Skip to content.

Secondary navigation

Pyydä esittelyä
white woman with glasses and cropped dark hair crossing arms and staring out a glass window with the reflection of green tree branches

DORA-vaatimustenmukaisuutta koskevien vaatimusten ymmärtäminen 

Euroopan unionin digitaalista häiriönsietokykyä koskeva asetus (DORA) astui voimaan 16.1.2023 ja yritysten on noudatettava sitä 17.1.2025 alkaen. Kyseinen laki määrittää uudelleen, miten rahoitusalan toimijat suhtautuvat häiriönsietokykyyn.   

Näiden ratkaisevien vaatimusten ymmärtäminen ja suunnitelman laatiminen DORA-vaatimustenmukaisuuden saavuttamiseksi on erittäin tärkeää, jotta organisaatiosi pysyy turvallisena, joustavana ja vaatimustenmukaisena yhä säännellymmässä digitaalisessa ympäristössä.

Aloitetaan

Mikä on EU:n DORA-asetus? 

Digitaalista häiriönsietokykyä koskeva asetus (DORA) on EU-lainsäädäntö, jolla varmistetaan, että rahoituslaitokset voivat kestää tieto- ja viestintäteknologiaan (ICT) liittyviä häiriöitä ja uhkia sekä toipua niistä. 

DORA vaatii rahoituslaitoksia ja ICT-palveluntarjoajia tunnistamaan, seuraamaan ja vähentämään ICT-riskejä, jotka voivat vaikuttaa niiden toimintaan ja toimitusketjuihin. Säännös takaa jatkuvuuden ja häiriönsietokyvyn myös epäsuotuisissa olosuhteissa.  

Soveltamisala kattaa laajan joukon rahoituslaitoksia ja niiden ICT-tarjoajia, ja se velvoittaa kehittämään riskienhallintakehyksiä vaaratilanteiden ehkäisemiseksi, havaitsemiseksi ja niihin reagoimiseksi. Kriittiset ICT-palveluntarjoajat ovat myös valvonnan alaisia, mikä varmistaa häiriönsietokykystandardien noudattamisen kaikissa rahoitustoiminnoissa.

Miten valmistautua EU:n DORA-asetukseen 

EU:n digitaalista häiriönsietokykyä koskevan asetuksen vaatimustenmukaisuuden varmistamisen aikana herää monia tärkeitä kysymyksiä: Kysy itseltäsi:  

  • Miten voimme käsitellä järjestelmällisesti mahdolliset operatiiviset ja ICT-riskit järjestelmissämme?  
  • Mihin toimiin meidän tulisi ryhtyä integroidaksemme kyberturvallisuuden ja häiriönsietokyvyn työntekijöidemme koulutusohjelmiin?  
  • Miten mukauttaa yrityksen hallintorakenteita, käytäntöjä ja menettelytapoja vastaamaan DORA-asetusta?  
  • Miten voimme hyödyntää teknologiaa pysyäksemme ajan tasalla DORA-päivityksistä tai muista asiaan liittyvistä säännöksistä, kuten verkko- ja tietojärjestelmädirektiivistä (NIS2)?
Lue, miten NAVEX voi auttaa

Mitkä ovat DORA-asetuksen viisi peruspilaria ja mitä ne pitävät sisällään?

Digitaalista häiriönsietokykyä koskeva asetus (DORA) on sääntelykehys, joka varmistaa, että EU:n rahoituslaitokset kestävät tieto- ja viestintäteknologiaan liittyviä häiriöitä ja voivat reagoida niihin. DORA hahmottelee viisi keskeistä pilaria yritysten häiriönsietokyvyn vahvistamiseksi.

  • Tehokkaan ICT-riskienhallinnan toteuttaminen

    Rahoituslaitosten on otettava käyttöön vakaat ICT-riskien hallintakehykset lieventämään ja ehkäisemään uhkia, jotka voivat vahingoittaa häiriönsietokykyä.  

    • Säännöllinen riskinarviointi haavoittuvuuksien tunnistamiseksi  
    • Turvatoimenpiteiden toteuttaminen ICT-ongelmien ehkäisemiseksi  
    • Riskien seuranta ja hallinta reaaliajassa  
    • Nopea ilmoittaminen tieto- ja viestintäteknologiaan liittyvistä ongelmista

Tehokkaan ICT-riskienhallinnan toteuttaminen

Rahoituslaitosten on otettava käyttöön vakaat ICT-riskien hallintakehykset lieventämään ja ehkäisemään uhkia, jotka voivat vahingoittaa häiriönsietokykyä.  

  • Säännöllinen riskinarviointi haavoittuvuuksien tunnistamiseksi  
  • Turvatoimenpiteiden toteuttaminen ICT-ongelmien ehkäisemiseksi  
  • Riskien seuranta ja hallinta reaaliajassa  
  • Nopea ilmoittaminen tieto- ja viestintäteknologiaan liittyvistä ongelmista

DORA-vaatimustenmukaisuutta koskevien vaatimusten noudattaminen organisaatiossasi

DORA pyrkii varmistamaan, että EU:ssa toimivat rahoituslaitokset kestävät kaikenlaisia digitaalisiin järjestelmiinsä kohdistuvia häiriöitä ja uhkia. Organisaatiosi tulisi noudattaa seuraavia ohjeita DORA-vaatimustenmukaisuuden saavuttamiseksi:

  • Työntekijöiden ja sidosryhmien kouluttaminen DORA-vaatimustenmukaisuudesta

    Aloita tiedottamalla kaikille asianosaisille osapuolille digitaalista häiriönsietokykyä koskevan asetuksen säännöksistä ja vaikutuksista. Koulutusohjelmat, jotka kattavat sääntelykehyksen ja korostavat digitaalisen häiriönsietokyvyn merkitystä ja mahdollisia seurauksia DORA-säädöksen noudattamatta jättämisestä.

Työntekijöiden ja sidosryhmien kouluttaminen DORA-vaatimustenmukaisuudesta

Aloita tiedottamalla kaikille asianosaisille osapuolille digitaalista häiriönsietokykyä koskevan asetuksen säännöksistä ja vaikutuksista. Koulutusohjelmat, jotka kattavat sääntelykehyksen ja korostavat digitaalisen häiriönsietokyvyn merkitystä ja mahdollisia seurauksia DORA-säädöksen noudattamatta jättämisestä.

Miten NAVEX auttaa varmistamaan DORA-vaatimustenmukaisuuden  

Tiimisi ansaitsee olla ylpeä työskentelystä yrityksessä, jossa lailliset ja eettiset käytännöt ovat etusijalla. NAVEX Onen avulla voit varmistaa, että sekä organisaatiollasi että työntekijöilläsi on työkalut, joita he tarvitsevat vaatimustenmukaisuuden ylläpitämiseen ja näiden standardien noudattamiseen.

Vastaukset yleisimpiin DORA-kysymyksiin 

  • Mikä DORA on vaatimustenmukaisuuden ja sääntelyn suhteen? 

    DORA, eli digitaalista häiriönsietokykyä koskeva asetus, on Euroopan unionin uusi asetus, joka on suunnattu finanssipalvelualalle. Sen tavoitteena on varmistaa, että EU:ssa toimivat rahoituslaitokset pystyvät kestämään kaikenlaisia tieto- ja viestintäteknologian (ICT) riskejä, erityisesti kyberturvallisuusriskejä, reagoimaan niihin ja palautumaan niistä.

  • Kenen on noudatettava DORA-asetusta? 

    DORA koskee kaikkia Euroopan unionin alueella toimivia rahoituslaitoksia, mukaan lukien pankit, vakuutusyhtiöt, sijoituspalveluyritykset, maksulaitokset ja muut asiaankuuluvat tahot. Tämä koskee myös kolmannen osapuolen ICT-palveluntarjoajia, jotka työskentelevät näiden rahoituslaitosten kanssa.

  • Mihin mennessä DORA-vaatimukset tulee täyttää? 

    DORA:n vaatimustenmukaisuusvaatimukset astuvat voimaan 17. tammikuuta 2025, minkä ansiosta rahoituslaitoksilla on aikaa mukauttaa sisäisiä prosessejaan ja järjestelmiään asetuksen noudattamisen varmistamiseksi.

  • Mitkä ovat DORA-asetuksen päävaatimukset? 

    DORA-vaatimukset jakautuvat viiteen pääpilariin:  

    1. ICT-riskienhallinta – Organisaatioiden on luotava vankat ICT-riskienhallintakehykset ja ylläpidettävä niitä riskien tunnistamiseksi ja vähentämiseksi.  
    2. Ongelmatilanteista ilmoittaminen – Rahoituslaitosten tulee ilmoittaa merkittävistä ICT-ongelmista viranomaisille.  
    3. Digitaalisen häiriönsietokyvyn testaus – Edellyttää digitaalisen häiriönsietokyvyn säännöllistä testausta, mukaan lukien tunkeutumistestit.  
    4. Kolmannen osapuolen ICT-toimittajien riskienhallinta – Organisaatioiden tulee hallita ja valvoa kolmannen osapuolen palveluntarjoajien riskejä.  
    5. Tietojen jakaminen – Rahoituslaitoksia rohkaistaan jakamaan tietoa kyberuhkista yleisen häiriönsietokyvyn parantamiseksi.

  • Mitkä ovat DORA-asetuksen pääkohdat? 

    Viisi pilaria muodostavat kattavan lähestymistavan, jolla varmistetaan, että rahoituslaitokset pysyvät häiriönsietokykyisinä digitaalisia riskejä vastaan.  

    Näiden pilarien pääperiaatteet:  

    • Riskienhallinnan puitteiden vahvistaminen  
    • Läpinäkyvyyden ja vastauskyvyn parantaminen ongelmatilanteissa  
    • Koko rahoitusekosysteemin, mukaan lukien kolmannen osapuolen palveluntarjoajat, hyvän varautumisen varmistaminen toimintahäiriöiden varalta  
    • Yhteistyön edistäminen uusien kyberturvallisuusuhkien käsittelyssä

  • Miksi DORA on niin tärkeä? 

    DORA on kriittisen tärkeä, koska rahoitussektori luottaa yhä enemmän digitaaliseen infrastruktuuriin, mikä tekee siitä haavoittuvan kyberhyökkäyksille ja ICT-häiriöille. Asetus varmistaa taloudellisen vakauden edellyttämällä vankkoja kyberturvallisuuskäytäntöjä koko toimialan laajuudelta.

  • Mitä seuraamuksia DORA-asetuksen noudattamatta jättämisestä seuraa? 

    DORA-asetuksen noudattamatta jättäminen voi johtaa vakaviin rangaistuksiin, mukaan lukien sakot ja mainevahingot. EU:n jäsenvaltioiden toimivaltaiset kansalliset viranomaiset ovat vastuussa näiden seuraamusten täytäntöönpanosta ja ne voivat vaihdella rikkomuksesta riippuen.