Rahoitusalan digitaalista häiriönsietokykyä koskeva EU-asetus luo uusia velvollisuuksia finanssiyhtiöiden hallituksille

Säännellyt toimialat ja toimijat

DORAa sovelletaan monenlaisiin rahoitusalan yhteisöihin, kuten pankkeihin, vakuutusyhtiöihin ja sijoituspalveluyrityksiin. Lisäksi asetus koskee sellaisia palveluntarjoajia, jotka tarjoavat rahoitusalan yrityksille kriittisiä TVT-palveluja, kuten pilvialustoja tai data-analytiikkapalveluja.

Uusia velvoitteita finanssiyhteisöjen hallituksille

Asetuksen yhtenä tarkoituksena on varmistaa, että finanssiyhteisöjen hallituksilla on jatkossa keskeinen ja aktiivinen rooli TVT-riskien hallintaa ja digitaalista häiriönsietokykyä koskevan yleisen strategian ohjaamisessa ja mukauttamisessa. Hallitus kantaakin DORAn nojalla lopullisen vastuun yhteisön TVT-riskistä.

Hallituksen on ensinnäkin määriteltävä finanssiyhteisössä käytettäviin TVT-riskinhallintajärjestelmiin liittyvät järjestelyt, valvottava niiden toteuttamista ja vastattava niistä. Riskinhallintajärjestelmien konkreettisesta vähimmäissisällöstä säädetään tarkemmin DORAssa, mutta niiden on sisällettävä ainakin tarvittavat strategiat, toimintaperiaatteet, menettelyt, protokollat ja välineet TVT-omaisuuden (kuten ohjelmistojen, laitteistojen ja palvelinten) ja ‑infrastruktuurin (kuten toimitilojen ja datakeskusten) suojaamiseksi TVT-riskeiltä, kuten vahingoittumiselta ja luvattomalta pääsyltä tai käytöltä. Käytännössä tämä tarkoittaa esimerkiksi seuraavia asioita:

Osana TVT-riskinhallintajärjestelmäänsä finanssiyhteisöjen on lisäksi määritettävä strategia, joka koskee kolmansien osapuolten tarjoamien TVT-palvelujen käyttöön liittyvää riskiä. Tämä edellyttää, että finanssiyhteisöjen hallitusten jäsenet arvioivat säännöllisesti kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin liittyviä riskejä.

Finanssiyhteisöjen hallitusten jäseniltä edellytetään myös yhteisön TVT-riskiin liittyvien riittävien tietojen ja osaamisen ylläpitämistä. Riittävän osaamisen ylläpitäminen edellyttää asetuksen nojalla muun muassa säännöllistä osallistumista TVT-riskejä ja niiden vaikutuksia koskevaan erityiskoulutukseen.

Vastuu velvoitteiden laiminlyönneistä

DORAn mukaan jäsenvaltioiden tulee varmistaa, että kansallisilla viranomaisilla on valtuudet soveltaa erilaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, jos velvoitteita rikotaan. Näitä hallinnollisia seuraamuksia ja korjaavia toimenpiteitä on lisäksi voitava kohdistaa finanssiyhteisön hallituksen jäseniin ja muihin luonnollisiin henkilöihin, jotka ovat kansallisen lainsäädännön mukaan vastuussa asetuksen rikkomisesta. Seuraamusten lopullinen muoto selviää kuitenkin vasta asetuksen edellyttämien kansallisten lainsäädäntömuutosten myötä. Suomessa ei ole vielä käynnistetty asiaa koskevaa viranomaishanketta.

Valmistautuminen tulevaan

Kaiken kaikkiaan DORA luo kattavat ja yksityiskohtaiset puitteet digitalisaatioon liittyvien riskin hallinnoimiselle finanssiyhteisöissä. DORA sisältää uusia vaatimuksia niin kyberturvallisuuden kuin operatiivisen häiriönsietokyvyn osa-alueilla. Asetuksella asetetaan uusia velvoitteita myös finanssiyhteisöjen hallituksille. Näiden velvoitteiden noudattamatta jättämisestä voi aiheutua hallinnollisia seuraamuksia jopa yksittäisille hallituksen jäsenille. Suomessa rikkomuksesta seuraavat toimenpiteet täsmentynevät lainsäädännössä tulevien vuosien aikana. Finanssiyhteisöjen on kuitenkin suositeltavaa ryhtyä arvioimaan omia TVT-riskejään ja -käytäntöjään jo hyvissä ajoin, myös omien TVT-palveluntarjoajiensa osalta.