Etusivu Finanssialan regulaatio DORA-asetus: ICT-sopimusrekisterin raportointi lähestyy, oletko valmis?

DORA-asetus: ICT-sopimusrekisterin raportointi lähestyy, oletko valmis?

27.03.2025

DORA-asetus: ICT-sopimusrekisterin raportointi lähestyy

Finanssialaan ja ICT-palveluntarjoajiin laaja-alaisesti vaikuttavan DORA-asetuksen soveltaminen alkoi 17.1.2025, ja finanssialan toimijat jatkavat parhaillaan sääntelykehikon käytännön implementointia toimintaansa. Seuraava merkittävä askel implementointityössä on valmistautuminen ensimmäiseen DORA-sääntelykehikon mukaiseen säännölliseen raportointiin, eli ICT-sopimusrekisterin raportointiin. Finanssialan toimijoiden tulee raportoida ICT-sopimusrekisterinsä Finanssivalvonnalle ensimmäisen kerran 30.4.2025 mennessä.

Mikä on DORA-asetus?

DORA (Digital Operational Resiliency Act, Euroopan parlamentin asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä) astui voimaan vuonna 2023, ja sen soveltaminen alkoi 17.1.2025. DORA:n tarkoituksena on parantaa finanssialan toimijoiden kykyä sietää ja ennakoida tietojärjestelmiensä häiriöitä sekä ehkäistä niihin kohdistuvia kyberhyökkäyksiä entistä paremmin. Monet DORA:n vaatimuksista vastaavat tietyiltä osin finanssialan sääntelyssä jo olemassa olleita operatiivisen riskienhallinnan velvoitteita, mutta tuovat niihin tarkennuksia nimenomaan ICT-näkökulmasta. Vaikka DORA-sääntelykehikko pääosin asettaa velvoitteita finanssialan toimijoille, se vaikuttaa myös ICT-palveluntarjoajiin, jotka tarjoavat palveluja finanssialan toimijoille. Myös ICT-palveluntarjoajien tulee noudattaa tiettyjä DORA:n asettamia vaatimuksia, ja ns. kriittisille ICT-palveluntarjoajille on rakennettu erillinen DORA:n mukainen valvontakehys.

ICT-sopimusrekisteri laaditaan sääntelyn asettaman mallin mukaisesti

Finanssialan toimijoiden tulee osana ICT-riskienhallintajärjestelmäänsä ylläpitää ns. ICT-sopimusrekisteriä (tietorekisteri, ICT Register of Information, ROI). Rekisteri laaditaan DORA:n delegoidun asetuksen ((EU) 2024/2956) tarkentavien kriteerien mukaisesti, ja sisältää tietoa kaikista finanssialan toimijan ICT-palveluntarjoajien kanssa tehdyistä ICT-palvelusopimuksista. Rekisteri on pitkälti määrämuotoinen, ja vaatii huomattavan määrän tietoa finanssialan toimijan käyttämistä ICT-palveluista ja -palveluntarjoajista. Tarvittavien tietojen kerääminen on osoittautunut monelle toimijalle haastavaksi.

Finanssialan toimijoiden eli finanssiyhteisöjen tulee raportoida ICT-sopimusrekisterin tiedot vuosittain Finanssivalvonnalle raportointiportaalin kautta. Ensimmäinen raportointi tulee tehdä 31.3.2025 mukaisesta tilanteesta viimeistään 30.4.2025 mennessä. Lähestyvästä raportoinnista huolimatta ICT-sopimusrekisteriraportointiin liittyviä toiminnallisuuksia ei ole vielä julkaistu Finanssivalvonnan raportointiportaalissa. Finanssivalvonnalta on odotettavissa erillinen raportointitiedote ICT-sopimusrekisterin lähestyvästä raportoinnista lähipäivinä, kun raportointiin tarvittava toiminnallisuus julkaistaan.

Raportoinnilla laaja-alainen merkitys

Raportointi Finanssivalvonnalle on keskeinen osa DORA-sääntelyä. Sen avulla Finanssivalvonta voi arvioida finanssialan toimijoiden kykyä hallita ICT-riskejä ja varmistaa, että toimijat noudattavat asetuksen vaatimuksia. Raportointi auttaa myös tunnistamaan mahdolliset heikkoudet ja kehityskohteet finanssialan toimijoiden ICT-riskienhallinnassa. ICT-sopimusrekisterin raportoinnilla on kuitenkin myös laajempi merkitys DORA-kehikossa, sillä Euroopan valvontaviranomaiset (EBA, ESMA, EIOPA) käyttävät raportoituja tietoja DORA:n mukaisten kriittisten ICT-palveluntarjoajien (critical ICT third-party service providers, CTTPs) tunnistamiseen. Kriittisiin ICT-palveluntarjoajina oleviin kolmansiin osapuoliin sovelletaan erillistä DORA-asetuksen mukaista valvontakehitystä. Tämänhetkisten tietojen mukaan Euroopan valvontaviranomaiset nimeävät kriittiset ICT-palveluntarjoajat heinäkuuhun 2025 mennessä.

Lexia apuna DORA-sääntelykehikon implementoinnissa

Vaikka DORA:n soveltaminen alkoi jo tammikuussa, monen finanssiyhteisön toimenpiteet uuden sääntelykehikon implementoimiseksi ovat edelleen kesken. Lexia Asianajotoimiston kokeneet asiantuntijat tarjoavat tarvittavan juridisen tuen ja tulkinta-avun DORA-sääntelykehikon implementoinnissa finanssialan toimijoiden käytännön toimintaan. Tutustu tarkemmin asiantuntijoihimme alla.

Artikkelin kirjoittaja: Emilia Lostedt, Counsel, [email protected]

Asiantuntijat: Emilia Lostedt, Katariina Pesonen, Elina Väärä, Jesse Kinnaslampi, Rebecca Rafkin

Lisää aiheesta

Lexia avusti Kvarn Investment Services Oy:tä toimilupahakemuksessa

Kvarn-konserni laajentuu sijoituspalvelumarkkinoille – Lexia toimi neuvonantajana […]

Uusi Listing Act -sääntely astui voimaan 4.12.2024

EU:n ns. Listing Act -sääntelypaketti astui voimaan […]

Lexia tarjoaa sääntelyn vaatimaa koulutusta rahanpesun ja terrorismin rahoittamisen estämisestä sekä pakotesääntelyn noudattamisesta

Koulutusvelvoite rahanpesun ja terrorismin rahoittamisen estämiseen sekä […]

MiCA:n soveltaminen etenee – Finanssivalvonta ottaa vastaan kryptovarapalvelujen tarjoajien toimilupahakemuksia 1.9.2024 alkaen

EU:n asetus kryptovaramarkkinoista EU:n asetus kryptovaramarkkinoista (”MiCA”) […]

Back to Top