DORA-asetus: Kolmansien osapuolten riskienhallinnan haasteet ja mahdollisuudet finanssialalla 

Finanssialan toimijat kohtaavat haasteita Digitaalisen häiriönsietokyvyn asetuksen (DORA-asetus) edellyttämien toimien toteuttamisessa, kuten kriittisten tai tärkeiden toimintojen määrittämisessä sopivalla tasolla, kolmansien osapuolten hallinnassa sekä riittävän häiriönsietokyvyn testaamisen määrittelyssä.

Finanssivalvonnan kyselytilaisuuden, joka pidettiin 6.9.2024, perusteella erityisesti kolmansien osapuolten hallinta tuottaa päänvaivaa. Hankaluuksia voivat aiheuttaa sopimusvaatimusten päivittäminen DORA-asetuksen aikataulu huomioiden, kolmansien osapuolten monitoroinnin suunnittelu ja toteutus sekä varmistuminen siitä, että kolmannet osapuolet toteuttavat DORA:n vaatimukset. Käytännön tasolla toimittajien, sopimusten, toimintojen ja muiden vastaavien dokumentointi tietorekisteriin on osoittautunut työlääksi, johtuen tietorekisterin rakenteesta ja siitä, että nämä tiedot pitää poimia useista eri järjestelmistä.

Kolmansien osapuolten riskienhallinta on tuotu DORA-asetuksessa osaksi IT- ja tietoturvariskien hallintaa. Ylipäätään kolmansien osapuolten hallinta tulisi nähdä toimijan oman toiminnan jatkumona, jolloin esimerkiksi riskienhallinnan, häiriönhallinnan ja jatkuvuudenhallinnan prosessit toimivat yli organisaatiorajojen.

Toimitusketjujen kyberuhat

Kolmansien osapuolten riskienhallintaan täytyy kiinnittää huomiota, koska toimitusketjuihin liittyy merkittäviä kyberuhkia. Tietomurrot, joissa hyökkääjät pääsevät käsiksi luottamuksellisiin tietoihin tai saavat pääsyn toimittajan asiakkaan järjestelmiin, ovat mahdollisia. Toimitusketjujen haavoittuvuuksiin voi kuulua esimerkiksi haittaohjelmien ujuttaminen ohjelmistopäivityksiin. Lisäksi palvelunestohyökkäykset voivat keskeyttää tai hidastaa toimintaa merkittävästi. Koska kolmansien osapuolten toimintaan ei välttämättä ole yhtä hyvää näkyvyyttä kuin omaan toimintaan eikä toimintaa koskevia riskejä tunneta yhtä hyvin, voi riskien toteutuminen aiheuttaa suurta häiriöitä finanssialan toimijan tarjoamille palveluille.

DORA vaatii myös arvioimaan keskittymäriskiä eli, kuinka paljon kriittisten tai tärkeiden toimintojen tuotantoa on ulkoistettu samoille palveluntarjoajille. DORA vaatii keskittymäriskin analysointia mutta ei anna siihen tarkempia ohjeita. Käytännössä kyse on toisaalta toimittajariskin hajauttamisesta, mutta myös palveluntarjoajien määrän pitämisestä hallittavalla tasolla. Osa toiminnoista voi olla myös järkevää tuottaa itse.

Jatkuvuuden ja häiriöiden hallinta

DORA-asetuksen vaatima tietorekisteri tukee jatkuvuudenhallinnan suunnittelua ja parantaa näkyvyyttä, mutta sen lisäksi tarvitaan palvelujen tai järjestelmien ja niiden välisten riippuvuuksien dokumentointia esimerkiksi arkkitehtuuritasolla. Näiden perusteella toimijat näkevät konkreettisesti, miten ja kuinka paljon kolmannet osapuolet vaikuttavat niiden kriittisiin tai tärkeisiin toimintoihin. Ilman tätä tietoa mahdollisiin häiriöihin varautuminen jää todennäköisesti puutteelliseksi.

Finanssialan toimijoiden tulee huomioida, että omat prosessit ja käytännöt ovat yhteensovitettava kolmansien osapuolten kanssa, jotta toiminnan jatkuvuus voidaan taata. Tämä tarkoittaa käytännössä esimerkiksi häiriönkäsittely- ja palautusprosessien ja RTO/RPO-aikojen (Recovery Time Objective/Recovery Point Objective) yhtenäistämistä. On tärkeää, että finanssialan toimijan ja kolmannen osapuolen tavoitteet ja vaatimukset ovat linjassa keskenään, jotta mahdollisiin häiriöihin voidaan reagoida tehokkaasti ja nopeasti. Tämä vaatii myös jatkuvaa seurantaa ja yhteydenpitoa kolmansien osapuolten kanssa, jotta mahdolliset ongelmat voidaan tunnistaa ja ratkaista nopeasti.

Varaudu ajoissa

DORA-asetus korostaa kolmansien osapuolten hallinnan merkitystä tietoturvan ja IT-riskien hallinnassa, edellyttäen toimitusketjun näkyvyyden ja jatkuvuuden parantamista. Kolmansien osapuolten hallinta ei ole pelkkää sopimusten hallintaa, vaan laajempi kokonaisuus, joka varmistaa, että palveluntarjoajien ja finanssialan toimijoiden käytännöt ovat linjassa häiriönsietokyvyn varmistamiseksi. Organisaatioiden tulee valmistautua DORA-asetuksen vaatimuksiin sekä pohtia miten hyödyntää sen tarjoamat mahdollisuudet.

Antti Herrala

Partner, Cybersecurity & Privacy Services

+358 (0)20 7878354

antti.herrala@pwc.com

Mika Johansson

Cybersecurity & Privacy Services

+358 (0)20 7877543

mika.johansson@pwc.com