Digital Operational Resilience Act (DORA) on EU:n säädös rahoituslaitosten digitaalisesta toimintavarmuudesta, jonka tavoitteena on saavuttaa yhtenäinen korkea digitaalisen toimintavarmuuden taso kaikkialla EU:ssa.
Se asettaa yhtenäiset vaatimukset tietoverkoille ja järjestelmille, jotka tukevat rahoitusalan liiketoimintaprosesseja.
DORA:ssa asetetaan kattavat vaatimukset suojaukselle, havaitsemiselle, eristämiselle, toipumiselle ja korjaavalle toiminnalle tietoturvahäiriön sattuessa. Lisäksi kehikkoon sisältyy perusteellinen riskien- ja häiriöiden hallinta, kyberuhkien ja -haavoittuvuuksien tiedonvaihto, häiriönsietokyvyn testausta koskevat määräykset ja velvollisuus ilmoittaa vaaratilanteista asianomaisille viranomaisille.
Olemme julkaisseet DORA-vaatimuskehikon Digiturvamallissa syksyllä 2024 - voit aktivoida sen Organisaation työpöydän "muokkaa vaatimuskehikoita" -osiosta. Tässä blogissa tarkastelemme kattavammin, mikä DORA on ja mitä se sisältää, keitä vaatimus oikeastaan koskee, ja kurkistamme, miltä DORA näyttää, kun se on Digiturvamallissa. Aloitetaan siis!
Digitaalisen toimintaympäristön laajentuessa finanssialalla on jatkuvasti paineita suojautua kyberuhkilta. Digital Operational Resilience Act on Euroopan unionin käyttöön ottama lainsäädäntö, jolla pyritään vahvistamaan rahoituslaitosten kyberkestävyyttä. Joulukuun 14. päivänä 2022 hyväksytty DORA merkitsee perustavanlaatuista muutosta siinä, miten rahoituslaitosten edellytetään hallitsevan digitaalisia uhkia.
DORA osoittaa, että finanssilaitosten on keskityttävä operatiivisiin riskeihin eikä vain taloudellisiin riskeihin. DORA ei ole vain yksi säännös, jota on noudatettava, vaan se on rahoitusalan yrityksille mahdollisuus tehostaa digitaalista puolustustaan. Toteuttamalla DORAa käytännössä finanssilaitokset voivat yhtenäistää reagointinsa IT-häiriöihin tai kyberhyökkäyksiin, mikä tekee finanssijärjestelmästä vahvemman ja kestävämmän.
Lähtölaskenta kohti DORAa on meneillään, sillä säädöksen on määrä olla käytännössä 17. tammikuuta 2025 mennessä. Kun organisaatiot valmistautuvat täyttämään nämä kriittiset vaatimukset, niillä on merkittävä mahdollisuus jalostaa ja parantaa tietoturvatoimiaan. Ottamalla ennakoivan asenteen ne varmistavat sääntelyn noudattamisen lisäksi myös luottamuksen ja vakauden vahvistamisen digitaalisessa ympäristössä. DORA:n omaksuminen tarkoittaa sen yksityiskohtien ymmärtämistä ja kyberuhkien torjunnan parantamista.
DORA:n soveltamisalaan kuuluu laaja joukko Euroopan unionissa toimivia rahoitusalan yhteisöjä, mukaan lukien EU:n ulkopuolelta tulevia yhteisöjä. Sen tavoitteena on varmistaa, että nämä yhteisöt voivat kestää kaikenlaisia tieto- ja viestintätekniikan häiriöitä ja uhkia, reagoida niihin ja toipua niistä. Tässä on tarkempi erittely DORA:n soveltamisalasta:
DORA:ssa korostetaan teknisen infrastruktuurin turvaamisen lisäksi myös digitaalisen toiminnan kestävyyden ylläpitämistä, minkä vuoksi yhteisöjen on tärkeää käsitellä sekä digitaalisia uhkia että operatiivisia riskejä. DORAa sovelletaan useisiin rahoituslaitoksiin, muun muassa seuraaviin:
DORA:n soveltamisala on laaja, mutta se keskittyy ensisijaisesti yhteisöihin, joilla on suora tai merkittävä vaikutus EU:n rahoitusjärjestelmään, joten tietyt pienemmät yhteisöt tai muut kuin keskeiset rahoituslaitokset eivät välttämättä kuulu sen vaatimusten piiriin. Tällaisia voivat olla esimerkiksi pienet ja mikroyritykset (pk-yritykset) joillakin muilla kuin keskeisillä rahoitussektoreilla, jotka eivät käsittele merkittäviä määriä arkaluonteisia rahoitustietoja, sekä ICT-palvelujen tarjoajat, jotka tarjoavat rahoitussektorille muita kuin kriittisiä tai muita kuin keskeisiä palveluja.
Asetuksella on tarkoitus varmistaa, että kaikilla näillä yhteisöillä on niiden koosta tai luonteesta riippumatta johdonmukaiset tietoturvatoimenpiteet, joissa keskitytään niiden operatiiviseen kestävyyteen tieto- ja viestintäteknisiä riskejä vastaan.
Digital Operational Resilience Act on Euroopan unionin vaatimuskehikko, jossa keskitytään vahvistamaan EU:n rahoituslaitosten kyberturvallisuutta ja toimintavarmuutta. Vaikka DORA ei sinällään ole tietoturvakehikko, se muodostaa kehyksen, johon on sisällytetty elementtejä useista tunnetuista tietoturvaperiaatteista ja -käytännöistä. Pohjimmiltaan DORA parantaa digitaalista toimintavarmuutta rahoitusalalla. Mutta mitä konkreettisia toimia se edellyttää tavoitteiden saavuttamiseksi?
Asetetaan vaatimukset tieto- ja viestintätekniikan riskien hallinnalle, mukaan lukien hallintorakenteiden luominen, riskien arviointi ja valvonnan toteuttaminen tunnistettujen riskien lieventämiseksi.
Kun rahoituslaitokset ja niiden toimittajat yhdenmukaistetaan ISO 27001 -standardin ja NIST CSF:n kaltaisten yhtenäisten standardien ja vaatimusten kanssa, se vahvistaa suojautumista kehittyvää uhkakuvaa vastaan. Yhdenmukaisuus yksinkertaistaa vaatimustenmukaisuutta ja varmistaa, ettei yksikään laitos jää alttiiksi tietoturvariskeille. Kappale II koostuu laajasta teemasta, ja siinä esitellään tietoturvaa yleisesti koskevia vaatimuksia. Joitakin esiin nostettavia artikloja ovat mm:
Artikla 9a: Suojaus: Tässä artiklassa käsitellään erityisesti tietojärjestelmien suojaamista; yritysten on jatkuvasti seurattava ja valvottava tieto- ja viestintäteknisiä järjestelmiään turvallisuuden varmistamiseksi, riskien minimoimiseksi ja pahimpaan varautumiseksi. Toimenpiteitä voivat olla esimerkiksi käyttöoikeuksien hallinta, varmuuskopiotietojen salaus ja fyysiset suojaustoimenpiteet.
Artikla 9b: Ennaltaehkäisy: Koska ensimmäinen osa koskee suojaamista, 9 artiklan toisessa osassa esitetään rahoituslaitoksille vaatimukset, jotka koskevat niiden tieto- ja viestintätekniikkajärjestelmiin kohdistuvien riskien suojaamista ja ennaltaehkäisyä. Riskien ehkäisemiseen liittyviä toimenpiteitä voivat olla esimerkiksi käyttöoikeuksien määrittely, henkilöstön tietoisuus sekä tiedostojen hallinta.
Rahoitusyksiköiden on laadittava ja dokumentoitava tietoturvapolitiikka, jossa määritellään säännöt tietojen, tieto- ja ICT assettien, tarvittaessa myös asiakkaidensa, saatavuuden, aitouden, eheyden ja luottamuksellisuuden suojaamiseksi.
10 artikla: Havaitseminen: Finanssilaitosten on toteutettava toimenpiteitä, joilla ne voivat havaita nopeasti kaikki tieto- ja viestintätekniikkaverkoissaan ilmenevät ongelmat tai haavoittuvuudet. Näihin mekanismeihin olisi sisällyttävä monikerroksisia valvontatoimia, selkeästi määriteltyjä hälytysraja-arvoja ja automaattisia ilmoituksia, jotka tukevat häiriötilanteisiin reagoimista.
Kappaleessa III ohjeistetaan vakiomuotoinen lähestymistapa, jonka mukaan merkittävistä tieto- ja viestintätekniikkaan liittyvistä häiriöistä on ilmoitettava asianomaisille viranomaisille. Tarkoituksena on varmistaa oikea-aikainen ja täsmällinen tiedottaminen tapahtumista, jotka voivat vaikuttaa rahoitusalan vakauteen tai kuluttajiin.
DORA tehostaa häiriötilanteisiin reagoimista virtaviivaistamalla raportointi- ja reagointiprosesseja, minkä ansiosta yritykset voivat toimia nopeasti ja tehokkaasti.
Dora edellyttää tieto- ja viestintäteknisten järjestelmien toimintavarmuuden säännöllistä testausta, johon voi sisältyä haavoittuvuuksien arviointeja ja penetraatiotestausta (mm. TLPT).
Järjestelmien vastustuskyvyn varmistaminen hyökkäyksiä vastaan on ensisijainen painopiste, ja DORA edellyttää, että yksiköt suorittavat tiukkoja digitaalisen toimintavarmuuden testauksia. Tämä tarkoittaa säännöllisiä ja perusteellisia arviointeja, joilla validoidaan turvatoimien tehokkuus ja varmistetaan, että heikkoudet tunnistetaan ja niitä vähennetään nopeasti.
Tässä keskitytään kolmannen osapuolen ICT-palvelujen tarjoajiin liittyvien riskien hallintaan. Se sisältää ulkoistamista, seurantaa ja kolmansien osapuolten suhteiden riskinarviointeja koskevia sääntöjä sekä sen varmistamisen, että myös nämä palveluntarjoajat noudattavat tietoturvan ja häiriönsietokyvyn periaatteita.
DORA vahvistaa kolmansien osapuolten riskienhallintaa valvomalla ja arvioimalla tiukasti ICT-palvelujen tarjoajia, varmistamalla, että ulkoistetut kumppanit noudattavat samoja tietoturvastandardeja, ja vähentämällä haavoittuvuuksia toisiinsa kytketyssä finanssiekosysteemissä.
Kappaleessa VI kannustetaan finanssialan toimijoita jakamaan keskenään uhkatiedustelua ja tietoja kyberuhkista, häiriöistä ja haavoittuvuuksista alalla, mikä edistää yhteistoiminnallista puolustautumista kyberriskejä vastaan. Pakollinen tietojen jakaminen auttaa organisaatioita oppimaan vaaratilanteista, vähentämään niiden vaikutuksia ja ehkäisemään tulevia tapauksia.
DORA:ssa sovelletaan laajaa, riskiperusteista lähestymistapaa, jossa yhteisöiltä edellytetään vankkojen tietoturvakäytäntöjen käyttöönottoa ja joka vastaa hyvin maailmanlaajuisesti tunnustettuja järjestelmiä, kuten ISO 27001, NIST CSF ja CIS Controls, samalla kun siinä otetaan huomioon finanssialan erityistarpeet.
Kuten aiemmin mainittiin, DORA on saatavilla Digiturvamallissa. Digiturvamallissa Dora koostuu 5 pykälästä ja 42 vaatimuksesta, jotka on jaettu priorisoituihin politiikkoihin ja tehtäviin. Digiturvamallissa on myös monia muita tässä blogissa mainittuja vaatimuskehikkoja, kuten ISO 27001 -standardi ja NIST-tietoturvakehikko. Voit siis työskennellä DORA:n parissa pelkästään tai yhdessä muiden saatavilla olevien vaatimuskehikkojen kanssa. Jos et ole vielä ehtinyt kokeilla Digiturvamallia, ota ilmainen 14 päivän kokeilujakso tästä.
DORA toimii sekä sääntelyn ohjenuorana että yhteistyön standardina, joka yhdistää rahoitusalan prosesseja yhteisten digitaalisen häiriönsietokyvyn haasteiden ratkaisemiseksi. Sen selkeissä riskienhallintaa, häiriöiden raportointia ja häiriönsietokyvyn testausta koskevissa linjauksissa annetaan kaikenkokoisille organisaatioille mahdollisuus lähestyä tietoturvaa luottavaisin mielin ja edistää ennakoivaa ja johdonmukaista puolustusta kehittyviä uhkia vastaan.
Loppujen lopuksi DORA ei vain anna ohjeita, vaan se rakentaa aktiivisesti yhteistyöhön perustuvaa ekosysteemiä, jossa yhteisöt ovat paremmin valmistautuneita torjumaan kyberuhkia, suojaamaan tietoja ja säilyttämään sidosryhmiensä luottamuksen. Digitaalisten uhkien monimutkaisissa tilanteissa navigoiville laitoksille DORA on vankkumaton liittolainen niiden tietoturvastrategiassa.
Puuttuuko Digiturvamallista jokin vaatimuskehikko, jonka parissa haluaisit työskennellä? DORA julkaistiin Digiturvamallissa käyttäjien toiveiden ansiosta. Tiimimme tekee jatkuvasti töitä uusien kehikkojen saataville saattamiseksi, joten toivo suosikkiasi, toiveesi voi toteutua: Vaatimuskehikot.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
