Asetus finanssialan digitaalisesta häiriönsietokyvystä

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä (Digital Operational Resiliency Act – DORA) on tullut voimaan 17.1.2023 ja sitä sovelletaan 17.1.2025 alkaen. Euroopan rahoitusmarkkinaviranomaisten työryhmissä valmistellaan asetusta täydentävää alemman tason sääntelyä (tekniset sääntelystandardit)

Asetus kattaa kaikki Finanssivalvonnan valvottavat, paitsi työeläkeyhtiöt (Suomen työeläkejärjestelmä on EU:n lainsäädännön ulkopuolella) ja joitakin asetuksessa erikseen määriteltyjä pieniä toimijoita. Asetus sisältää vaatimuksia, joilla pyritään parantamaan EU:n laajuisesti finanssialan kykyä sietää tietojärjestelmien vikoja ja häiriöitä.  Asetusta sovelletaan suhteellisuusperiaatetta noudattaen, jonka seurauksena asetuksessa asetettavat velvoitteet ovat suhteessa yhteisön kokoon ja muihin olosuhteisiin. Suhteellisuusperiaatteen seurauksena esimerkiksi mikroyrityksiin sovelletaan lievempiä vaatimuksia. Myös teknisissä sääntelystandardeissa on huomioitu suhteellisuusperiaate.

Asetuksessa vaadittavat toimenpiteet ovat pitkälti vastaavia kuin valvottavilta jo nykyisin edellytetään lainsäädännössä, Finanssivalvonnan määräys- ja ohjekokoelmassa sekä Euroopan rahoitusmarkkinaviranomaisten ohjeissa. Asetuksessa on kuitenkin joitakin yksittäisiä uusia vaatimuksia ja valvottavien on tärkeää käydä läpi asetus ja tehdä mahdolliset tarvittavat muutokset sisäisiin ohjeistuksiin ja toimintatapoihin. Tämä läpikäynti kannattaa tehdä hyvissä ajoin ennen asetuksen soveltamisen alkamista. Asetusta täydentävän alemman tason sääntelyn valmistuttua myös tekniset sääntelystandardit tulee käydä läpi soveltuvin osin. Finanssivalvonnan määräyksiä ja ohjeita päivitetään vastaamaan asetusta teknisten sääntelystandardien valmistuttua syksyllä 2024.

Tieto ja viestintätekniikan (TVT) riskienhallinnan järjestämisestä annetut määräykset ovat osin yksityiskohtaisempia kuin aikaisemmin ja mukana on yksittäisiä uusia vaatimuksia. Käytännössä esimerkiksi pankkien nykyiset menettelyt ovat hyvin lähellä uusia vaatimuksia tai saattavat jo täyttää ne, mutta monilla pienemmillä valvottavilla tarvitaan enemmän muutoksia sisäisiin ohjeisiin ja toimintatapoihin.

TVT-häiriötapahtumien raportoinnin sisältö ja raportointikynnykset muuttuvat nykyiseen verrattuna. Käytännössä raportoinnissa tullaan edellyttämään jonkin verran tarkempia tietoja häiriötapahtumista. Lisäksi tulee uusi velvollisuus raportoida vuosittain TVT-häiriötapahtumien aiheuttamista tappioista.

Tietoturvatestauksia koskevat vaatimukset ovat nykyistä yksityiskohtaisempia. Merkittävimmille valvottaville (käytännössä useimmat pankit, pörssi, arvopaperikeskus, suuret vakuutusyhtiöt) tulee lisäksi uusi vaatimus uhkaperusteisesta tietoturvatestauksesta, jota useimmat näistä ovat jo käytännössä tehneet tai suunnitelleet TIBER-FI -testauskehikon mukaisesti.

TVT-ulkoistusten hallintaa ja sopimuksia koskevia vaatimuksia yhtenäistetään. TVT-sopimuksista tulee ylläpitää määrämuotoista rekisteriä ja toimittaa tämä rekisteri valvojalle vuosittain. Kriittisille finanssialalle EU-maissa TVT-palveluja tarjoaville yrityksille tulee oma valvontakehikko ja jokaiselle kriittiselle palveluntarjoajalle oma päävalvoja, joka on yksi kolmesta Euroopan rahoitusmarkkinaviranomaisesta (EBA, ESMA tai EIOPA).

Asetus mahdollistaa valvottavien välisen vapaaehtoispohjalta tapahtuvan kyberuhkia koskevan tietojenvaihdon valvottavien kesken ja kyberuhkista ilmoittamisen valvojalle. Suomessa tällaista tietojen vaihtamista on jo tehty Kyberturvallisuuskeskuksen vetämässä yhteistyöryhmässä ja myös valvojalle on tehty ilmoituksia havaituista kyberuhkista.

Q & A

Onko teillä suunnitelmissa auditoida DORAa?

  • Tulemme valvomaan DORAn vaatimusten noudattamista.

Mikä mielestänne erityisesti muuttuu DORAn myötä aiempiin vaatimuksiin verrattuna? Erityisesti, mikä mielestänne muuttuu sisäisen tarkastuksen velvoitteiden osalta? Jos nämä aiheet riskienhallintajärjestelmä, toiminnan organisointi, poikkeamien hallinta ja raportointi, häiriönsietokyky ja ulkoistukset ovat olleet sisäisen tarkastuksen riskiperusteisen tarkastamisen kohteena jo aiemmin, niin onko tarvetta tehdä tarkastusohjelmaan muutoksia?

  • Muutokset ovat sellaisia, että tarkastusohjelma todennäköisesti voi säilyä ennallaan.

Onko valvottavan vastuulla perustella dokumentaatiossa, miten ja miksi DORA-asetuksen vaatimat asiat on täytetty, vai riittääkö toteutettujen asioiden dokumentointi ja Finanssivalvonta arvioi riittävyyden suhteessa valvottavan toimintaan? Esimerkiksi tarvitseeko pienimuotoista toimintaa harjoittavan valvottavan ottaa dokumentaatiossa kantaa siihen, miksi kaikkia DORAn vaatimuksia ei ole toteutettu?

  • Valvottavien ohjeista ja prosessikuvauksista käy pitkälti ilmi noudatetaanko vaatimuksia. Erillistä dokumentaatiota tai selvitystä DORAn noudattamisesta emme odota, vaikka käytännössä sellainen valvottavilla muodostuukin DORAn implementoinnin yhteydessä.

Kuinka usein sisäisen tarkastuksen tulisi tarkastaa osa-aluetta?

  • Tämä perustuu valvottavan omaan harkintaan.

Pysyykö valvottavien toimijoiden kategorisointi ennallaan vai jakaako Finanssivalvonta jollakin perusteella valvottavia DORA-perusteisesti uudelleen? (Jotta pystytään arvioimaan, mitä velvoitteita kuhunkin toimijaan määräysten perusteella kohdistuu.)

  • Ei muutoksia

Minkälaisia helpotuksia on pienemmille toimijoille, ja onko tällaisen pienemmän toimijan kriteerit määritelty?

  • DORA

Millaisia heijastusvaikutuksia DORAlla on työeläkevakuutusyhtiöihin eli tuleeko sovellettavaksi jossain tilanteessa, jos kyllä, missä?

  • Ei suoraan heijastusvaikutuksia, mutta toki on mahdollista, että tarvetta vastaaville vaatimuksille työeläkevakuutusyhtiöille tarkastellaan tulevaisuudessa

Vaikuttaako DORA-velvoitteisiin (lain silmissä tai käytännössä) jos palveluntarjoaja on myös DORAssa tarkoitettu finanssiyhteisö?

  • Ei

Tuleeko ns. Brexit-luvan saaneen sijoituspalveluyhtiön (SiPaL 5:7.2) soveltaa DORAa toiminnassaan, jos yhtiön ainoa toimipaikka sijaitsee Englannissa?

  • DORA ei sinänsä suoraan sovellu kolmannen maan yrityksiin. Luonnoksessa hallituksen esitykseksi kuitenkin esitetään, että sijoituspalvelulain 7 luvun 2 §:ään lisätään viittaus DORAan. Sijoituspalvelulain 1 luvun 7 §:n mukaan kolmannen maan yrityksiin soveltuu mm. sijoituspalvelulain 7 luvun 2 §. DORAn säännöksiä tulisi tämän sijoituspalvelulakiin ehdotetun viittauksen kautta sovellettavaksi myös kolmannen maan yrityksiin, joilla on toimilupa tarjota sijoituspalveluja Suomessa.

Voisitteko vahvistaa, että DORA-asetusta ei sovelleta rekisteröitymisvelvollisiin vaihtoehtorahastojen hoitajiin.

  • DORAa ei sovelleta direktiivin 2011/61/EU 3 artiklan 2 kohdassa tarkoitettuihin vaihtoehtoisten sijoitusrahastojen hoitajiin

Miltä osin käytännössä yksinkertaistettu TVT-riskinhallintajärjestelmä (art. 16 velvoitteet) eroaa mikroyritystä koskevista velvoitteista? Ovatko nämä toisensa poissulkevat vai toisiaan täydentäviä?

  • Jos mikroyritys kuuluu 16 artiklan piiriin, niin 5−15 artiklaa ei sovelleta.

Alan sääntely esim. riskienhallintajärjestelmän osalta on jo aiemmin ollut kattavaa - mikä nyt muuttuu ja miten se vaikuttaa yhtiöihin tosiasiallisesti?

  • Suurin osa DORAn vaatimuksista on ollut jo Finanssivalvonnan määräys- ja ohjekokoelmassa, Euroopan valvontaviranomaisten ohjeissa ja lainsäädännössä. Nyt vaatimuksia on yhtenäistetty, osin tarkennettu ja joitakin vaatimuksia lisätty. Yhtiöiden tulee käydä läpi DORAn vaatimukset ja tehdä tarvittavat muutokset toimintatapoihin ja ohjeistuksiin. 

Miten ja millä aikataululla Dora implementoidaan MOK 8/2014?

  • MOK 8/2014 ja muut MOKit päivitetään siten, että päällekkäisyydet DORAn kanssa poistetaan. Päivitys tehdään syksyllä 2024 ja muutokset tulevat voimaan 17.1.2025.

Kertoisitteko vielä odotettavissa olevien RTS:ien ja ITSien hyväksyntäaikataulusta ja prosessista?

  • RTS/ITS –luonnokset on toimitettu komission hyväksyttäväksi kahdessa erässä (1/2024 ja 7/2024). Hyväksynnälle ei ole aikataulua, mutta varmaankin syksyn aikana. TVT-sopimusrekisterin sisällön määrittelevä ITS palautui kesällä valmisteltavaksi (LEItä ei voi käyttää).

Is the FIN-FSA, due to the DORA requirements on ICT-Incident Classification and Notification of Major ICT-related incidents, considering updates of FIVA 8/01.00/2014 chapter 9.1 "Reporting of disruptions and faults in operations”?

  • Kyllä

Has the FIN-FSA considered replacing the requirements related to significant/key processes in FIVA 8/2014 with the DORA requirements related to Critical and Important Functions?

  • Ei

Olen ymmärtänyt, että DORA kumoaa PSD2-häiriöraportoinnin sääntelyn ja jatkossa esim. maksupalveluiden häiriöraportoinnin sääntely perustuu suoraan asetukseen (DORA). Finanssivalvonnalla on voimassa useampia MOKeja, joissa vedotaan PSD2-sääntelyn vaatimuksiin häiriöraportoinnin osalta, milloin Fiva päivittää kyseiset MOKit ja ohjeistaa maksupalveluiden uudet, DORAn mukaiset raportointivelvoitteet. Maksupalveluiden osalta DORA ymmärtääkseni sisältää myös sääntelyn operatiivisten häiriöiden, ei siis pelkästään teknisten häiriöiden, raportoinnin osalta. DORA 23 artikla ja DORA 3 artiklan 9 kohta. Päivittyykö tältä osin myös Fivan ohjeistus operatiivisten riskien ja häiriöiden osalta?

  • Kyllä, tähän ja muuhun raportointiin liittyvät MOK-ohjeet ja käytännön ohjeet Finanssivalvonnan verkkosivuilla päivitetään

Tuleeko Doran myötä päivityksiä ja millä aikataululla EBAn ohjeistukseen Euroopan pankkiviranomaisen ohjeet ”Tieto- ja viestintätekniikka- (ICT) sekä turvallisuusriskien hallinnasta” tai Finanssivalvonnan määräyksiä ja ohjeita 8/2014 "Operatiivisen riskin hallinta rahoitussektorin valvottavissa” ja Finanssivalvonnan määräyksiä ja ohjeita 1/2012 ”Ulkoistaminen rahoitussektoriin kuuluvissa valvottavissa”.

  • MOK 8/2014 ja muut MOKit päivitetään siten, että päällekkäisyydet DORAn kanssa poistetaan. Päivitys tehdään syksyllä 2024 ja muutokset tulevat voimaan 17.1.2025.
  • Euroopan valvontaviranomaiset päivittävät DORAaan liittyvät ohjeet ennen 17.1.2025

Mitkä ovat DORAn vähimmäisvaatimukset IT-riskien hallinnalle?

  • DORA

Article 5.2 (g) – what types of costs should be included in the DORA budget other than costs related to resilience training?

  • Kaikki kustannukset, jotka DORAn mukainen ICT- ja tietoturvariskien hallinta vaatii

Kuinka yksityiskohtainen riskienhallinnan viitekehyksen on oltava, so. riittääkö, että riskit kohdistetaan tiettyyn omaisuusluokkaan vai vaaditaanko tarkempaa määrittelyä?

  • DORA

Kuinka pienen ja lähes yksinomaan ulkoistettuja palveluita käyttävän toimijan tulisi suhtautua riskienhallintamallin yksityiskohtaisiin teknisluonteisiin dokumentaatiovaatimuksiin?

  • DORA-vaatimuksia tulee noudattaa

Voiko insidentti-kohdassa käyttää riskiperusteista harkintaa?

  • Ei, DORA-vaatimuksia ja määritelmiä tulee noudattaa

Mitä organisatorisia tahoja ja rooleja teistä tarkoittaa 13 artiklan 6 kohdan ylin johto, kun puhutaan erilaisista finanssialan toimijoista, heidän hallinto- ja johtorakenteista?

  • ”Ylempi johto” tarkoittaa tässä toimivan johdon lisäksi myös ”ylimmän hallintoelimen” jäseniä

Level2 Artikla 27, kohdat 1 ja 2: onko Finanssivalvonnalla suosituksia/toimintamalleja miten mainittuja tietoja tullaan toimittamaan viranomaisille?

  • TVT-riskinhallintajärjestelmän uudelleentarkastelusta laadittava raportti toimitetaan Finanssivalvonnan ohjeiden mukaisesti pyydettäessä

TVT-palvelu

  • TVT-järjestelmien kautta yhdelle tai useammalle sisäiselle tai ulkopuoliselle käyttäjälle jatkuvasti tarjottavia digitaalisia ja datapalveluja, mukaan lukien laitteistot palveluna ja laitteistopalvelut, joihin sisältyy teknisen tuen tarjoaminen laitteiston tarjoajan ohjelmisto- tai laiteohjelmistopäivitysten kautta, lukuun ottamatta perinteisiä analogisia puhelinpalveluja

”TVT-ulkoistus”

  • Finanssiyhteisön sopimusjärjestely TVT-palvelujen käytöstä liiketoimintojensa hoitamista varten

Kriittinen tai tärkeä TVT-ulkoistus

  • tukee ” toimintoa, jonka häiriö heikentäisi olennaisesti finanssiyhteisön taloudellista tuloksellisuutta tai sen palvelujen ja toimintojen moitteettomuutta tai jatkuvuutta tai jonka keskeytyminen, vikaantuminen tai puuttuminen heikentäisi olennaisesti finanssiyhteisön kykyä noudattaa jatkuvasti toimilupansa mukaisia ehtoja ja velvoitteita tai sovellettavan finanssipalvelulainsäädännön mukaisia muita velvoitteittaan”

Millainen dokumentaatio on "riittävä" valvottavan kannalta palveluntarjoajilta?

  • DORA

Miten valvottavan pitää huomioida DORA olemassa olevissa sopimuksissa palveluntarjoajien suuntaan?

  • DORAa tulee noudattaa 17.1.2025 alkaen

Vaikuttaako DORA-velvoitteisiin (lain silmissä tai käytännössä) jos palveluntarjoaja on myös DORAssa tarkoitettu finanssiyhteisö?

  • Ei

Miten tulisi menetellä sopimusvaatimusten kanssa niiden toimittajien osalta, joiden kanssa finanssialan toimijalla ei ole todellisia mahdollisuuksia neuvotella sopimusehdoista?

  • DORAn vaatimuksia tulee noudattaa
  • Teleoperaattoreiden tarjoamat tietoliikennepalvelut ovat erityisesti ongelma tässä suhteessa – emme pysty tällä hetkellä kertomaan miten tämä selviää

Kuuluvatko luottotietopalvelut DORAn mukaisiin ICT-palveluihin?

  • Kyllä, pois lukien viranomaisen tarjoamat palvelut

Millä tavoin finanssimarkkinatoimijan tulee suhtautua verkkopankin käyttöön DORAn osalta? Entä varainhoitajien sijoittajaportaaleihin, jotka tulevat sijoituksen “kylkiäisenä”?

  • Ovat TVT-palveluja

Kuinka pieniä yleisiä palveluita kuten verkkoliikenteen analysointi Matomolla tai lomakespämmin estäminen Akismet sovelluksella tulisi DORAn näkökulmasta käsitellä, kun kaikkia vaadittuja ehtoja ei saa sopimuksiin, mutta kyseessä on myös palvelu, jonka poistamisella ei ole merkittävää vaikutusta palveluihin yleisesti?

  • Ovat TVT-palveluja

For a Group consisting of several financial entities, will a centralized unit for submission of incident notifications and reports be considered as outsourcing to a third-party provider under Art. 19(5) of DORA?

  • Ei ole DORAn tarkoittama sopimusjärjestely, mutta laajempi IT-tuen ulkoistus olisi

DORA-asetuksessa määritellään kriittinen tai tärkeä tehtävä, mutta antaako Finanssivalvonta yksityiskohtaisia ohjeita rahoitusalan entiteettien arvioimiseksi, mitä yleensä on pidettävä kriittisinä tai merkittävinä rahoitussektorin funktioina?

  • Ei

Milloin valvottavan alihankkija voidaan määritellä valvottavan yrityksen kannalta kriittiseksi tai tärkeäksi suhteellisuusperiaatteen mukaan?  Miten valvottavan tulee seurata TVT-alihankkijaa, kun kyseessä on asiakkaan määrittelemä kriittinen 3rd party toimittaja?

  • DORA

Voidaanko 3rd party sopimuskumppani määritellä kriittiseksi riippumatta valvottavan yhteisön koosta / kriittisyydestä?

  • Kyllä

LEI-tunnuksen käyttö ulkoistusraporteissa: finanssimarkkinatoimija ei voi tehdä sopimusta palveluntarjoajan kanssa, jolla ei ole LEI-tunnusta?

  • Komissio palautti ao. RTS-luonnoksen valmisteluun – LEI-tunnusta ei tulla käyttämään

Tarvitseeko TVT-ulkoistustahon suostua valvottavan tekemiin auditointeihin?

  • Kyllä, jos kyseessä on kriittinen tai tärkeä TVT-ulkoistus

Kuinka paljon auditoinneissa/testauksissa voi tukeutua palveluntarjoajan itsensä jo muutenkin mahdollisesti tekemiin selvityksiin?

  • Palveluntarjoajan teettämät kolmannen osapuolen arviot ovat merkittävässä roolissa, kuten nytkin

Pilvipalveludataa voidaan prosessoida hyvin monessa maassa. Miten/millaisella tarkkuudella tämä fakta pitäisi huomioida sopimuksissa / riskienhallintajärjestelmässä / viranomaisraportoinnissa?

  • ICT-riskienhallinnassa tarvitaan tieto siitä, missä dataa käsitellään

Millä tarkkuustasolla keskeisten järjestelmien exit-suunnitelmien testaus pitää kuvata? Käytännössä perusjärjestelmien osalta ainoa exit on toisen korvaavan järjestelmän hankinta.

  • DORA

Jos yhtiö hankkii kaikki ICT-palvelunsa ulkoisilta palvelutoimittajilta, niin tarvitseeko yhtiön tehdä itse säännöllisesti häiriönsietokyvyn testausta kaikille kriittisiä tai tärkeitä toimintoja tukeville ICT-järjestelmille vai riittääkö, että yhtiö vaatii kyseisten ICT-järjestelmien palvelutoimittajia tekemään häiriönsietokyvyn testauksen DORA-vaatimusten mukaisesti ja toimittamaan tiedot testausohjelmasta ja -tuloksista yhtiölle?

  • Voi nojautua toimittajan testeihin

Milloin on ensimmäinen raportointi-deadline?

  • TVT-sopimustietojen osalta on ollut tarkoitus pyytää ensimmäinen raportointi 3/2025, mutta tämä tulee siirtymään

Tuleeko koko konsernin raportoida yhteinen DORA raportti, vai tuleeko konsernissa olevan valvottavan yrityksen raportoida itsenäisesti, vaikka ICT-palveluntarjoajat ovat pitkälle konsernin sopimuksia?

  • TVT-sopimustiedot voi raportoida yhteisellä raportilla

Yleisesti onko teillä jotain raportointipohjia jaettavana, mitä DORAn puitteissa toivotte käytettävän?

  • Nämä määritellään RTS/ITS-dokumenteissa ja Finanssivalvonta tulee ohjeistamaan raportoinnin

Kasvava riippuvuus kolmansien osapuolten palveluntarjoajista on kasvanut merkittävästi, erityisesti pilvipalveluiden osalta, miten rahoituslaitosten tulisi DORA mukaisesti lähestyä näiden suhteiden hallintaa ja muuttaako tämä tätä miltä osin eniten? Entä mitkä ovat odotukset kolmansien osapuolten jatkuvasta seurannasta ja vaatimustenmukaisuuden varmistamisesta koko hankintaketjun osalta vrt. aikaisempaan ohjeistukseen EBA/FSA osalta?

  • DORA

Miten ISO 27001 sertifikaatti ja/tai NIS2 vaatimukset täyttävien organisaatioiden kuuluvat laitokset tulisi strategisesti ja taktisestii sovittaa käytäntönsä myös DORA vaatimusten täyttämiseen ilman päällekkäisyyksiä, joita varmasti kyllä syntyy väkisin? Tiivistettynä ja kärjistäen ISO27001 keskittyy tietoturvaan ja informaation hallintaan laaja-alaisesti ja NIS2 standardisoi EU tason velvoitteita kuten häiriöraportointia sekä tietoturvavelvollisuuksia.  Onko olemassa yksinkertaistettua lähestymistapaa näiden hallinnointiin & dokumentointiin tai "best-practice" mallia, jotta organisaatio voisi tehokkaasti käsitellä useita sääntelyvaatimuksia? Esimerkiksi helposti havainnoida ”overlapping” alueet, joihin keskittyä, työkalujen avulla kuten self-assesmentit yhdistettynä tai muuta vastaavaa? Tärkeä asia toteuttaa kaikin puolin, mutta monelle pienemmälle valvottavalle tämä voi aiheuttaa (ei välttämättä) merkittäviä kehitystarpeita, joilla on luonnollisesti suoria- ja epäsuoria kustannuksia. Osa aihealueista on kuitenkin kunnossa ja osa taas vaatii toimenpiteitä, erityisesti jos NIS2 ja ISO27001 ovat hanskassa.

  • DORA ei käsittele näitä asioita

Mahdollistaako DORAssa mainittu suhteellisuusperiaate sen, että erilaisia kriittistä toimintoa tukevia ICT-palveluita kohdellaan DORAn vaatimusten osalta eri tavalla riippuen siitä, miten merkittävä kyseinen ICT-palvelu on kriittisen toiminnon jatkuvuuden kannalta? Useat DORAn velvoitteet soveltuvat kriittistä toimintoa "tukeviin" ICT-palveluihin ja -järjestelmiin, vaikka nämä ICT-palvelut ja järjestelmät eivät itsessään olisi kriittisiä. Jos DORA:n sanamuotoa tulkittaisiin tässä tiukasti, kyseiset vaatimukset koskisivat aivan kaikkia ICT-palveluita ja -järjestelmiä, kunhan ne vain tukevat kriittistä toimintoa. Suhteellisuusperiaatteen soveltaminen mahdollistaisi riskiperusteisemman lähestymistavan siinä, miten laajoja riskienhallintatoimenpiteitä vaadittaisiin kunkin kriittistä toimintoa tukevan ICT-palvelun osalta. Tällöin voitaisiin välttyä siltä, että kriittisen toiminnon jatkuvuuden kannalta merkityksettömään ICT-palveluun sovellettaisiin tiukasti DORAn vaatimuksia esim. 30(3) artiklan sopimusehdoista, 28(8) artiklan irtautumisstrategiasta ja 24(6) artiklan vuosittaisesta testauksesta.

  • Jos ICT-palvelun häiriö voi aiheuttaa häiriön valvottavan kriittiseen tai tärkeään palveluun, niin silloin ICT-palvelu on kriittinen

Jos palveluntarjoajan kanssa on tehty sopimus ensisijaisesti esimerkiksi perinnän hoitamisesta ja palveluntarjoaja tarjoaa perintäpalvelun lisäksi web-portaalin, josta finanssiyhteisö voi hakea raportteja, onko tällöin kyseessä TVT-palveluntarjoaja?

  • Ei

Article 5.3 – what does it mean to “monitor” the contracts concluded with third-party ICT service providers? Does it mean requirement setting and testing or also auditing?

  • DORA

Häiriöraportointi tehdään jatkossakin FISA-järjestelmän kautta. Ilmoitus muuttuu web-lomakepohjaiseksi ja häiriöilmoituslomakkeita on jatkossa vain yksi. Ohjeistus päivitetään syksyn aikana.

  • Finanssivalvonta on aiemmin indikoinut julkaisevansa syksyn aikana ohjeistusta mm. häiriöraportoinnin käytänteisiin liittyen. Millä aikataululla ohjeistusta voidaan odottaa?
  • Onko Finanssivalvonnan ja/tai EBAn PSD2 häiriöraportointipohjiin tulossa muutoksia tai ollaanko ne uusimassa kokonaan?)
  • Is the FIN-FSA considering to develop and provide a template for notification of Major ICT-related incidents? Related to the submission of notification of Major ICT-related incidents, which channel will the FIN-FSA expect financial entities to use for the notification?
  • Vastaanottaako Finanssivalvonta vain DORAn mukaisia incidenttiraportteja 17.1.2025 alkaen?
  • Tarjoaako Finanssivalvonta raportointia varten verkkolomakkeen tai jopa API-rajapinnan?

Is incident reporting discussed and intended aligned with the other three Nordic FSAs?

  • Tällaista ei ole suunniteltu, mutta asia tullaan selvittämään

Voiko ryhmä yrityksiä tehdä yhdessä ilmoituksen vapaaehtoisen tietojenvaihdon aloittamisesta?

  • Kyllä

Mikä viranomainen tulee valvomaan ja ohjaamaan TPLT:tä (Threat-Led Penetration Testing) Suomessa? / Mikä taho Suomessa tulee olemaan TLPT Authority?

  • Suomen Pankki jatkaa TIBER-FI –kehikon hallinnointia
  • SI-pankkien osalta EKP/SSM asettaa TPLT-testausvelvoitteen ja valvoo tuloksia
  • Muiden valvottavien osalta Finanssivalvonta asettaa TPLT-testausvelvoitteen ja valvoo tuloksia

Milloin ja missä kanavassa tiedotetaan TLPT-velvoite finanssialan toimijoille? ts ketkä toimijoista ovat velvoitettuja toteuttamaan DORAn kuvaaman TLPT-toiminnan?

  • Valvoja ilmoittaa TLPT-velvoitteesta
  • Suomen Pankki jatkaa TIBER-FI –kehikon hallinnointia
  • SI-pankkien osalta EKP/SSM asettaa TPLT-testausvelvoitteen ja valvoo tuloksia
  • Muiden valvottavien osalta Finanssivalvonta asettaa TPLT-testausvelvoitteen ja valvoo tuloksia

Minkälaiset ICT-palvelut tulevat olemaan TLPT-testien fokuksessa ja kuinka teknisiä palveluketjuja on tarkoitus testata - 1) vain alkupäästä katsoen ja raportoiden vai 2) koko toimitusketjun hierarkiasta tuottaen testiraportit joka tasolta?

  • Yritykset suunnittelevat itse testaukset sellaisiksi, että ne noudattavat DORAn vaatimuksia

Joko TLPT-testaajien / testausta tarjoavien tahojen akkreditointi on käynnissä ja onko lista julkinen?

  • Suomessa TIBER-FI –kehikon puitteissa tehty testaus noudattaa DORAn vaatimuksia
  • Jos yritys haluaa järjestää kokonaan itse testauksen, niin sen on itse varmistettava, että se noudattaa DORAn TLPT-testaamista koskevia vaatimuksia

Milloin Finanssivalvonta/toimivaltainen viranomainen ilmoittaa 26 artiklan 8 kohdan kolmannen alakohdan mukaiset finanssiyhtiöt?

  • 17.1.2025 mennessä

Miten IT-palvelutarjoajan pitäisi varautua tilanteeseen, jossa organisaatio on sekä DORAn (oletettavasti TVT ulkoistuksen kohteena), että NIS2:n piirissä (IT-palveluntarjoajana). Esimeriksi incidentin tapauksessa kumman säätelyn suuntaan pitäisi alkaa raportoimaan DORA-valvojalle vai NIS2-valvojalle vai molemmille?

  • Tällä hetkellä Suomessa NIS-soveltamisalaan kuuluvat finanssialan yritykset raportoivat vain Finanssivalvonnalle, emme osaa sanoa pystytäänkö kriittisten ICT-palveluntarjoajien raportointi järjestämään vain DORA-valvojalle tai NIS2-valvojalle

Ei eksaktia kysymystä, mutta tieto esim. JET ja LO järjestäytymisestä, aikataulu ja yhteistoiminta viranomaisten kanssa auttaisi syksyn suunnittelua yhdessä CTPP:sien kanssa.

  • Järjestäytyminen tapahtuu 2025

Miten/kuka määritetään mitkä toimijat ovat ns. "critical ICT third party provider”

  • Euroopan valvontaviranomaisten ja kansallisten valvojien muodostama valvonta määrittelee valvottavat ICT-palveluntarjoajat valvottavilta kerättävän rekisteritiedon perusteella. Käytännössä tämä tapahtunee syksyllä 2025.

Katso myös

Valvottavat voivat pyytää tulkinta-apua tai etsiä vastauksia jo esitettyihin kysymyksiin: