Finanssisektorin digitaalista häiriönsietokykyä koskevan asetuksen soveltaminen alkoi – Finanssivalvonta keskittyy valvonnassaan ICT-riskien ja kyberuhkien hallintaan
DORA-asetuksen tavoitteena on parantaa kuluttajien tietoturvaa ja palveluiden jatkuvuutta. Se tuo mukanaan merkittäviä uudistuksia finanssisektorin digitaaliseen toimintavarmuuteen ja kattaa lähes kaikki Finanssivalvonnan valvomat toimijat.
Euroopan parlamentin asetus finanssialan digitaalisesta häiriönsietokyvystä on tullut voimaan 17.1.2023 ja sitä sovelletaan 17.1.2025 alkaen. DORA (Digital Operational Resilience Act) koskee laajasti EU:n finanssialan toimijoita, kuten pankkeja, vakuutusyhtiöitä, sijoituspalveluyrityksiä sekä näille palveluita tarjoavia ICT-yrityksiä. Finanssivalvonta keskittyy valvontatyössään valvottavien ICT- ja tietoturvariskien hallintaan, ICT-häiriöilmoitusprosessiin ja ICT-toimittajien riskienhallinnan valvontaan.
– DORA tuo finanssisektorille yhtenäiset ja läpinäkyvät säännöt, joiden avulla voidaan varmistaa, että alan toimijat pystyvät tehokkaasti tunnistamaan, estämään ja torjumaan erilaisia digitaalisia uhkia. Tässä maailmantilanteessa nämä uhat ovat hyvin todellisia, osastopäällikkö Samu Kurri toteaa.
Kaikille asetuksen soveltamisen piirissä oleville tulee uusi vaatimus ilmoittaa vuosittain ICT-häiriöiden aiheuttamista kustannuksista. Asetus myös mahdollistaa valvottavien välisen vapaaehtoisen kyberuhkia koskevan tietojenvaihdon ja kyberuhkista ilmoittamisen valvojalle. Lisäksi valvottavat velvoitetaan toimittamaan ICT-sopimusrekisteri vuosittain Finanssivalvonnalle.
Finanssivalvonta on velvoittanut merkittävimmät valvottavat tekemään uhkaperusteisia tietoturvatestauksia säännöllisin väliajoin.
– DORA velvoittaa suoraan muun muassa merkittävät pankit, pörssin ja arvopaperikeskuksen tekemään säännöllisiä uhkaperusteisia tietoturvatestauksia. Olemme kuitenkin Suomessa velvoittaneet myös pienempiä pankkeja ja vakuutussektorin toimijoita näihin testauksiin. Tällä varmistamme kyberturvallisuuden toteutumista finanssisektorilla laajasti, Kurri toteaa.
Suomessa DORA koskee yli 400 valvottavaa. Asetuksen soveltamisessa ei ole siirtymäaikaa eli vaatimuksia tulee noudattaa 17.1.2025 alkaen.
Katso myös
Asetus finanssialan digitaalisesta häiriönsietokyvystä
Lisätietoja antaa
Samu Kurri, osastopäällikkö. Haastattelupyynnöt koordinoi Viestinnän mediapäivystys, puhelin 09 183 5030 arkisin klo 9–16.