Mikä on DORA ja miten se vaikuttaa tilitoimistoihin?
EU-asetus finanssialan digitaalisesta häiriönsietokyvystä (Digital Operational Resiliency Act eli DORA) tuli voimaan 17. tammikuuta 2023 ja sitä sovelletaan 17. tammmikuuta 2025 alkaen. Lue tästä, mikä DORA-asetus on pähkinänkuoressa ja miten siihen tulisi varautua.
DORA-asetus sisältää vaatimuksia, joilla pyritään parantamaan finanssialan kykyä sietää tietojärjestelmien vikoja ja häiriöitä. Asetuksessa annetut määräykset tieto- ja viestintätekniikan (TVT) riskienhallinnan järjestämisestä ovat osin yksityiskohtaisempia kuin aikaisemmin. Mukana on yksittäisiä uusia vaatimuksia. Pankkien nykyiset menettelyt ovat hyvin lähellä DORA-asetuksen vaatimuksia, mutta monilla pienemmillä rahoitusalan yrityksillä tarvitaan enemmän muutoksia sisäisiin ohjeisiin ja toimintatapoihin.
Asetuksessa käsitellään esimerkiksi IT-riskien hallintaa, IT-palveluihin liittyviä häiriötilanteita, digitaalisen häiriönsietokyvyn testausta, kolmansien osapuolten tarjoamiin IT-palveluihin liittyvien riskien hallintaa sekä tietojenvaihtoa. Tilitoimistojen ja niiden käyttämien ohjelmistotalojen kannalta erityisesti luku V “Kolmansiin osapuoliin liittyvän TVT-riskin hallinta” on mielenkiintoinen.
Yksityiskohtaisempaa tietoa DORA-asetuksesta löydät esimerkiksi näistä lähteistä:
Asetustekstin löydät Euroopan unionin EUR-Lex-palvelusta.
Mitä yrityksiä DORA koskee
Asetuksen kohteena olevat toimialat on määritelty sen 2 artiklassa. Näitä ovat esimerkiksi luotto- ja maksulaitokset, sijoituspalveluyritykset, rahastoyhtiöt, vakuutus- ja jälleenvakuutusyritykset, vakuutus- ja jälleenvakuutusedustajat sekä sivutoimiset vakuutusedustajat ja joukkorahoituspalvelun tarjoajat. Toimialat ovat siis finanssialan yrityksiä, jotka Suomessa ovat pääsääntöisesti Finanssivalvonnan valvonnan piirissä.
Artiklassa on toimialana mainittu myös “TVT-palveluntarjoajana olevat kolmannet osapuolet”. Tämän voi olettaa tarkoittavan niitä IT-yrityksiä, jotka tarjoavat palveluja asetuksen kohteena oleville Finanssialan yrityksille.
Miten tilitoimistojen kannattaa varautua
Tilitoimistojen on joka tapauksessa syytä panostaa tietoturvansa kehittämiseen ja henkilöstönsä kouluttamiseen varautumaan tietoturvauhkiin. Suurempia, käytännössä yli 50 työntekijän tilitoimistoja, jotka tarjoavat asiakkailleen ohjelmistoja pilvipalveluna velvoittaa suurella todennäköisyydellä EU:n NIS-2 direktiivi. Siitä voit lukea tarkemmin tästä Tilisanomien kirjoituksesta.
NIS2-direktiivi velvoittaa sen kohteena olevia yrityksiä suunnitelmalliseen ja dokumentoituun tietoturvan kehittämiseen. NIS2-direktiivin mukaan toimiminen luo hyvän pohjan myös finanssialan asiakkailta tulevien vaatimusten kohtaamiseen.
Jos tilitoimistolla ei ole asiakaskunnassaan DORA-asetuksen säätelemien toimialojen yrityksiä, ei asetuksen pitäisi vaikuttaa tilitoimistoon. Jos asiakaskunnassa on finanssialan yrityksiä, kannattaa varautua kyselyihin ja vaatimuksiin. Sopimus- ja toimintamallista riippuen kysymyksiä voi tulla suoraan ohjelmistotalolle tai tilitoimistolle.
DORA-asetuksen artiklassa 28 määrätään esimerkiksi seuraavasti:
Ennen kuin finanssiyhteisöt tekevät TVT-palvelujen käyttöä koskevan sopimusjärjestelyn, niiden on arvioitava, kattaako sopimusjärjestely jotakin kriittistä tai tärkeää toimintoa tukevien TVT-palvelujen käytön.
Tyypillisesti tilitoimistot eivät tarjoa finanssialan asiakkailleen suoraan näiden tuotantoon liittyviä IT-palveluja vaan esimerkiksi kirjanpitoon, sisäiseen laskentaan ja palkanlaskentaan liittyviä IT- ja asiantuntijapalveluja.
Toisaalta jäljempänä samassa artiklassa määrätään seuraavasti:
Finanssiyhteisöt voivat tehdä sopimusjärjestelyjä vain sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa, jotka noudattavat asianmukaisia tietoturvastandardeja.
Tässäkin tarkempi viranomaisohjeistus artiklan soveltamisesta olisi varmasti tarpeen. Tilitoimistoille ja ohjelmistotaloille on kuitenkin jo alkanut tulla nykyisiltä tai potentiaalisilta finanssialan asiakkailta asetuksen soveltamiseen liittyviä kyselyitä. Jos tunnistat tilitoimistosi asiakaskunnassa finanssialan yrityksiä, kannattaa avata keskustelu omien ohjelmistokumppanien kanssa.
Oletteko sinä ja kollegasi jo suorittaneet maksuttomat tietoturvakoulutukset?
Taloushallintoliitto ja Huoltovarmuuskeskus ovat tuottaneet taloushallintoalalle tietoturvakoulutuksia työntekijöille, johdolle ja IT-asiantuntijoille. Koulutukset ovat maksuttomia ja ne löytyvät liiton verkko-oppimisympäristöstä.