Hyppää sisältöön

DORA tulee, oletko valmis?

Mikä DORA on ja miksi se on merkittävä?

DORA eli Digital Operational Resilience Act on Euroopan unionin asetus, joka on suunniteltu vahvistamaan finanssialan digitaalista häiriönsietokykyä eli toisin sanoen kestävyyttä. Lainsäädäntö tuo mukanaan kokonaisvaltaisen kehyksen, joka varmistaa finanssipalveluiden tarjoajien kyvyn vastustaa teknologisia häiriöitä ja kyberuhkia, toipua niistä sekä sopeutua niihin.

DORAn tavoitteena on lisätä sektorin läpinäkyvyyttä. Lainsäädännön myötä finanssialan organisaatiot joutuvat tarkastelemaan uudelleen ja vahvistamaan ICT:hen liittyviä prosesseja, riskienhallintaa sekä kyberturvallisuutta. Toimenpiteet vahvistavat kuluttajien luottamusta digitaalisiin finanssipalveluihin. Isossa kuvassa DORAn hyödyt kattavat laajemman vakauden finanssimarkkinoilla sekä paremman suojan kuluttajille.

DORAa sovelletaan 17. tammikuuta 2025 lähtien ja juuri nyt on menossa siirtymäaika.  Organisaatioilla on siis enää vajaa vuosi aikaa sopeutua uusiin vaatimuksiin ja vahvistaa omaa digitaalista kestävyyttään.

Nykytila ja haasteet


DORA on herättänyt paljon keskustelua finanssialan toimijoiden keskuudessa. Vaikka asetus on jo julkaistu virallisesti, se jatkaa muovautumistaan sitä mukaa kun uusia sääntelystandardeja julkaistaan. Suomen finanssisektorilla tilanteen voi sanoa olevan suurimmalta osin jo valmiiksi varsin hyvä. Kiitos tästä kuuluu ISO27001-standardin tarjoamalle vankalle pohjalle.

Vaikka moni organisaatio on jo sertifioitu ISO27001-standardin mukaisesti, DORA asettaa uusia, tarkempia vaatimuksia. Vaatimukset edellyttävät organisaatioita tarkastelemaan olemassa olevia toimintatapojaan. Esimerkiksi yhtenä suurena alueena on palveluntoimittajien hallinta, jossa DORA asettaa tarkennettuja vaatimuksia ulkoistettujen palvelujen ja palveluntoimittajien johtamiseen ja valvontaan. Vaatimukset kattavat koko palveluntoimittajan elinkaaren ajasta ennen sopimusneuvotteluja sopimuksesta irtautumiseen.

Myös yksilöintiin liittyvät vaatimukset kannattaa huomioida. DORAn myötä finanssialan toimijan tulee ymmärtää ja määritellä mistä IT-omaisuuseristä (asseteista) toiminnan kannalta kriittiset ja tärkeät prosessit ovat riippuvaisia. Tämä voi kuulostaa yksinkertaiselta, mutta kun assettien määrä on suuri, tämän toteuttaminen vie helposti yllättävän paljon aikaa.

Yksi DORAn tuoma yllätys on testausvaatimusten tarkkuus ja säännöllisyys. Satunnaiset testaukset eivät enää riitä, vaan vaaditaan johdonmukaista ja toistettavaa testausprosessia. DORA korostaa myös kattavan ja yksityiskohtaisen dokumentaation tarpeellisuutta, mikä ulottuu politiikkadokumenteista aina käytännön toimenpiteisiin asti.

Monille finanssiorganisaatioille DORAn tuoma haaste on siirtymä nopeasti toteutetuista väliaikaisratkaisuista selkeisiin ja tehokkaisiin, helposti ylläpidettäviin prosesseihin. Monet organisaatiot ovat esimerkiksi turvautuneet riskienhallinnan kokonaisuuden pyörittämisessä Excel-taulukoihin. Ne saattavat lyhyellä aikavälillä toimia, mutta voivat olla myöhemmin todella vaikeita ylläpitää. Puhumattakaan siitä, jos koko vaatimustenmukaisuus on rakennettu Exceleiden päälle. Muutos kohti kestävämpiä ratkaisuja edellyttää ajattelutavan muutosta, käytännön suunnittelua sekä oikeiden työkalujen valintaa DORAn täytäntöönpanoa varten.

Miten lähden liikkeelle?

DORAn edellyttämät muutokset voivat tuntua monesta finanssialan organisaatiosta haastavilta. On olemassa kuitenkin tapoja, joiden avulla organisaatiot voivat lähestyä muutosta järjestelmällisesti ja tehokkaasti. Ohessa meidän ehdotuksemme siitä, kuinka organisaatio voi aloittaa valmistautumisen DORA-vaatimusten täyttämiseen.

Määritä nykytila ja tee gap-analyysi

Ensimmäinen askel on nykytilan ja mahdollisten puutteiden (gap) määrittäminen. Tämä lähtökohta antaa selkeän kuvan siitä, missä organisaatio on tällä hetkellä suhteessa DORAn vaatimuksiin. Harva organisaatio on täysin valmis, joten hyvin johdettu gap-analyysi paljastaa, missä suurimmat puutteet ovat ja missä toimenpiteitä tarvitaan ensisijaisesti.

Laadi roadmap ja priorisoi toimenpiteet

Seuraavaksi laaditaan roadmap eli suunnitelma siitä, miten edetään. Tämä sisältää kiireellisimpien toimenpiteiden määrittelyn ja niin sanottujen ”low-hanging fruit” -kohteiden tunnistamisen. Niillä tarkoitetaan asioita, jotka ovat suhteellisen helppoja toteuttaa ja jotka tuottavat nopeasti arvoa. Esimerkiksi liiketoiminnan vaikutusanalyysi (BIA) on hyvä työkalu priorisointiin. BIA auttaa ymmärtämään, mitkä järjestelmät ja prosessit ovat liiketoiminnalle kriittisimpiä.

Lähesty jatkuvuutta ihmislähtöisesti

DORAssa keskeistä on organisaation kyky jatkaa toimintaansa mahdollisimman nopeasti ja saumattomasti häiriötilanteiden jälkeen. Tämä edellyttää ihmislähtöistä lähestymistapaa, jossa määritellään vastuualueet ja koordinoidaan toimenpiteitä selkeästi ja johdonmukaisesti. On tärkeää varmistaa, että organisaatiolla on tarvittavat resurssit ja osaaminen näiden toimenpiteiden toteuttamiseen. Esimerkiksi prosessien dokumentoinnissa on syytä antaa vastuu henkilöille, joilla on syvä ymmärrys organisaation nykyisistä prosesseista ja kyvykkyyksistä.

Hyödynnä työkaluja hallinnan tehostamiseen

Excel-taulukoiden sijaan organisaation olisi hyvä hyödyntää asianmukaisia työkaluja prosessien ja dokumentaation hallintaan. Tällaiset työkalut, kuten ServiceNow, mahdollistavat DORAn vaatimusten mukaisen dokumentoinnin ja prosessien hallinnan huomattavasti tehokkaammin. Ne vähentävät virheitä, lisäävät läpinäkyvyyttä ja mahdollistavat vaatimustenmukaisuuden reaaliaikaisen seurannan.

Mihin tulee varautua?

DORA:n käyttöönotto tuo mukanaan monenlaisia haasteita, jotka ovat herättäneet epävarmuutta ja kysymyksiä.

  1. DORAn tarkoitus ja sen vaatimukset eivät ole välttämättä kaikille täysin selviä, eikä aina tiedetä, miten aloittaa tai edetä asetuksen vaatimusten täyttämisessä. Tämä voi tuntua järkälemäiseltä urakalta, erityisesti niille, jotka eivät ole tottuneet käsittelemään vastaavanlaista säädösviidakkoa.
  2. Ihmisten mukanaan tuomat haasteet, kuten riittävän osaamisen puuttuminen ja muutosvastarinta, korostuvat, kun organisaatiot yrittävät navigoida DORAn vaatimusten läpi.
  3. Aikapaine luo lisästressiä, sillä ensi tammikuun määräaika lähestyy nopeaa vauhtia. Organisaatioiden on varmistettava, että ne saavat tarvittavat toimenpiteet toteutettua ajoissa.
  4. Yritykset, jotka ovat tottuneet nojaamaan väliaikaisiin manuaalisiin ratkaisuihin, kohtaavat nyt käytännön haasteen, kun ne pyrkivät karsimaan näitä pikaratkaisuja rakentaakseen kestävämpää mallia.

Haasteiden voittamiseen vaaditaan huolellista suunnittelua, resurssien oikea-aikaista kohdentamista sekä organisaation sitoutumista ylimmästä johdosta lähtien. Näin voidaan varmistaa DORAn vaatimusten täyttäminen ja saavuttaa sen tuoma digitaalinen resilienssi.

Yhteenveto

Kun organisaatio aloittaa DORAn vaatimusten täyttämiseen, on keskeistä lähestyä asiaa systemaattisesti ja priorisoiden. Vaikka DORA on massiivinen kokonaisuus ja sen vaatimukset saattavat tuntua aluksi ylivoimaisilta, on tärkeää tunnistaa myös asetuksen tuomat hyödyt. Sen päämääränä on luoda tietoturvallisempi finanssisektori, mikä on olennaisen tärkeää koko Euroopan taloudellisen infrastruktuurin kestävyyden ja luotettavuuden kannalta.

DORA ei ainoastaan paranna finanssialan yritysten kykyä hallita ja vastata digitaalisiin uhkiin, vaan se myös vahvistaa luottamusta koko sektoria kohtaan. On tärkeää, että näin kriittinen ala turvataan kattavasti koko Euroopassa.

Matkalla ei ole pakko edetä yksin. Luotettavan kumppanin hankkiminen avuksi tuo vakautta ja selkeyttää suuntaa. Tämä on tärkeää, kun otetaan huomioon, että aika on tässä tapauksessa rajallinen resurssi. Sofigate on tukenut asiakkaitaan niiden digitaalisen häiriönsietokyvyn ja kypsyystason nostamisessa DORAn vaatimuksia varten.

Kirjoittaja

Kati Piipari on kokenut riskienhallinnan ammattilainen. Hänellä on 15 vuoden työkokemus, josta yli 10 vuotta hän on työskennellyt finanssisektorilla. Tällä hetkellä hän keskittyy auttamaan asiakkaitaan kehittämään valmiuksiaan vastaamaan DORAn vaatimuksiin.

Etsi