Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Sisällön kirjasto

Tutustu palkittuun sähköiseen oppimiskirjastoon, joka on räätälöity jokaiselle osastolle.

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Kyberturvallisuuden eLearning

Sitouttaminen ja kouluttaminen työntekijöille, jotta he olisivat ensimmäinen puolustuslinja.

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvoa, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymisen kypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Mikä on DORA (Digital Operational Resilience Act)?

DORA

kirjoittajasta

Jaa tämä viesti

DORA vaikuttaa EU:n rahoituspalvelusektoriin, ja tämä lainsäädäntö on aiheuttamassa aaltoja rahoitusalalla. Seuraavassa tarkastellaan joitakin DORA-velvoitteita, joita rahoituslaitosten on noudatettava.

Rahoituspalveluala on jo pitkään ollut teknologiainnovaattori ja edelläkävijä. Pankki- ja rahoitusalan edistysaskeleet ovat merkinneet sitä, että alan digitaalinen muutos on edennyt nopeasti. Uusi teknologia ja uudet toimintatavat houkuttelevat kuitenkin verkkorikollisia. Tämän seurauksena hyökkäykset rahoitusalaa vastaan ovat lisääntyneet huimasti.

Vuonna 2021lunnasohjelmahyökkäykset lisääntyivät pankkialalla1318 prosenttia , ja 65 prosenttia suurista rahoitusalan organisaatioista koki verkkohyökkäyksen vuonna 2020. Yhä monimutkaisempien ja vahingollisempien kyberhyökkäysten vakava luonne rahoitusalalla on johtanut siihen, että rahoituspalvelualan sääntelyn sanastoon on tullut uutta lainsäädäntöä, jonka nimi on DORA (Digital Operational Resilience Act).

DORA perusteet

Ensimmäinen luonnos DORAsta julkaistiin 24. syyskuuta 2020, ja Euroopan parlamentti hyväksyi sen 10. syyskuuta 2022. Lainsäädännöllä on keskeinen asema "digitaalisessa rahoituspaketissa", jota käytetään digitaalisen rahoituksen innovoinnin ja kilpailun mahdollistamiseksi ja samalla alan digitalisoitumisesta aiheutuvien riskien lieventämiseksi.

DORA:n oikeusperustana käytetään Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 114 artiklaa; lainsäädännössä keskitytään kyberturvallisuutta koskevien suuntaviivojen yhdenmukaistamiseen koko alalla. 

EU käyttää mielellään sääntelykeinoja parhaiden käytäntöjen konsolidoimiseksi ja yhdenmukaistamiseksi; yleinen tietosuoja-asetus on esimerkki yhdenmukaistetusta tietosuoja-asetuksesta; DORA on EU:n yritys konsolidoida ja parantaa tieto- ja viestintätekniikan riskinhallintaa koko rahoitusalalla, ja DORA vaikuttaa EU:n rahoituspalveluyrityksiin ja niiden (kriittisiin) tieto- ja viestintätekniikan tarjoajiin.

DORA edellyttää, että rahoitusalan yritykset toteuttavat toimenpiteitä, joilla ne suojautuvat tieto- ja viestintätekniikkaan liittyviltä riskeiltä: DORA laajentaa vaatimukset koskemaan myös kolmansia osapuolia, kuten pilvipalvelujen tarjoajia.

Mitä velvoitteita DORA edellyttää rahoitusalalta?

Tavoitteena on luoda kestävä ympäristö koko rahoituspalvelujen ekosysteemiin. DORA:n taustalla oleva kehys perustuu sääntöihin, joiden tarkoituksena on auttaa rahoituslaitoksia kehittämään vankat riskienhallintaprosessit. DORA:n keskeisiä vaatimuksia ja kattavuutta ovat muun muassa seuraavat:

DORA:n soveltamisala

Lähes kaikenlaiset rahoituslaitokset kuuluvat DORA:n piiriin. Soveltamisalaan kuuluvat luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijat, sijoituspalveluyritykset, krypto-omaisuuspalvelujen tarjoajat, vaihtoehtoiset sijoitusrahastot, vakuutusten hoitajat jne. Poikkeuksena ovat tilintarkastajat, jotka eivät tällä hetkellä kuulu DORA-sääntöjen piiriin, mutta tämä todennäköisesti muuttuu lain tulevissa versioissa. Täydellinen luettelo soveltamisalaan kuuluvista yhteisöistä on DORA-lain 2 artiklassa.

Myös tieto- ja viestintätekniikkapalvelujen tarjoajien, jotka palvelevat DORA:n soveltamisalaan kuuluvia yhteisöjä, on noudatettava lakia. Tieto- ja viestintätekniikkapalvelujen tarjoajia pidetään keskeisinä rahoitusalalla, ja siksi niihin sovelletaan DORA:n nojalla tiukkoja sääntöjä. EU:ssa toimiville rahoituslaitoksille EU:n ulkopuolella toimivien kriittisten tieto- ja viestintätekniikkapalvelujen tarjoajien on perustettava tytäryhtiö EU:n alueelle.

Tieto- ja viestintätekniikan tarjoajat ja DORA

Kolmannen osapuolen riskienhallinta on keskeinen osa DORAa. Tieto- ja viestintätekniikan tarjoajiin keskittyminen on reaktio toimitusketjuun kohdistuvien hyökkäysten, kuten SolarWinds Orion -ohjelmistopäivityksen, lisääntymiseen. Euroopan unionin kyberturvallisuusvirasto (ENISA) raportoi, että toimitusketjuun kohdistuvat hyökkäykset ovat yhä kehittyneempiä ja laajempia, ja hyökkääjät kohdistuvat toimitusketjuun varastamaan tietoja ja taloudellista omaisuutta. DORA koordinoi vaatimuksia käyttämällä olemassa olevia kehyksiä, kuten Euroopan pankkiviranomaisen (EBA) ulkoistamisohjeita. (Katso myös DORA 14 artikla)

DORA:n mukaan rahoitusyritykset voivat määritellä tietyt tieto- ja viestintätekniikan tarjoajat "kriittisiksi". Näin ollen kriittisen ICT-palveluntarjoajan, joka palvelee DORA:n soveltamisalaan kuuluvaa yhteisöä, on noudatettava tiukkoja sääntöjä, jotka pannaan täytäntöön suorassa yhteistyössä EU:n rahoituspalveluviranomaisten kanssa.

Keskeiset kyberturvallisuustoimenpiteet

DORA-lainsäädännön keskeisenä arvona on ylläpitää kestäviä tieto- ja viestintätekniikkajärjestelmiä. Tämän saavuttamiseksi on laadittu seuraavat suuntaviivat:

Riskienhallinta ja joustavuus

DORA:n ytimessä ovat riskinhallintaohjeet, joiden avulla rahoituspalveluala voi rakentaa entistä kestävämpiä infrastruktuureja. Tuloksena syntyviä riskinhallintaohjelmia ja -arviointeja käytetään perustana häiriönsietokyvyn testauksessa. Lisäksi lainsäädännössä edellytetään, että on tehtävä "vakaviin liiketoimintahäiriöihin" perustuvia liiketoimintavaikutusanalyysejä.

Riippumattomien asiantuntijoiden odotetaan tekevän häiriönsietokyvyn ja haavoittuvuuden testauksen, johon sisältyy säännöllinen uhkiin perustuva tunkeutumistestaus. On tärkeää, että kaikki kriittiset tieto- ja viestintätekniset järjestelmät testataan vuosittain.

Suojelutoimenpiteet (ks. myös 8 artikla)

Esimerkkejä tarvittavista suojatoimenpiteistä ovat:

  • Käytä asianmukaisia ja kattavia käytäntöjä korjauksia ja päivityksiä varten.
  • Vahvojen todennusmekanismien käytäntöjen ja protokollien käyttöönotto.
  • Riskiperusteisen lähestymistavan noudattaminen verkon ja infrastruktuurin moitteettoman hallinnan luomiseksi.
  • Toteutetaan toimintatapoja, joilla rajoitetaan tieto- ja viestintäteknisten järjestelmien resurssien ja tietojen fyysistä ja virtuaalista saatavuutta.
  • Tietovuodon estäminen

ICT-onnettomuuksien hallinta

15 artikla sisältää yksityiskohtaisia tietoja tietoturvaloukkausten hallintaa ja valvontaa koskevista vaatimuksista, mukaan lukien menettelyt, joilla "havaitaan, hallitaan ja ilmoitetaan tieto- ja viestintätekniikkaan liittyvät vaaratilanteet ja otetaan käyttöön varhaisvaroitusindikaattorit hälytyksinä".

Kyberturvallisuuteen liittyvistä vaaratilanteista ilmoittaminen

Rekisteröityjen yhteisöjen on tarjottava keino seurata, kuvata ja raportoida kaikista merkittävistä tieto- ja viestintätekniikkaan perustuvista vaaratilanteista asianomaisille viranomaisille. Raportointisäännöt ovat tiukat kriittisten tieto- ja viestintätekniikan tarjoajien osalta. Niihin kuuluu ensimmäisen ilmoituksen tekeminen viimeistään pankkipäivän päättyessä, tai jos merkittävä vaaratilanne tapahtui myöhemmin kuin kaksi tuntia ennen pankkipäivän päättymistä, viimeistään neljän tunnin kuluttua seuraavan pankkipäivän alkamisesta.

Tämän jälkeen vaaditaan väliraportti viimeistään viikon kuluttua ensimmäisestä ilmoituksesta, ja sen jälkeen loppuraportti, kun perussyiden analyysi on saatu päätökseen, viimeistään kuukauden kuluttua alkuperäisen raportin lähettämisestä.

Hallinnointi ja turvallisuusvastuu

DORA asettaa tieto- ja viestintäteknisiä riskejä ja tietoverkkouhkia koskevan vastuun rahoituspalvelujen johtoryhmälle. Turvallisuustietoisuuskoulutuksen tarjoaminen auttaa varmistamaan, että C-taso ja koko yritys keskittyvät turvallisuuteen.

DORA kattaa myös keskeiset kyberturvallisuuden hallintaan ja reagointiin liittyvät näkökohdat, kuten tietojen jakamisen (ks. 40 artikla).

Mitä seuraavaksi DORAlle?

Rahoituslaitoksilla ja niiden kriittisten kolmansien osapuolten palveluntarjoajilla on 24 kuukauden täytäntöönpanokausi lainsäädännön käyttöönotosta alkaen. Sen vuoksi soveltamisalaan kuuluvia yhteisöjä kehotetaan käyttämään 24 kuukautta lainsäädännön voimaantulon ja sen mukaisten toimenpiteiden toteuttamisen välillä puuteanalyysin tekemiseen: toimenpiteet, kuten uhkiin perustuva tunkeutumistestaus ja tiukat raportointisäännöt, voivat muutoin jäädä tämän puutteen alle.

Kolmannen osapuolen toimittajan tietoturvatietoisuuskoulutus

saatat nauttia näiden lukemisesta