DORA-asetuksen mukaan lopullisen vastuun finanssiyhteisöjen TVT-riskeistä kantavat 2025 alkaen yhteisöjen ylimmät hallintoelimet, eli käytännössä hallitukset. Kaikkien finanssiyhteisöjen tai finanssialalle TVT-palveluita tarjoavien yhtiöiden olisi syytä ryhtyä arvioimaan DORAn vaikutuksia strategiaan, prosesseihin ja toimintaan yleisesti. Aivan kuten GDPR meille opetti, tarvittavat muutokset eivät tule nimittäin syntymään yhdessä yössä.
DORA (Digital Operational Resilience Act) on finanssialan digitaalisesta häiriönsietokyvystä 27.12.2022 annettu asetus ((EU) 2022/2554), jonka soveltaminen alkaa 17.1.2025. Asetuksen tarkoituksena on yhdenmukaistaa EU-tasolla finanssiyhteisöjen liiketoimintaprosesseja tukevien verkko- ja tietojärjestelmien turvallisuutta koskevat vaatimukset. Vaikka asetuksessa pääasiallisesti puhutaan digitaalisesta häiriönsietokyvystä, kyse on itse asiassa laajemmin yhteisön tieto- ja viestintätekniikkaympäristön (TVT:n), kuten sopimuskannan, hallinnasta.
Aiemman varsin kirjavan mallin pohjalta EU-tasoiset ja kansalliset valvontaviranomaiset saattoivat antaa toisistaan poikkeavia ohjeistuksia. DORA tarjoaakin toimialalle johdonmukaisen valvontamallin lisäksi myös yhtenäiset digitaalisen häiriönsietokyvyn ja tietoturvan käytännöt finanssialan toimijoille ja TVT-palveluntarjoajille EU:n alueella.
DORA koskee yli 22 000 rahoitusalan toimijaa ja TVT-palveluntarjoajaa arvopaperikeskuksista pankkeihin ja kryptovaluutan tarjoajiin. Lisäksi asetuksessa määritellään erikseen kriittiset TVT-palveluntarjoajat, joihin sovelletaan osin tiukennettuja säännöksiä.
DORAn viisi tärkeintä osa-aluetta ovat: (i) TVT-riskien hallinta, (ii) TVT-palveluihin liittyvät häiriötilanteet, (iii) digitaalisen häiriönsietokyvyn testaus, (iv) TVT-palveluntarjoajien tarjoamiin palveluihin liittyvien riskien hallinta sekä (v) tietojenvaihto finanssiyhteisöjen kesken. Osana TVT-palveluntarjoajiin liittyvää riskien hallintaa säädetään muun muassa keskeisistä sopimusmääräyksistä, jotka on otettava osaksi palveluntarjoajien kanssa tehtäviä sopimuksia.
DORA tuo täysin uudella tavalla valvonnan keskiöön yhteisöjen ylimmät hallintoelimet, eli käytännössä hallitukset, jotka asetuksen mukaan kantavat lopullisen vastuun finanssiyhteisön TVT-riskistä.
Hallituksen on muun muassa määriteltävä ja vahvistettava TVT-riskinhallintajärjestelmään liittyvät järjestelyt, kuten strategia, valvottava niiden toteuttamista sekä aktiivisesti ylläpidettävä riittävää tietotasoa ja osaamista esimerkiksi kouluttautumalla säännöllisesti. Koska lopullinen vastuu tarkoittaa samalla myös henkilökohtaista vastuuta, on välttämätöntä, että hallitus pysyy ajan tasalla yhteisönsä TVT-ympäristöstä – sen heikkouksista, vahvuuksista ja siinä tapahtuvista muutoksista.
Jos yhteisössä tai finanssialalle TVT-palveluja tarjoavassa yhtiössä ei ole vielä ryhdytty arvioimaan DORAn vaikutuksia strategiaan, prosesseihin ja toimintaan yleisesti, nyt olisi korkea aika. Aivan kuten tietosuoja-asetuksessa, vaadittavat muutokset ja tarvittava dokumentaatio eivät nimittäin synny yhdessä yössä.
Valmistautuminen olisi hyvä aloittaa nimeämällä yhteisöön DORAn toteutustiimi. Toteutustiimin olisi suositeltavaa olla monialainen. Juridisen osaamisen ohella esimerkiksi tekninen osaaminen on tarpeen riskien arvioinnissa.
Yhdelle hallituksen jäsenelle kannattaa antaa vastuu toteutuksen johtamisesta, jotta vaatimusten noudattamisesta varmistutaan yhteisön ylimmällä tasolla saakka. Useimmissa yhteisöissä edellytetään myös tehtävän perustamista TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen TVT-palvelujen käyttöä koskevien järjestelyjen valvontaan liittyen. Hallituksen jäsenellä tulisikin valmisteluissa olla aisaparinaan ainakin kyseiseen tehtävään nimetty henkilö.
Työt on hyvä aloittaa nykyisen sietokyvyn tunnistamisesta ja niin sanotusta aukkoanalyysista. Digitaalisista toiminnoista, järjestelmistä, riippuvuuksista ja kolmannen osapuolen TVT-palveluntarjoajien sopimuksista tehdään kattava kirjallinen kartoitus ja tunnistetaan ne alueet, joilla nykyiset käytännöt eivät täytä vaatimuksia. Samalla saadaan dokumentoitua hyväksytyt TVT-riskin sietotasot ja niiden hallitsemiseksi toteutetut strategiat. Laaditun kartoituksen ja aukkoanalyysin tulosten perusteella tehdään kattava etenemissuunnitelma, jossa etusijalle asetetaan keskeiset toiminnat liiketoiminnalle.
Tavoitteena kaikissa valmisteluissa on tietysti yhdenmukaisuus vaatimusten kanssa ennen DORAn voimaantulopäivää. On kuitenkin hyvä tiedostaa, että kaikkea ei välttämättä saada tässä aikataulussa tehtyä.
Esimerkiksi rahoitus- ja vakuutuslaitokset, jotka ovat noudattaneet EBA:n tai EIOPA:n ohjeistusta, ovat todennäköisesti jo pitkällä vaatimustenmukaisuudessa. Tällöin kyseeseen saattaa lähinnä tulla sopimusten kartoitus ja mahdollisten tarvittavien muutosten neuvotteleminen pitkäaikaisiin sopimuksiin tai niiden vieminen osaksi sovellettavia hankintaehtoja. Myös strategioiden ja prosessien dokumentointi asetuksen vaatimalla tasolla saattaa tulla tehtävälistalle.
Uutena toimijana asetuksen piiriin tulevat yhteisöt joutunevat sen sijaan tekemään enemmän yhdenmukaistamistyötä. Siksi asioiden priorisointi pitää tehdä myös hallitustasolla.
On hyvä muistaa, että työ ei suinkaan pääty tähän. DORA edellyttää jatkuvaa valvontaa ja dokumentaation päivittämistä. Myös TVT-riskejä tulee kartoittaa ajan mittaan. TVT:hen liittyvien vaaratilanteiden esiintymistiheyttä, tyyppejä, laajuutta ja kehitystä tulee analysoida jatkuvasti ja säännönmukaisesti. Digitaalisten toimintojen, järjestelmien, riippuvuussuhteiden ja TVT-palveluntarjoajien valvomista pitää jatkaa implementoinnin jälkeen. Näin varmistetaan häiriönsietokyvyn säilyminen vaatimusten mukaisena myös jatkossa.