Who does DORA apply to?

DORA applies to virtually all EU financial entities: banks, insurance companies, investment firms, payment providers, crypto-asset service providers, and critically, their ICT third-party service providers.

What is the DORA incident reporting deadline?

DORA has the tightest reporting deadline of any EU regulation: an initial report within 4 hours, an intermediate report within 72 hours, and a final report within 1 month.

Does DORA apply to ICT service providers?

Yes, ICT third-party service providers that serve financial entities must comply with DORA contractual requirements (Article 30). Critical ICT providers are subject to direct oversight by European Supervisory Authorities.

DORA

Laki digitaalisen toiminnan kestävyydestä

Kun pankkisi tietojärjestelmä kaatuu, se ei ole pelkästään hankalaa – se on systeeminen riski

Digitaalisen toimintavarmuuden asetus (DORA) on EU:n vastaus yksinkertaiseen kysymykseen: mitä tapahtuu, kun finanssialan tietotekniikka pettää? DORA luo yhtenäisen kehyksen tietotekniikan riskienhallinnalle, poikkeustilanteiden raportoinnille, toimintavarmuustestaukselle ja kolmansien osapuolten riskienhallinnalle koko EU:n finanssialalla. Sillä kun pankki, vakuutusyhtiö tai maksupalveluntarjoaja menettää yhteytensä verkkoon, kyse ei ole pelkästään tietoteknisestä ongelmasta – kyse on järjestelmäriskistä.

Soveltamisala

Käytännössä kaikki EU:n rahoitusalan toimijat: pankit, vakuutusyhtiöt, sijoituspalveluyritykset, maksupalveluntarjoajat, kryptovaroihin liittyvien palvelujen tarjoajat sekä – mikä tärkeintä – niiden ulkoistetut tietotekniikkapalvelujen tarjoajat. Jos tarjoat pilvi-, ohjelmisto- tai datapalveluja rahoitusalalle, DORA koskee myös sinua.

Maantieteellinen kattavuus

EU:n laajuinen asetus, jolla on välitön vaikutus. Sovelletaan kaikkiin EU:ssa toimiluvan saaneisiin rahoituslaitoksiin ja niiden kriittisten tietotekniikkapalvelujen tarjoajiin riippumatta siitä, missä palveluntarjoajat sijaitsevat.

Voimassa vuodesta

17. tammikuuta 2025

Tarkoitus

Jotta finanssiala kykenee selviytymään tieto- ja viestintätekniikkaan liittyvistä häiriöistä, reagoimaan niihin ja toipumaan niistä. Ajattele sitä pankkisi IT-infrastruktuurin kuntotestinä – ja valmentajana toimii Euroopan valvontaviranomainen, joten sinun on syytä ottaa se vakavasti.

Siirry rooliisi:

Rahoituslaitos

Olet säännelty rahoitusalan toimija: pankki, vakuutusyhtiö, sijoituspalveluyritys, maksulaitos, sähköisen rahan laitoksen, arvopaperikeskuksen, luottoluokituslaitoksen tai kryptovaroihin liittyvien palvelujen tarjoaja. Jos sinulla on rahoitusalan toimilupa EU:ssa, DORA koskee sinua.

Velvollisuutesi

Laaditaan ja ylläpidetään kattava tieto- ja viestintätekniikan riskienhallintajärjestelmä (5–16 artikla)
Luokittele ja ilmoita merkittävät tieto- ja viestintätekniikkaan liittyvät poikkeustilanteet: alustava ilmoitus 4 tunnin kuluessa, väliraportti 72 tunnin kuluessa, loppuraportti 1 kuukauden kuluessa (17–23 §)
Suoritetaan säännöllisesti digitaalisen toimintavarmuuden testejä, mukaan lukien uhkalähtöiset tunkeutumistestit (TLPT) merkittävien toimijoiden osalta (24–27 artikla)
Hallitse ICT-alan kolmansien osapuolten riskejä järjestelmällisen due diligence -prosessin, sopimusvaatimusten ja jatkuvan seurannan avulla (28–44 artikla)
Osallistua kyberuhkia koskevaan tietojenvaihtoon (45 artikla)
On varmistettava, että johto kantaa lopullisen vastuun tieto- ja viestintätekniikan riskeistä – koulutus mukaan lukien (5 artiklan 2 kohta)
Pidettävä rekisteriä kaikista tieto- ja viestintätekniikkaan liittyvistä kolmansien osapuolten kanssa tehdyistä sopimuksista (28 artiklan 3 kohta)
Kartoitetaan ICT-resurssit, järjestelmät ja riippuvuussuhteet – myös konsernin eri organisaatiorakenteiden välillä (8 artikla)

Keskeiset artikkelit

5–16 § — Tietotekniikan riskienhallinnan viitekehys17–23 § — Tapahtumien luokittelu ja raportointi24–27 § — Digitaalisen kestävyyden testaus28–44 § — Kolmansien osapuolten riskien hallinta45 § — Tietojen jakaminen

Ammattilaisen vinkki

Neljän tunnin määräaika alkuilmoituksen tekemiselle on EU:n sääntelyssä tiukin. Kehitä automaattinen häiriöiden tunnistusjärjestelmä ja pidä valmiina valmiiksi laadittuja mallipohjia. Kartoita myös jo nyt ICT-riippuvuutesi – kun häiriö iskee, sinun on tiedettävä, mikä palveluntarjoaja on kyseessä ja mitä sopimuksissa sanotaan heidän velvollisuuksistaan.

Tietotekniikan ulkoistettu palveluntarjoaja

Tarjoatte rahoitusalan toimijoille ICT-palveluja: pilvi-infrastruktuuria, pankkijärjestelmäohjelmistoja, maksujen käsittelyä, data-analytiikkaa, kyberturvapalveluja tai IT-ulkoistusta. Jos rahoitusala on riippuvainen järjestelmistänne, DORA:lla on teille sanottavaa – etenkin jos Euroopan valvontaviranomaiset ovat luokitelleet teidät ”kriittiseksi” ICT-palveluntarjoajaksi.

Velvollisuutesi

Tuetaan rahoituslaitoksia säännösten noudattamisessa tarjoamalla niille riittävää tietoa ja varmuutta (28–30 artikla)
Hyväksy sopimuslausekkeet, jotka koskevat seuraavia seikkoja: palvelukuvaukset, tietojen sijainti, turvatoimenpiteet, tukipalvelut tietoturvaloukkausten varalta, tarkastusoikeudet ja irtisanomisstrategiat (30 artikla)
Ilmoitetaan viipymättä tapauksista, jotka vaikuttavat rahoitusalan asiakkaisiin (30 artiklan 2 kohdan e alakohta)
Jos laitos on määritelty kriittiseksi: sen on alistuttava Euroopan valvontaviranomaisten suoraan valvontaan (31–44 artikla)
Jos kyseessä on kriittinen toiminto: huolehditaan asianmukaisista turvallisuusvaatimuksista, suoritetaan arviointeja ja toimitetaan riskitietoja viranomaisille (33–36 artikla)
On varmistettava, että alihankintasopimukset eivät heikennä rahoituslaitoksen kykyä noudattaa säännöksiä (30 artiklan 2 kohdan a alakohta)

Keskeiset artikkelit

28 § — Tietotekniikan kolmansien osapuolten riskejä koskevat yleiset periaatteet30 § — Sopimuksen keskeiset määräykset31–44 § — Kriittisten palveluntarjoajien valvontakehys

Ammattilaisen vinkki

Jos toimit rahoitusalalla, aloita jo nyt sopimustesi tarkistaminen DORA-asetuksen 30 artiklan vaatimusten mukaisesti. Rahoituslaitokset tulevat siirtämään nämä vaatimukset eteenpäin sinulle – ole siis ennakoiva äläkä odota, että ongelmat ilmenevät. DORA-yhteensopivat sopimusmallit osoittavat yrityksesi kypsyyttä ja säästävät neuvotteluaikaa.

Miten Euregas voi auttaa

Käytettävissä olevat työkalut

Tietotekniikan riskinarvioinnit — jäsennellyt arvioinnit, jotka noudattavat DORA-asetuksen 5–16 artiklan vaatimuksia
Häiriöiden hallinta — seuraa ICT-häiriöitä automaattisilla 4 tunnin ja 72 tunnin määräaikamuistutuksilla
Kolmansien osapuolten riskienhallinta (28–44 §) – tieto- ja viestintätekniikan palveluntarjoajien arviointi ja seuranta

Tekoälyllä tuetut ominaisuudet

Semanttinen haku DORA-artikkeleista ja johdanto-osista
Tekoälyn avulla esitäytetyt käsittelyvaiheet DORA-vaatimustenmukaisuustapauksissa

Huomautus

DORA-moduuli tarjoaa manuaalisia, jäsenneltyjä työnkulkuja. Tekoälyavusteiset ominaisuudet (kuten tapahtumien vakavuusluokitus ja automatisoitu TLPT-laajuuden määrittely) on suunniteltu tuleviin versioihin.

Kaikki esimerkit ovat kuvitteellisia ja tarkoitettu vain havainnollistamista varten.