Asetus finanssialan digitaalisesta häiriönsietokyvystä

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä (Digital Operational Resiliency Act – DORA) on tullut voimaan 17.1.2023 ja sitä sovelletaan 17.1.2025 alkaen.

Asetuksen soveltamisala kattaa melkein kaikki Finanssivalvonnan valvomat toimijat. Finanssivalvonnan verkkosivulla (Sääntelykokonaisuudet/DORA) on tietoa asetuksesta ja sen soveltamisesta. Kaikkea asetusta täydentävää alemman tason sääntelyä ei ole vielä vahvistettu, mutta lopullisen sääntelyn mahdolliset erot käytettävissä oleviin luonnoksiin nähden eivät estä valvottavien valmistautumista soveltamisen alkamiseen. Asetuksen soveltamisessa ei ole siirtymäaikaa, eli vaatimuksia tulee noudattaa 17.1.2025 alkaen. Finanssivalvonta keskittyy asetuksen tullessa voimaan valvontatyössään valvottavien ICT- ja tietoturvariskien hallintakehikkoon, ICT-häiriöilmoitusprosessiin ja ICT-toimittajien riskienhallinnan valvontaan.

Finanssivalvonnan määräys- ja ohjekokoelmasta tullaan poistamaan asetuksen kanssa päällekkäiset määräykset ja ohjeet. Raportointia koskevia ohjeita päivitetään asetuksen mukaisiksi. Euroopan valvontaviranomaisten ICT- ja tietoturvariskien hallinnan järjestämistä koskevia ohjeistuksia valvottaville tullaan päivittämään asetuksen kanssa yhtenäisiksi tai kumoamaan.

Asetuksen edellyttämät ICT-häiriöilmoitukset tehdään Finanssivalvonnan sähköisen palvelun kautta, kuten nykyisetkin ICT-häiriöilmoitukset. Uutena vaatimuksena kaikille asetuksen soveltamisen piirissä oleville tulee vuosittainen ilmoitus ICT-häiriöiden aiheuttamista kustannuksista. Yksityiskohtaiset ohjeet ilmoitusten tekemiseen tulevat Finanssivalvonnan verkkosivuille.

Asetus mahdollistaa valvottavien välisen vapaaehtoisen kyberuhkia koskevan tietojenvaihdon ja kyberuhkista ilmoittamisen valvojalle. Tietojenvaihdon aloittamisesta tulee tehdä vapaamuotoinen ilmoitus Finanssivalvonnalle. Finanssivalvonnalle voi ilmoittaa kyberuhkista Finanssivalvonnan sähköisen palvelun kautta.

Määrämuotoisen ICT-sopimusrekisterin ylläpitäminen ja toimittaminen vuosittain Finanssivalvonnalle on uusi vaatimus kaikille asetuksen soveltamisen piirissä oleville. Rekisterin raportoinnin yksityiskohtaiset ohjeet tulevat Finanssivalvonnan verkkosivuille. Euroopan valvontaviranomaiset ovat julkaisseet raportin kesällä 2024 järjestetyn ICT-sopimusrekisterin raportointiharjoituksen kokemuksista (tiedote).

Merkittävimmille valvottaville tulee vaatimus tehdä uhkaperusteisia tietoturvatestauksia. Finanssivalvonta ilmoittaa 17.1.2025 mennessä tästä niille valvottaville, joita vaatimus koskee.

Lisätietoja antaa

Pasi Korhonen, johtava asiantuntija, puhelin 09 183 5514 tai pasi.korhonen(at)finanssivalvonta.fi