DORA vaikuttaa EU:n rahoituspalvelusektoriin, ja tämä lainsäädäntö on aiheuttamassa aaltoja rahoitusalalla. Seuraavassa tarkastellaan joitakin DORA-velvoitteita, joita rahoituslaitosten on noudatettava.
Rahoituspalveluala on jo pitkään ollut teknologiainnovaattori ja edelläkävijä. Pankki- ja rahoitusalan edistysaskeleet ovat merkinneet sitä, että alan digitaalinen muutos on edennyt nopeasti. Uusi teknologia ja uudet toimintatavat houkuttelevat kuitenkin verkkorikollisia. Tämän seurauksena hyökkäykset rahoitusalaa vastaan ovat lisääntyneet huimasti.
Vuonna 2021lunnasohjelmahyökkäykset lisääntyivät pankkialalla1318 prosenttia , ja 65 prosenttia suurista rahoitusalan organisaatioista koki verkkohyökkäyksen vuonna 2020. Yhä monimutkaisempien ja vahingollisempien kyberhyökkäysten vakava luonne rahoitusalalla on johtanut siihen, että rahoituspalvelualan sääntelyn sanastoon on tullut uutta lainsäädäntöä, jonka nimi on DORA (Digital Operational Resilience Act).
DORA perusteet
Ensimmäinen luonnos DORAsta julkaistiin 24. syyskuuta 2020, ja Euroopan parlamentti hyväksyi sen 10. syyskuuta 2022. Lainsäädännöllä on keskeinen asema "digitaalisessa rahoituspaketissa", jota käytetään digitaalisen rahoituksen innovoinnin ja kilpailun mahdollistamiseksi ja samalla alan digitalisoitumisesta aiheutuvien riskien lieventämiseksi.
DORA:n oikeusperustana käytetään Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 114 artiklaa; lainsäädännössä keskitytään kyberturvallisuutta koskevien suuntaviivojen yhdenmukaistamiseen koko alalla.
EU käyttää mielellään sääntelykeinoja parhaiden käytäntöjen konsolidoimiseksi ja yhdenmukaistamiseksi; yleinen tietosuoja-asetus on esimerkki yhdenmukaistetusta tietosuoja-asetuksesta; DORA on EU:n yritys konsolidoida ja parantaa tieto- ja viestintätekniikan riskinhallintaa koko rahoitusalalla, ja DORA vaikuttaa EU:n rahoituspalveluyrityksiin ja niiden (kriittisiin) tieto- ja viestintätekniikan tarjoajiin.
DORA edellyttää, että rahoitusalan yritykset toteuttavat toimenpiteitä, joilla ne suojautuvat tieto- ja viestintätekniikkaan liittyviltä riskeiltä: DORA laajentaa vaatimukset koskemaan myös kolmansia osapuolia, kuten pilvipalvelujen tarjoajia.
Mitä velvoitteita DORA edellyttää rahoitusalalta?
Tavoitteena on luoda kestävä ympäristö koko rahoituspalvelujen ekosysteemiin. DORA:n taustalla oleva kehys perustuu sääntöihin, joiden tarkoituksena on auttaa rahoituslaitoksia kehittämään vankat riskienhallintaprosessit. DORA:n keskeisiä vaatimuksia ja kattavuutta ovat muun muassa seuraavat:
DORA:n soveltamisala
Lähes kaikenlaiset rahoituslaitokset kuuluvat DORA:n piiriin. Soveltamisalaan kuuluvat luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijat, sijoituspalveluyritykset, krypto-omaisuuspalvelujen tarjoajat, vaihtoehtoiset sijoitusrahastot, vakuutusten hoitajat jne. Poikkeuksena ovat tilintarkastajat, jotka eivät tällä hetkellä kuulu DORA-sääntöjen piiriin, mutta tämä todennäköisesti muuttuu lain tulevissa versioissa. Täydellinen luettelo soveltamisalaan kuuluvista yhteisöistä on DORA-lain 2 artiklassa.
Myös tieto- ja viestintätekniikkapalvelujen tarjoajien, jotka palvelevat DORA:n soveltamisalaan kuuluvia yhteisöjä, on noudatettava lakia. Tieto- ja viestintätekniikkapalvelujen tarjoajia pidetään keskeisinä rahoitusalalla, ja siksi niihin sovelletaan DORA:n nojalla tiukkoja sääntöjä. EU:ssa toimiville rahoituslaitoksille EU:n ulkopuolella toimivien kriittisten tieto- ja viestintätekniikkapalvelujen tarjoajien on perustettava tytäryhtiö EU:n alueelle.
Tieto- ja viestintätekniikan tarjoajat ja DORA
Kolmannen osapuolen riskienhallinta on keskeinen osa DORAa. Tieto- ja viestintätekniikan tarjoajiin keskittyminen on reaktio toimitusketjuun kohdistuvien hyökkäysten, kuten SolarWinds Orion -ohjelmistopäivityksen, lisääntymiseen. Euroopan unionin kyberturvallisuusvirasto (ENISA) raportoi, että toimitusketjuun kohdistuvat hyökkäykset ovat yhä kehittyneempiä ja laajempia, ja hyökkääjät kohdistuvat toimitusketjuun varastamaan tietoja ja taloudellista omaisuutta. DORA koordinoi vaatimuksia käyttämällä olemassa olevia kehyksiä, kuten Euroopan pankkiviranomaisen (EBA) ulkoistamisohjeita. (Katso myös DORA 14 artikla)
DORA:n mukaan rahoitusyritykset voivat määritellä tietyt tieto- ja viestintätekniikan tarjoajat "kriittisiksi". Näin ollen kriittisen ICT-palveluntarjoajan, joka palvelee DORA:n soveltamisalaan kuuluvaa yhteisöä, on noudatettava tiukkoja sääntöjä, jotka pannaan täytäntöön suorassa yhteistyössä EU:n rahoituspalveluviranomaisten kanssa.
Keskeiset kyberturvallisuustoimenpiteet
DORA-lainsäädännön keskeisenä arvona on ylläpitää kestäviä tieto- ja viestintätekniikkajärjestelmiä. Tämän saavuttamiseksi on laadittu seuraavat suuntaviivat:
Riskienhallinta ja joustavuus
DORA:n ytimessä ovat riskinhallintaohjeet, joiden avulla rahoituspalveluala voi rakentaa entistä kestävämpiä infrastruktuureja. Tuloksena syntyviä riskinhallintaohjelmia ja -arviointeja käytetään perustana häiriönsietokyvyn testauksessa. Lisäksi lainsäädännössä edellytetään, että on tehtävä "vakaviin liiketoimintahäiriöihin" perustuvia liiketoimintavaikutusanalyysejä.
Riippumattomien asiantuntijoiden odotetaan tekevän häiriönsietokyvyn ja haavoittuvuuden testauksen, johon sisältyy säännöllinen uhkiin perustuva tunkeutumistestaus. On tärkeää, että kaikki kriittiset tieto- ja viestintätekniset järjestelmät testataan vuosittain.
Suojelutoimenpiteet (ks. myös 8 artikla)
Esimerkkejä tarvittavista suojatoimenpiteistä ovat:
- Käytä asianmukaisia ja kattavia käytäntöjä korjauksia ja päivityksiä varten.
- Vahvojen todennusmekanismien käytäntöjen ja protokollien käyttöönotto.
- Riskiperusteisen lähestymistavan noudattaminen verkon ja infrastruktuurin moitteettoman hallinnan luomiseksi.
- Toteutetaan toimintatapoja, joilla rajoitetaan tieto- ja viestintäteknisten järjestelmien resurssien ja tietojen fyysistä ja virtuaalista saatavuutta.
- Tietovuodon estäminen
ICT-onnettomuuksien hallinta
15 artikla sisältää yksityiskohtaisia tietoja tietoturvaloukkausten hallintaa ja valvontaa koskevista vaatimuksista, mukaan lukien menettelyt, joilla "havaitaan, hallitaan ja ilmoitetaan tieto- ja viestintätekniikkaan liittyvät vaaratilanteet ja otetaan käyttöön varhaisvaroitusindikaattorit hälytyksinä".
Kyberturvallisuuteen liittyvistä vaaratilanteista ilmoittaminen
Rekisteröityjen yhteisöjen on tarjottava keino seurata, kuvata ja raportoida kaikista merkittävistä tieto- ja viestintätekniikkaan perustuvista vaaratilanteista asianomaisille viranomaisille. Raportointisäännöt ovat tiukat kriittisten tieto- ja viestintätekniikan tarjoajien osalta. Niihin kuuluu ensimmäisen ilmoituksen tekeminen viimeistään pankkipäivän päättyessä, tai jos merkittävä vaaratilanne tapahtui myöhemmin kuin kaksi tuntia ennen pankkipäivän päättymistä, viimeistään neljän tunnin kuluttua seuraavan pankkipäivän alkamisesta.
Tämän jälkeen vaaditaan väliraportti viimeistään viikon kuluttua ensimmäisestä ilmoituksesta, ja sen jälkeen loppuraportti, kun perussyiden analyysi on saatu päätökseen, viimeistään kuukauden kuluttua alkuperäisen raportin lähettämisestä.
Hallinnointi ja turvallisuusvastuu
DORA asettaa tieto- ja viestintäteknisiä riskejä ja tietoverkkouhkia koskevan vastuun rahoituspalvelujen johtoryhmälle. Turvallisuustietoisuuskoulutuksen tarjoaminen auttaa varmistamaan, että C-taso ja koko yritys keskittyvät turvallisuuteen.
DORA kattaa myös keskeiset kyberturvallisuuden hallintaan ja reagointiin liittyvät näkökohdat, kuten tietojen jakamisen (ks. 40 artikla).
Mitä seuraavaksi DORAlle?
Rahoituslaitoksilla ja niiden kriittisten kolmansien osapuolten palveluntarjoajilla on 24 kuukauden täytäntöönpanokausi lainsäädännön käyttöönotosta alkaen. Sen vuoksi soveltamisalaan kuuluvia yhteisöjä kehotetaan käyttämään 24 kuukautta lainsäädännön voimaantulon ja sen mukaisten toimenpiteiden toteuttamisen välillä puuteanalyysin tekemiseen: toimenpiteet, kuten uhkiin perustuva tunkeutumistestaus ja tiukat raportointisäännöt, voivat muutoin jäädä tämän puutteen alle.