DORA selitettynä: vaikutus ohjelmistohankintoihin rahoitusalalla
DORA astuu voimaan 17. tammikuuta 2025 ja muuttaa perusteellisesti sen, miten rahoitusorganisaatiot hankkivat ja sopivat ohjelmistoista. Tässä on kaikki, mitä sinun tulee tietää viidestä pilarista, sopimusvaatimuksista ja vaikutuksista toimittajahallintaan.
- 1. helmikuuta 2025
- 5 min
- DORA – Digitaal toimintavarmuusasetus
DORA, eli Digital Operational Resilience Act, tulee voimaan 17. tammikuuta 2025 kaikissa EU:n jäsenmaissa. Rahoitusorganisaatioille ja niiden IT-toimittajille tapahtuu olennainen muutos: digitaalinen resilienssi ei ole enää pelkästään sisäinen IT-kysymys, vaan säädelty liiketoimintavelvoite, johon liittyy valvontaa ja sakkoja.
Mitä DORA on?
DORA on EU-asetus, ei pelkkä direktiivi, eli se on suoraan sovellettavaa lainsäädäntöä, joka säätelee rahoitusalojen digitaalista operatiivista resilienssiä. Asetus kuuluu Digital Finance -pakettiin ja koskee 20 rahoitusalan toimijaryhmää, kuten pankkeja, vakuutusyhtiöitä, fintech-yrityksiä ja kryptopalveluntarjoajia.
DORAn viisi pilaria
DORA jäsentää vaatimuksensa viiden keskeisen osa-alueen ympärille:
ICT-riskienhallinta: Laaja kehys ICT-riskien tunnistamiseen, luokitteluun ja hallintaan
Häiriöraportointi: Suuret ICT-häiriöt on raportoitava valvojille tiukkojen aikarajojen puitteissa
Digitaalisen resilienssin testaus: Säännölliset tunkeutumistestit ja resilienssiskenaariot kriittisille järjestelmille
Kolmannen osapuolen riskien hallinta: Sopimusvelvoitteet, toimittajarekisterit ja keskittymisriskianalyysit
Tiedonvaihto: Uhkatiedon proaktiivinen jakaminen alalla
Mitä DORA tarkoittaa ohjelmistohankinnoille?
Neljäs pilari, kolmannen osapuolen riskien hallinta, vaikuttaa suoraan siihen, miten rahoitusorganisaatiot hankkivat ja sopivat ohjelmistoista:
Sopimuksen minimivaatimukset: Jokaisessa ICT-sopimuksessa tulee olla klausuuleja liittyen palvelutasoon (SLA), häiriöilmoituksiin, auditointioikeuksiin, exit-suunnitelmaan, tietojen sijaintiin ja jatkuvuuteen
ICT-toimittajarekisteri: Ajantasainen ja täydellinen rekisteri kaikista ICT-toimittajista on pakollinen ja sen tulee olla valvojien saatavilla
Keskittymisriski: Liian suuri riippuvuus yhdestä toimittajasta (esimerkiksi yhdestä pilvipalveluntarjoajasta) tulee arvioida ja raportoida
Alihankkijat: Myös toimittajien alihankkijat kuuluvat DORA-säännösten piiriin
SoftVaro auttaa rahoitusorganisaatioita kartoittamaan ohjelmistoekosysteeminsä ja tekemään sopimukset DORA-yhteensopiviksi.
Usein kysytyt kysymykset
Useimmin tähän aiheeseen liittyvät kysymykset.
Keihin DORA koskee?
DORA koskee pankkeja, vakuutusyhtiöitä, sijoitusyhtiöitä, maksulaitoksia, kryptopalveluntarjoajia, eläkerahastoja sekä kaikkia ICT-toimittajia, jotka tarjoavat kriittisiä palveluita näille instituutioille.
Koskeeko DORA myös ohjelmistotoimittajaani?
Kyllä. Jos toimitat ohjelmistoja tai ICT-palveluita rahoituslaitokselle, johon DORA soveltuu, olet ICT-toimittajana velvollinen noudattamaan DORA-sopimusvaatimuksia, joita rahoituslaitos asettaa sinulle. Kriittiset ICT-toimittajat voivat myös kuulua suoraan EU:n valvonnan piiriin.
Millaisia sakkoja DORAn noudattamatta jättäminen aiheuttaa?
Sakot voivat nousta jopa 2 %:iin maailmanlaajuisesta vuosiliikevaihdosta. Kriittisille ICT-toimittajille, jotka ovat suoraan EU-valvonnan alaisia, on säädetty lisärangaistuksia.
Valmiina säästämään ohjelmistoissa?
SoftVaro neuvottelee puolestasi parhaat tarjoukset yli 4 000 toimittajalta. Riippumattomasti, läpinäkyvästi, 24 tunnin sisällä.