DORA selitettynä: vaikutus ohjelmistohankintoihin finanssialalla
DORA astuu voimaan 17. tammikuuta 2025 ja muuttaa perustavanlaatuisesti tapaa, jolla rahoitusorganisaatiot hankkivat ja sopivat ohjelmistoistaan. Tässä on kaikki mitä sinun tulee tietää viidestä pilarista, sopimusvaatimuksista ja vaikutuksista toimittajahallintaan.
- 1. helmikuuta 2025
- 5 min
- DORA – Digitaal operatiivisen resilienssin säädös
DORA, eli Digital Operational Resilience Act, tulee voimaan kaikissa EU:n jäsenvaltioissa 17. tammikuuta 2025. Rahoitusorganisaatioille ja niiden ICT-toimittajille tapahtuu perustavanlaatuinen muutos: digitaalinen resilienssi ei ole enää pelkkä sisäinen IT-kysymys, vaan säädelty liiketoiminnan velvoite, johon liittyy valvonta ja sakot.
Mikä on DORA?
DORA on EU-asetus, ei ohjeistus, vaan suoraan sovellettava laki, joka säätelee rahoitusalan digitaalista operatiivista resilienssiä. Asetus kuuluu Digital Finance Packageen ja koskee 20 eri rahoitusalan toimijakategoriaa, pankeista ja vakuutusyhtiöistä fintech-yrityksiin ja kryptopalveluntarjoajiin.
DORAn viisi pilaria
DORA jäsentää vaatimuksensa viiteen keskeiseen alueeseen:
ICT-riskienhallinta: Laaja kehys ICT-riskien tunnistamiseen, luokitteluun ja hallintaan
Häiriöraportointi: Suuret ICT-häiriöt on raportoitava valvontaviranomaisille tiukkojen aikarajojen puitteissa
Digitaalisen resilienssin testaus: Säännölliset läpäisytestit ja resilienssiskenaariot kriittisille järjestelmille
Kolmannen osapuolen riskien hallinta: Sopimusvelvoitteet, toimittajarekisterit ja keskittymisriskianalyysi
Tiedonvaihto: Uhkatiedon aktiivinen jakaminen alan sisällä
Mitä DORA tarkoittaa ohjelmistohankinnoille?
Neljäs pilari, kolmannen osapuolen riskien hallinta, vaikuttaa suoraan siihen, miten rahoitusorganisaatiot hankkivat ja solmivat ohjelmistosopimuksia:
Sopimusten vähimmäisvaatimukset: Jokaisessa ICT-sopimuksessa on oltava ehtoja SLA:sta, häiriöilmoituksista, auditointioikeuksista, poistumissuunnitelmasta, tietojen sijainnista ja jatkuvuudesta
ICT-toimittajarekisteri: Ajantasainen ja kattava ICT-toimittajarekisteri on pakollinen ja sen tulee olla valvontaviranomaisten nähtävillä
Keskittymisriski: Liiallinen riippuvuus yhdestä toimittajasta (esim. yhdestä pilvipalveluntarjoajasta) tulee arvioida ja raportoida
Alicatoijat: Myös toimittajien alihankkijat kuuluvat DORA:n piiriin
SoftVaro auttaa rahoitusorganisaatioita kartoittamaan ohjelmistoympäristönsä ja tekemään sopimuksista DORA-yhteensopivia.
Usein kysytyt kysymykset
Tämän aiheen yleisimmät kysymykset.
Kenelle DORA koskee?
DORA koskee pankkeja, vakuutusyhtiöitä, sijoitusrahastoja, maksulaitoksia, kryptopalveluntarjoajia, eläkerahastoja sekä kaikkia ICT-toimittajia, jotka tarjoavat kriittisiä palveluja näille tahoille.
Koskeeko DORA myös minun ohjelmistotoimittajaani?
Kyllä. Jos toimitat ohjelmistoja tai ICT-palveluita rahoituslaitokselle, joka kuuluu DORAn soveltamisalaan, sinun tulee ICT-toimittajana noudattaa rahoituslaitoksen sinulle asettamia DORA-sopimusvaatimuksia. Kriittiset ICT-toimittajat voivat myös olla suoran EU-valvonnan alaisia.
Millaisia sakkoja DORAn noudattamatta jättämisestä voi seurata?
Sakot voivat olla jopa 2 % koko maailmanlaajuisesta vuosiliikevaihdosta. Lisäksi kriittisiin ICT-toimittajiin, jotka ovat suoraan EU-valvonnan alaisia, voidaan kohdistaa lisäsanktioita.
Valmis säästämään ohjelmistoissa?
SoftVaro neuvottelee puolestasi parhaat tarjoukset yli 4000 toimittajalta. Riippumaton, läpinäkyvä, 24 tunnin sisällä.