),
  • rekisteröidyt maksupalveluntarjoajat, jotka saavat toimia ilman toimilupaa (pois lukien tilitietopalvelun tarjoajat),
  • sähköisen rahan liikkeeseenlaskijat, joiden ei ole tarvinnut hakea toimilupaa sekä
  • pienet ammatillisia lisäeläkkeitä tarjoavat laitokset.

(1) Soveltaminen alkaa 17.1.2025, itse asetus tullut voimaan 16.1.2023

(2) ’Mikroyrityksellä’ tarkoitetaan muuta finanssiyhteisöä kuin kauppapaikkaa, keskusvastapuolta, kauppatietorekisteriä tai arvopaperikeskusta, jonka palveluksessa on alle 10 henkilöä ja jonka vuosiliikevaihto ja/tai vuositaseen loppusumma on enintään 2 miljoonaa euroa

(3) ’TVT-palveluilla’ tarkoitetaan TVT-järjestelmien kautta yhdelle tai useammalle sisäiselle tai ulkopuoliselle käyttäjälle jatkuvasti tarjottavia digitaalisia ja datapalveluja, mukaan lukien laitteistot palveluna ja laitteistopalvelut, joihin sisältyy teknisen tuen tarjoaminen laitteiston tarjoajan ohjelmisto- tai laiteohjelmistopäivitysten kautta, lukuun ottamatta perinteisiä analogisia puhelinpalveluja;

Sääntelyn asettamat vaatimukset – uutta ja vanhaa

DORAn asettamat uudet vaatimukset ovat tietyiltä osin jo vastaavia kuin mitä sääntely on aiemminkin velvoittanut toimijoilta, mutta DORA yksilöi vaatimukset tarkemmin sekä syventää vaatimuksia nimenomaan huomiomaan ICT-asiat. DORA edellyttää muutoksia toimijan riskienhallintajärjestelmään, vahinkotapahtumien raportointiin, digitaalisen häiriönsietokyvyn testaukseen, kolmansiin osapuoliin liittyvien riskien valvontaan ja tiedon jakamiseen niin muille valvottaville kuin valvojalle.

Riskienhallintajärjestelmän päivitys tarkoittaa muutoksia ainakin riskienhallintaperiaatteisiin, riskiarvioon, seurantaan ja jatkuvuussuunnitteluun. Hyvän ja kattavan riskienhallintakehikon avulla toimijat kykenevät puuttumaan ICT-riskiin nopeasti ja tehokkaasti ja näin varmistamaan korkeatasoisen digitaalisen häiriönsietokyvyn. DORA asettaa vaatimuksen myös sisäiselle tarkastukselle tarkastaa säännöllisin väliajoin toimijan ICT-riskienhallintajärjestelmä.

ICT-riskien valvonnassa havaitut asiat tulee raportoida hallitukselle ja hallitus myös sääntelyn mukaan kantaa viime kädessä vastuun ICT-riskeistä. Lisäksi DORA asettaa hallitukselle velvollisuuden ylläpitää omia tietojaan ja osaamistaan ICT-riskeistä ja niiden vaikutuksesta ja vaikutusten ymmärtämistä. Toimijoiden tulee myös perustaa tehtävä, johon kuuluu ICT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen ICT-palvelujen käyttöä koskevien järjestelyjen valvonta, tai nimettävä ylemmän johdon jäsen vastaamaan niihin liittyvän kokonaisriskin ja niitä koskevan dokumentaation valvonnasta.

Finanssialalle EU-maissa ICT-palveluja tarjoaville yrityksille, jotka katsotaan kriittisiksi, tulee oma valvontakehikko ja jokaiselle kriittiselle palveluntarjoajalle oma päävalvoja, joka on yksi kolmesta Euroopan rahoitusmarkkinaviranomaisesta (EBA, ESMA tai EIOPA). Asetus mahdollistaa valvottavien välisen vapaaehtoispohjalta tapahtuvan kyberuhkia koskevan tietojenvaihdon valvottavien kesken ja kyberuhkista ilmoittamisen valvojalle.

Mitä finanssialan toimijoiden tulisi tehdä?

Jotta finanssialan toimijat voisivat huolehtia DORA-velvoitteistaan, erityisesti kolmansiin osapuoliin liittyvästä riskienvalvonnasta, tulee niiden tehdä muutoksia olemassa olevien ICT-palveluntarjoajien kanssa tehtyihin sopimuksiin ja huolehtia, että uudet sopimukset vastaavat sääntelyn velvoitteita. DORA velvoittaa jatkossa tekemään huolellisen due diligencen palveluntarjoajasta, arvioimaan palveluntarjoajan soveltuvuuden sekä laatimaan eturistiriitatilanteiden kartoituksen. Sopimuksiin tulee ottaa mahdollisuus purkaa ne sääntelyn edellyttämissä tapauksissa, kriittisistä ja merkittävistä palveluntarjoajista on laadittava exit-strategia ja sopimusosapuolten kanssa tulee olla laadittuna palvelutasosopimus (SLA). ICT-palveluntarjoajilta itseltään taas edellytetään toipumis- ja jatkuvuussuunnitelmaa sekä tietoturvallisuutta. DORAn mukaan finanssialan toimija ei saa solmia ICT-palveluista sopimusta, mikäli palveluntuottaja ei kykene sitoutumaan DORAn asettamiin sopimusvaateisiin. Vaatimukset sopimussuhteisiin muistuttavat pitkälti jo olemassa olevan ulkoistamissääntelyn vaatimuksia DORAn tuodessa ICT-palveluihin liittyvät erityisyydet paremmin esille. Uutta on se, että vaatimukset laajenevat myös itse palveluntarjoajiin.

Kaiken kaikkiaan toimijoiden tulee perehtyä DORA-sääntelyyn huolella, laatia listaus jo olemassa olevista käytänteistään ja tätä kautta havainnoida vaatiko DORAn mukanaan tuomat vaatimukset muutoksia ja jos vaativat, niin minkälaisia.

Teksti: Katariina Pesonen, Counsel, [email protected]

Lisätiedot: Emilia Lostedt, Hanna Huttunen, Mikko Koskinen, Elina Väärä, Jesse Kinnaslampi, Rebecca Rafkin

Lisää aiheesta

MiCA:n soveltaminen etenee – Finanssivalvonta ottaa vastaan kryptovarapalvelujen tarjoajien toimilupahakemuksia 1.9.2024 alkaen

EU:n asetus kryptovaramarkkinoista EU:n asetus kryptovaramarkkinoista (”MiCA”) […]

Finanssivalvonnan täydennetty tulkinta y-tunnuksettomien oikeushenkilöiden tuntemistiedoista

Asiakkaalta kerättävät tuntemistiedot ja niiden säilyttäminen Finanssivalvonta […]

Uudet pakotteita ja jäädyttämispäätöksiä koskevat Finanssivalvonnan määräykset ja ohjeet astuvat voimaan 1.3.2024

Finanssialan toimijoita koskevat pakotesääntelyn noudattamiseen liittyvät velvoitteet […]

Lexia onnittelee Arvo Sijoitusosuuskuntaa historiallisesta saavutuksesta!

Tiistaina 20.6.2023 pääsimme juhlimaan ensimmäistä osuuskunnan listautumista. […]

Back to Top