| |

DORA:n siirtymäaika päättyy 17.1.25

DORA (Digital Operational Resiliency Act) on Euroopan unionin uusi sääntelymekanismi, joka astui voimaan 17. tammikuuta 2023 ja jota sovelletaan 17. tammikuuta 2025 alkaen kahden vuoden siirtymäajan jälkeen.

DORAn tavoitteena on vahvistaa digitaalista toimintakykyä ja riskienhallintaa rahoitussektorilla. Sääntely pyrkii varmistamaan, että rahoituslaitokset ovat paremmin suojautuneita digitaalisilta häiriöiltä ja kyberuhilta.

Rahoitusmarkkinaviranomaiset työstävät parhaillaan täydentäviä teknisiä standardeja, jotka valmistuvat vuoden 2024 aikana ja tukevat DORAn täytäntöönpanoa.

Asetuksen keskeiset tekniset vaatimukset kyberturvallisuuden ja toimintakyvyn vahvistamiseksi on luokiteltu seuraavasti:

  • Jatkuvuus- ja palautumissuunnitelmat: Organisaatioilla tulee olla yksityiskohtaiset suunnitelmat siitä, miten toiminta jatkuu häiriötilanteessa ja  miten häiriöistä pystytään palautumaan tehokkaasti. Teknisesti tähän kuuluvat mm.  toimivat varmuuskopiot, versionhallinta, DRS järjestelmät sekä palautumiskyky.
  • Riskienhallinta: Organisaatioiden on tunnistettava, arvioitava ja hallittava digitaalisten toimintojen riskit. Riskienhallinnan tulee kattaa niin jatkuva seuranta kuin dokumentointi sekä prosessit liiketoiminnan rinnalla. Teknisiä ratkaisuja ovat mm. SIEM-, IDS-, MFA- ja lokienhallintaratkaisut. Käytännön osalta valmiusharjoittelu on myös erittäin tärkeää.
  • Tapahtumien valvonta ja raportointi: Finanssialan toimijoilta vaaditaan jatkuvaa valvontaa digitaalisten häiriöiden havaitsemiseksi. Kyberuhkista ja -hyökkäyksistä on raportoitava lainsäädännön puitteissa valvontaviranomaisille. Erilaiset lokienhallinta ja valvontaratkaisut tukevat kokonaisuutta ja koneälyn sekä luokittelun lisääminen tuottaa lisävarmuutta.
  • Tietojen hallinta ja suojaaminen: DORA vaatii vahvoja turvamekanismeja tietojen suojelemiseksi, kuten pääsynhallinnan, salauksen ja tietojen koskemattomuutta turvaavien toimenpiteiden käyttöönottoa. Suojaamista tukevia ratkaisuja ovat esimerkiksi Zero trust  -arkkitehtuuri ja digitaalinen tiedostojen allekirjoitus.
  • Tietoturvatestaukset: DORA vaatii rahoituslaitoksia suorittamaan säännöllisiä kyberturvallisuuden stressi- ja penetraatiotestejä varmistaakseen, että IT-järjestelmät kestävät hyökkäykset ja häiriöt. Tämä voi sisältää mm. pääsynhallinnan, eheyden tai tietomurtojen simulointia.
  • Kolmannen osapuolen hallinta: Useilla finanssialan toimijoilla on ulkoistettuja IT-palveluja. DORA edellyttää toimivaa valvontaa sekä riskienhallintaa kolmansien osapuolten, kuten pilvipalvelujen ja muiden teknologiapalveluntarjoajien osalta. Tämä tarkoittaa esimerkiksi ennalta tapahtuvaa riskiarviointia ennen kumppanuuden aloittamista sekä jatkuvaa auditointia.
  • Tietojen jakaminen: Finanssialan toimijoita kehoitetaan jakamaan tietoja kyberuhista ja digitaalisista häiriöistä keskenään parantaakseen koko alan reagointikykyä ja resilienssiä uhkia vastaan.

DORAn tekniset vaatimukset korostavat finanssialan digitaalisen toimintakyvyn parantamista, varautumista kyberuhkiin ja kriisitilanteisiin, sekä yhteistyötä viranomaisten ja muiden toimijoiden kanssa turvallisuuden varmistamiseksi.

Erilaiset ratkaisut organisaatioiden digitaalisen turvallisuuden ja toimintakyvyn vahvistamiseen helpottavat DORA:n vaatimusten täyttämistä.

Jatkuvuutta ja tietoturvaa edistävät teknologiat, kuten DRS-järjestelmät, varmuuskopiointi, SIEM-ratkaisut ja pääsynhallinta, tukevat riskienhallintaa, häiriöihin varautumista ja liiketoiminnan jatkuvuuden varmistamista vaativissa olosuhteissa.

.