DORA-asetuksen soveltaminen alkoi 17.1.2025

DORA (Digital Operational Resiliency Act) on Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä. Asetusta alettiin soveltamaan 17.1.2025. Se koskee Suomessa lähtökohtaisesti kaikkia Finanssivalvonnan valvottavia, paitsi työeläkeyhteisöjä ja joitakin asetuksessa erikseen mainittuja pieniä toimijoita.

DORA asettaa yhdenmukaiset säännöt finanssiyhteisöjen, kuten pankkien, vakuutusyhtiöiden ja sijoituspalveluyritysten, verkko- ja tietojärjestelmien turvallisuudelle. Asetuksen tavoitteena on varmistaa, että rahoitusala Euroopassa selviytyy vakavistakin tieto- ja viestintätekniikkaan (TVT) liittyvistä toimintahäiriöistä. DORA:n tarkoituksena on edistää sääntelyn ja valvontakäytäntöjen yhdenmukaisuutta, lisätä oikeusvarmuutta ja vähentää kilpailun vääristymistä. DORA kattaa tärkeitä osa-alueita, kuten TVT-riskienhallinnan, TVT-häiriötapahtumat ja niiden raportoinnin viranomaisille, digitaalisen häiriönsietokyvyn testauksen, kolmansien osapuolten TVT-riskien hallinnan sekä tiedonvaihdon finanssiyhteisöjen kesken.

Soveltamisalan piirissä olevien finanssiyhteisöjen on tullut 17.1.2025 alkaen noudattaa asetuksen ja sen nojalla annettujen teknisten sääntelystandardien sekä täytäntöönpanostandardien määräyksiä. 

Valvottavat finanssiyhteisöt ovat todennäköisesti täyttäneet jo entuudestaan suuren osan DORA:n vaatimuksista, koska niitä on jo aiemmin edellytetty lainsäädännössä, Finanssivalvonnan määräyksissä sekä Euroopan valvontaviranomaisten (EBA, ESMA ja EIOPA) ohjeissa. DORA kuitenkin syventää ja tarkentaa näitä vaatimuksia, joten finanssiyhteisöjen on tullut arvioida asetuksen vaikutuksia omaan toimintaansa.

Finanssivalvonnan valvottavatiedotteen 2.1.2025 – 3/2025 mukaan valvonnan painotuksiin vuonna 2025 kuuluvat muun muassa operatiivinen varautuminen, IT- ja kyberriskit sekä lisääntyvään tekoälyn käyttöön ja ulkoistamiseen liittyvät riskit. Lisäksi valvonnan painopisteitä ohjaa uusi sääntely kuten DORA ja sen valvonta. Eurooppalaiset valvontaviranomaiset ovat puolestaan ilmoittaneet, että ne odottavat kansallisilta valvontaviranomaisilta DORA-vaatimusten mukaisia tietorekistereitä 30.4.2025 alkaen. Kaikki tämä lisää finanssiyhteisöjen painetta toiminnan vaatimustenmukaisuuteen.

Finanssiyhteisöjen on osana TVT-riskinhallintajärjestelmäänsä hyväksyttävä kolmansiin osapuoliin liittyvää TVT-riskiä koskeva strategia ja arvioitava sitä säännöllisesti. Huomioon tulee ottaa TVT:hen liittyvien riippuvuuksien ja mahdollisten riskien luonne, laajuus, monitahoisuus ja tärkeys.

Ennen kuin finanssiyhteisöt aloittavat TVT-palveluja käyttöä koskevan uuden sopimusjärjestelyn, niiden on määritettävä ja arvioitava kaikki sopimusjärjestelyyn liittyvät riskit ja varmistettava valintaprosessissaan, että TVT-palveluntarjoaja on sopiva. Finanssiyhteisöjen tulee myös määrittää ja arvioida sopimusjärjestelystä aiheutuvat mahdolliset eturistiriidat. Lisäksi finanssiyhteisöjen on varmistettava, että TVT-palvelujen käyttöä koskeva sopimus voidaan irtisanoa, mikäli tietyt olosuhteet täyttyvät.

DORA sisältää myös keskeiset sopimusmääräykset, jotka tulee sisällyttää finanssiyhteisön ja TVT- palveluntarjoajan väliseen sopimukseen. Sopimuksen tulee sisältää asetuksen 30 artiklan mukaiset oikeudet ja velvollisuudet, kuten palvelutasokuvaukset ja tietojen käsittelypaikat. Kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja koskevia sopimusjärjestelyjä koskevat laajemmat sopimusmääräykset. Kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin tulee esimerkiksi sisällyttää täsmälliset määrälliset ja laadulliset suoritustavoitteet sovittujen palvelutasojen sisällä ja niiden osalta tulee ottaa käyttöön irtautumisstrategiat.

Olennainen käytännön vaikutus onkin olemassa olevan sopimuskannan vaatimustenmukaisuus. Finanssiyhteisöjen tulisi tarkistaa olemassa olevat sopimuksensa ja varmistaa, että DORA:n asettamat sopimusmääräykset on sisällytetty palveluntarjoajien kanssa solmittuihin sopimuksiin. Lisäksi finanssiyhteisöjen tulee huolehtia siitä, että uudet sopimukset ovat sääntelyn mukaisia.

DORA:n soveltaminen alkoi 17.1.2025, joten finanssiyhteisöjen on noudatettava sen asettamia velvoitteita. Toimivaltaisilla viranomaisilla on tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrittää seuraamuksia.

KPMG voi auttaa DORA:n asettamien velvoitteiden tulkinnassa ja sopimusjärjestelyjen toteuttamisessa.