Valvottavatiedote 3.11.2023 – 62/2023

Asetus finanssialan digitaalisesta häiriönsietokyvystä

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä (Digital Operational Resiliency Act – DORA) on tullut voimaan 17.1.2023 ja sitä sovelletaan 17.1.2025 alkaen. Euroopan rahoitusmarkkinaviranomaisten työryhmissä valmistellaan asetusta täydentävää alemman tason sääntelyä (tekniset sääntelystandardit), jonka arvioidaan valmistuvan kesäkuussa 2024.

Asetus kattaa kaikki Finanssivalvonnan valvottavat, paitsi työeläkeyhtiöt (Suomen työeläkejärjestelmä on EU:n lainsäädännön ulkopuolella). Asetus sisältää vaatimuksia, joilla pyritään parantamaan EU:n laajuisesti finanssialan kykyä sietää tietojärjestelmien vikoja ja häiriöitä.  Asetusta sovelletaan suhteellisuusperiaatetta noudattaen, jonka seurauksena asetuksessa asetettavat velvoitteet ovat suhteessa yhteisön kokoon ja muihin olosuhteisiin. Suhteellisuusperiaatteen seurauksena esimerkiksi mikroyrityksiin sovelletaan lievempiä vaatimuksia. Myös teknisissä sääntelystandardeissa tullaan huomioimaan suhteellisuusperiaate.

Asetuksessa vaadittavat toimenpiteet ovat pitkälti vastaavia kuin valvottavilta jo nykyisin edellytetään lainsäädännössä, Finanssivalvonnan määräys- ja ohjekokoelmassa sekä Euroopan rahoitusmarkkinaviranomaisten ohjeissa. Asetuksessa on kuitenkin joitakin yksittäisiä uusia vaatimuksia ja valvottavien on tärkeää käydä läpi asetus ja tehdä mahdolliset tarvittavat muutokset sisäisiin ohjeistuksiin ja toimintatapoihin. Tämä läpikäynti kannattaa tehdä hyvissä ajoin ennen asetuksen soveltamisen alkamista. Asetusta täydentävän alemman tason sääntelyn valmistuttua myös tekniset sääntelystandardit tulee käydä läpi soveltuvin osin. Finanssivalvonnan määräyksiä ja ohjeita päivitetään vastaamaan asetusta teknisten sääntelystandardien valmistuttua kesällä 2024.

ICT-riskienhallinnan järjestämisestä annetut määräykset ovat osin yksityiskohtaisempia kuin aikaisemmin ja mukana on yksittäisiä uusia vaatimuksia. Käytännössä esimerkiksi pankkien nykyiset menettelyt ovat hyvin lähellä uusia vaatimuksia tai saattavat jo täyttää ne, mutta monilla pienemmillä valvottavilla tarvitaan enemmän muutoksia sisäisiin ohjeisiin ja toimintatapoihin.

ICT-häiriötapahtumien raportoinnin sisältö ja raportointikynnykset muuttuvat nykyiseen verrattuna. Käytännössä raportoinnissa tullaan edellyttämään jonkin verran enemmän tietoja häiriötapahtumista.

Tietoturvatestauksia koskevat vaatimukset ovat nykyistä yksityiskohtaisempia. Merkittävimmille valvottaville (käytännössä pankit, pörssi, arvopaperikeskus, suuret vakuutusyhtiöt) tulee uusi vaatimus uhkaperusteisesta tietoturvatestauksesta, jota useimmat näistä ovat jo käytännössä tehneet tai suunnitelleet TIBER-FI -testauskehikon mukaisesti.

ICT-ulkoistusten hallintaa ja ulkoistussopimuksia koskevia vaatimuksia yhtenäistetään. Käytännössä valvojalle tulee toimittaa jonkin verran yksityiskohtaisempia tietoja merkittävistä ulkoistuksista. Kriittisille finanssialalle EU-maissa ICT-palveluja tarjoaville yrityksille tulee oma valvontakehikko ja jokaiselle kriittiselle palveluntarjoajalle oma päävalvoja, joka on yksi kolmesta Euroopan rahoitusmarkkinaviranomaisesta (EBA, ESMA tai EIOPA).

Asetus mahdollistaa valvottavien välisen vapaaehtoispohjalta tapahtuvan kyberuhkia koskevan tietojenvaihdon valvottavien kesken ja kyberuhkista ilmoittamisen valvojalle. Suomessa tällaista tietojen vaihtamista on jo tehty Kyberturvallisuuskeskuksen vetämässä yhteistyöryhmässä. Myös valvojalle on tehty ilmoituksia havaituista kyberuhkista.

Lisätietoja antaa

Pasi Korhonen, johtava asiantuntija, puhelin 09 183 5514 tai pasi.korhonen(at)finanssivalvonta.fi

Liite

Asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä