DORA-asetus: ICT-sopimusrekisterin raportointi lähestyy, oletko valmis?
27.03.2025

Finanssialaan ja ICT-palveluntarjoajiin laaja-alaisesti vaikuttavan DORA-asetuksen soveltaminen alkoi 17.1.2025, ja finanssialan toimijat jatkavat parhaillaan sääntelykehikon käytännön implementointia toimintaansa. Seuraava merkittävä askel implementointityössä on valmistautuminen ensimmäiseen DORA-sääntelykehikon mukaiseen säännölliseen raportointiin, eli ICT-sopimusrekisterin raportointiin. Finanssialan toimijoiden tulee raportoida ICT-sopimusrekisterinsä Finanssivalvonnalle ensimmäisen kerran 30.4.2025 mennessä.
Mikä on DORA-asetus?
DORA (Digital Operational Resiliency Act, Euroopan parlamentin asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä) astui voimaan vuonna 2023, ja sen soveltaminen alkoi 17.1.2025. DORA:n tarkoituksena on parantaa finanssialan toimijoiden kykyä sietää ja ennakoida tietojärjestelmiensä häiriöitä sekä ehkäistä niihin kohdistuvia kyberhyökkäyksiä entistä paremmin. Monet DORA:n vaatimuksista vastaavat tietyiltä osin finanssialan sääntelyssä jo olemassa olleita operatiivisen riskienhallinnan velvoitteita, mutta tuovat niihin tarkennuksia nimenomaan ICT-näkökulmasta. Vaikka DORA-sääntelykehikko pääosin asettaa velvoitteita finanssialan toimijoille, se vaikuttaa myös ICT-palveluntarjoajiin, jotka tarjoavat palveluja finanssialan toimijoille. Myös ICT-palveluntarjoajien tulee noudattaa tiettyjä DORA:n asettamia vaatimuksia, ja ns. kriittisille ICT-palveluntarjoajille on rakennettu erillinen DORA:n mukainen valvontakehys.
ICT-sopimusrekisteri laaditaan sääntelyn asettaman mallin mukaisesti
Finanssialan toimijoiden tulee osana ICT-riskienhallintajärjestelmäänsä ylläpitää ns. ICT-sopimusrekisteriä (tietorekisteri, ICT Register of Information, ROI). Rekisteri laaditaan DORA:n delegoidun asetuksen ((EU) 2024/2956) tarkentavien kriteerien mukaisesti, ja sisältää tietoa kaikista finanssialan toimijan ICT-palveluntarjoajien kanssa tehdyistä ICT-palvelusopimuksista. Rekisteri on pitkälti määrämuotoinen, ja vaatii huomattavan määrän tietoa finanssialan toimijan käyttämistä ICT-palveluista ja -palveluntarjoajista. Tarvittavien tietojen kerääminen on osoittautunut monelle toimijalle haastavaksi.
Finanssialan toimijoiden eli finanssiyhteisöjen tulee raportoida ICT-sopimusrekisterin tiedot vuosittain Finanssivalvonnalle raportointiportaalin kautta. Ensimmäinen raportointi tulee tehdä 31.3.2025 mukaisesta tilanteesta viimeistään 30.4.2025 mennessä. Lähestyvästä raportoinnista huolimatta ICT-sopimusrekisteriraportointiin liittyviä toiminnallisuuksia ei ole vielä julkaistu Finanssivalvonnan raportointiportaalissa. Finanssivalvonnalta on odotettavissa erillinen raportointitiedote ICT-sopimusrekisterin lähestyvästä raportoinnista lähipäivinä, kun raportointiin tarvittava toiminnallisuus julkaistaan.
Raportoinnilla laaja-alainen merkitys
Raportointi Finanssivalvonnalle on keskeinen osa DORA-sääntelyä. Sen avulla Finanssivalvonta voi arvioida finanssialan toimijoiden kykyä hallita ICT-riskejä ja varmistaa, että toimijat noudattavat asetuksen vaatimuksia. Raportointi auttaa myös tunnistamaan mahdolliset heikkoudet ja kehityskohteet finanssialan toimijoiden ICT-riskienhallinnassa. ICT-sopimusrekisterin raportoinnilla on kuitenkin myös laajempi merkitys DORA-kehikossa, sillä Euroopan valvontaviranomaiset (EBA, ESMA, EIOPA) käyttävät raportoituja tietoja DORA:n mukaisten kriittisten ICT-palveluntarjoajien (critical ICT third-party service providers, CTTPs) tunnistamiseen. Kriittisiin ICT-palveluntarjoajina oleviin kolmansiin osapuoliin sovelletaan erillistä DORA-asetuksen mukaista valvontakehitystä. Tämänhetkisten tietojen mukaan Euroopan valvontaviranomaiset nimeävät kriittiset ICT-palveluntarjoajat heinäkuuhun 2025 mennessä.
Lexia apuna DORA-sääntelykehikon implementoinnissa
Vaikka DORA:n soveltaminen alkoi jo tammikuussa, monen finanssiyhteisön toimenpiteet uuden sääntelykehikon implementoimiseksi ovat edelleen kesken. Lexia Asianajotoimiston kokeneet asiantuntijat tarjoavat tarvittavan juridisen tuen ja tulkinta-avun DORA-sääntelykehikon implementoinnissa finanssialan toimijoiden käytännön toimintaan. Tutustu tarkemmin asiantuntijoihimme alla.
Artikkelin kirjoittaja: Emilia Lostedt, Counsel, [email protected]
Asiantuntijat: Emilia Lostedt, Katariina Pesonen, Elina Väärä, Jesse Kinnaslampi, Rebecca Rafkin