Euroopan unioni (EU) pääsi 11 alustavaan yhteisymmärrykseen uudesta Digital Operational Resilience Actista (DORA). Sanamuodosta huolimatta DORAssa ei ole mitään "väliaikaista". Itse asiassa yksi maailman kauaskantoimmista kyberturvallisuussäännöistä rahoituspalveluille ja niiden toimitusketjuille on enimmäkseen tehty.
Ennen lokakuussa odotettavissa olevaa virallista hyväksymistä on jäljellä vain kourallinen teknisiä muutoksia ja käännös EU:n jäsenvaltioiden 24 viralliselle kielelle.
DORA edustaa EU:n vastausta jatkuvasti lisääntyviin rahoituslaitoksiin kohdistuviin kyberhyökkäuksiin. Se on suunniteltu vahvistamaan EU:n rahoitusyritysten, kuten pankkien, vakuutusyhtiöiden, sijoituspalveluyritysten ja muiden turvallisuutta, asettamalla joustavuusvaatimuksia ja sääntelemällä toimitusketjua. Mutta kuten totesin eräässä aiempi viestiDORA:n periaatteet ulottuvat paljon EU:n ja sen rahoitusalan ulkopuolelle.
DORA:n yhtenäiset verkko- ja tietojärjestelmien turvavaatimukset kattavat finanssialan yritysten lisäksi myös kriittiset kolmannen osapuolen toimittajat, jotka tarjoavat finanssisektorille tieto- ja viestintäteknologiaan liittyviä palveluita, kuten pilvialustoja ja data-analytiikkaa.
DORA:n toiminta-alue ulottuu periaatteessa kaikkiin tieto- ja viestintäteknologiapalveluita tarjoaviin yrityksiin, joita pidetään kriittisinä Euroopan rahoitussektoria tukevan toimitusketjun kannalta – riippumatta siitä, sijaitseeko yritys tai palvelu EU:n sisällä vai ei. Itse asiassa DORA:ssa toimitusketjun monimutkaisuus tai EU:n läsnäolon puute katsotaan molemmat riskitekijöiksi.
Uusien sääntelynäkymien pakottaminen
DORA on ainutlaatuinen siinä mielessä, että se tuo uuden ja erilaisen sääntelyn valvonnan monenlaisiin globaaleihin yrityksiin. DORAn vaatimukset Mandaatti — ei pelkästään ehdottaa — sen määräysten noudattamista. Yhtä tärkeää on, että tämän uuden tason sääntelyn valvonnan vaikutus vaihtelee yrityksen näkökulmasta riippuen.
Finanssilaitosten, jotka ovat tottuneet ensisijaisesti taloudellisten riskien ja vakauden arvioimiseen suunniteltuun sääntely-ympäristöön, on nyt otettava ICT-toimintansa mahdolliset riskit yhtä vakavasti. Rahoituslaitokset ovat tottuneet käsittelemään riskiä pääomavaatimusten muodossa. DORA noudattaa erilaista lähestymistapaa määräämällä erityisiä käyttäytymis- ja suorituskykyvaatimuksia. Rahoituslaitosten näkökulmasta riskien nousu vaikuttaa moniin niiden liiketoiminnan osa-alueisiin, kuten siihen, miten ne kuluttavat teknologiaa ja kuinka ne muuttavat liiketoimintaansa siirtymällä uusiin teknologioihin, kuten pilvipalveluihin. Tämä sisältää yleiset riskinhallintastrategiat ja -valmiudet, toimitusketjun turvallisuuden sekä organisaation henkilöstön ja käytännöt, joilla varmistetaan asianmukainen ICT-riskien arviointi ja vaatimustenmukaisuus.
DORA muuttaa myös ICT-organisaatioiden sääntelynäkökulmaa. Tähän asti niitä on säännelty ensisijaisesti tietoihin liittyvissä kysymyksissä, kuten tietosuojaan ja tietoturvaloukkauksista ilmoittamiseen, jotka perustuvat henkilötietoihin ja poliittisiin tavoitteisiin, kuten digitaaliseen suvereniteettiin. Mieleen tulevat uraauurtavat säännöt, kuten yleinen tietosuoja-asetus (GDPR) Euroopassa ja uudempi California Consumer Privacy Act (CCPA) Yhdysvalloissa.
ICT-organisaatioilla voi olla myös muita turvallisuutta koskevia sääntelyvelvoitteita tai ne on luokiteltu kriittisiksi infrastruktuureiksi sen mukaan, missä ne sijaitsevat, esim. Verkko- ja tietoturvadirektiivi (NIS) Euroopassa, Kyberturvallisuuslaki 2018 Singaporessa tai alakohtainen lainsäädäntö erikoisaloilla, kuten televiestinnässä Yhdysvalloissa.
Nyt jos ICT-yritykset palvelevat rahoituslaitoksia EU:ssa, ne ovat todennäköisesti myös DORAn alaisia. Joten aiempien sääntelypuitteidensa lisäksi kriittistä palvelua tarjoaviksi nimetyt tieto- ja viestintätekniikan palveluntarjoajat joutuvat yhtäkkiä DORA:n alaisuuteen tavalla, joka tuntuu siltä, että heistä on tulossa laajennukset EU:n rahoituslaitoksista, joita he palvelevat. Riippumatta siitä, miten sitä tarkastellaan, muutos on dramaattinen – sekä rahoituslaitoksille että ICT-toimittajille.
Mutta siinä ei vielä kaikki. DORA muuttaa EU:n sääntelyjärjestelmän näkökulmaa. Rahoituslaitosten vaatimustenmukaisuuden asiantuntijoiden sääntelyviranomaisten on nyt laajennettava toiminta-alaansa kriittisiä palveluita tarjoaviin ICT-tarjoajiin, kuten pilvipalveluntarjoajiin, data-analytiikkapalveluihin ja muihin ei-finansseihin. Maissa, joissa sääntelyrakenteet ovat monimutkaiset, on myös tehtävä yhteistyötä muiden elinten kanssa, joiden tehtävänä on säännellä näitä muita kuin finanssitoimialoja.
Haasteiden kohtaaminen
DORA vaatii EU:n rahoituslaitoksia arvioimaan oman kyberturvallisuutensa ja riskienhallinnan kypsyytensä. Niiden toimitusketjun riskien ymmärtäminen ja hallinta on keskeistä tässä hankkeessa.
Yleensä rahoituslaitokset ovat taitavia stressitesteissä turvallisuuden ja rahoitusvakauden määrittämiseksi. Tällaisten testien laajentaminen muihin organisaatioihin on erilainen haaste. EU:n rahoitussektorille suurin ongelma on siis se, kuinka hallita myyjiä, riskienhallintaa ja toiminnallisia valmiuksia yhä monimutkaisemmassa ja laajemmassa toimitusketjussa.
Esimerkiksi rahoituslaitoksen pääkonttori voi olla Euroopassa, mutta sen kaikki tukitoiminnot on ulkoistettu Intiassa sijaitseville yrityksille. Nämä tukipalvelut eivät välttämättä ole teknisesti rahoituslaitoksia. DORA kuitenkin vaatii rahoituslaitosta arvioimaan, onko myyjä kriittinen sen toiminnan kannalta, ja soveltamaan asiaankuuluvia DORA-vaatimuksia kyseiseen suhteeseen.
EU:hun sijoittautumattomille yrityksille keskeinen kysymys on toimivalta ja markkinoille pääsy. Tämä ei vaikuta EU:n ulkopuolella toimiviin rahoituslaitoksiin tai ICT-tarjoajiin. Mutta jos yritys on EU:n rahoitussektoria jollain tavalla palveleva rahoituslaitos tai ICT-palveluntarjoaja, se on mitä todennäköisimmin DORAn alainen – suoraan tai välillisesti.
Lähtölaskenta vuoteen 2024
Ellei lopullisessa tekstissä muuta mitään, DORA astuu voimaan 24 kuukautta sen virallisen hyväksymisen jälkeen. Realistisesti katsottuna se on todennäköisesti lähellä vuoden 2024 loppua. Hyvä uutinen on, että tämä antaa organisaatioille runsaasti aikaa valmistautua vaatimustenmukaisuuteen. Mikä tärkeintä, se ei ole liian pitkä sisällytettäväksi tyypilliseen yrityksen budjettisykliin.
Mutta ennen kuin tämä määräaika hiipi sinulle, aloita valmistautuminen nyt. Tässä on viisi keskeistä vaihetta:
- Käytä viisaasti aika vuoteen 2024 asti.
- Ymmärrä missä olet. Etsi, löydä ja tunnista vaatimustenmukaisuusaukot.
- Päätä, mitä tarvitset puutteiden korjaamiseksi.
- Kouluta ja hanki sisäänostoa ylimmältä johdolta.
- Budjetti 24 kuukaudelle.
Kello tikittää.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
