Rahoitusalan digitaalista operatiivista resilienssiä koskeva EU-asetus (DORA) edellyttää rahoitusalan toimijoilta - ja heijastusvaikutuksena niiden TVT-palveluntarjoajilta - kattavaa sopimusrekisteriä, täsmällisiä sopimuslausekkeita ja päivättyjä auditointitodisteita. SYAGA DORA-Express auttaa teitä vastaamaan näihin vaatimuksiin ilman improvisointia, olitte sitten rahoitusalan toimija tai palveluntarjoaja.
DORA on asetus, ei direktiivi: sitä sovelletaan suoraan kaikissa jäsenvaltioissa, ilman odotettavaa kansallista täytäntöönpanolakia.
Asetus (EU) 2022/2554, annettu 14. joulukuuta 2022, julkaistu EU:n virallisessa lehdessä 27. joulukuuta 2022, tuli voimaan 16. tammikuuta 2023 ja sitä on sovellettu 17. tammikuuta 2025 alkaen. Ei vaadi kansallista täytäntöönpanoa: se on suoraan sitova.
Jokaisen rahoitusalan toimijan on pidettävä ajan tasalla ja toimitettava viranomaisille vuosittain täydellinen rekisteri TVT-sopimuksistaan: palveluntarjoaja, palvelun luonne, toiminnon kriittisyys, tietojen isännöintimaa.
Auditointi- ja tarkastusoikeudet, tietojen saatavuuden ja eheyden takuut, testatut irtautumissuunnitelmat, poikkeamailmoitus viipymättä. Nämä lausekkeet siirtyvät rahoitusalan asiakkaaltanne teille, jos olette sen TVT-palveluntarjoaja.
Ennen sopimuksen allekirjoittamista tai uusimista pankki, vakuutusyhtiö tai sijoittaja lähettää kyberkyselyn (hallinta, MFA, EDR, salaus, tietoisuuskoulutus). Siihen vastaamatta jättäminen ilman dokumentoitua todistetta menettää sopimuksen.
18.-19. marraskuuta 2025 eurooppalaiset valvontaviranomaiset (EBA, ESMA, EIOPA) julkaisivat ensimmäisen virallisen listan kriittisistä TVT-palveluntarjoajista DORAn artiklan 32 nojalla. Virallisissa tiedotteissa vahvistettujen nimien joukossa: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ja 14 muuta palveluntarjoajaa, joita ei ole nimenomaisesti vahvistettu lähteissämme).
Konkreettinen seuraus: jos kriittiset palvelunne perustuvat johonkin näistä palveluntarjoajista, rahoitusalan asiakasyrityksenne on nyt dokumentoitava se TVT-rekisterissään - ja voi kysyä teiltä omasta alihankintaketjustanne.
Lähde: EIOPAn ja ESMAn viralliset tiedotteet 18.-19. marraskuuta 2025 (eiopa.europa.eu, esma.europa.eu).
Jäsennelty 5-vaiheinen tuki vaatimustenmukaisuutenne dokumentoimiseksi - lupaamatta mitään sellaista, mitä ei mikään työkalu tai toimisto voi sertifioida puolestanne.
Oletteko suoraan velvoitettu rahoitusalan toimija (yksi artiklan 2 21 luokasta), vai epäsuorasti kohdennettu TVT-palveluntarjoaja rahoitusalan asiakkaidenne sopimuslausekkeiden kautta (artikla 30)? Tarkka laajuus määrittää kaiken muun.
Vastaamme pankin, sijoittajan tai vakuutusyhtiön due diligence -kyselyynne (hallinta, MFA, EDR, salaus, tietoisuuskoulutus...) tukeutuen Microsoft 365 -vuokraajanne tekniseen auditointiin päivättynä ja tarkistettavana todisteena.
Autamme teitä jäsentämään TVT-sopimusrekisterinne (art. 28 §3) ja tarkistamaan tai lisäämään artiklan 30 vähimmäis- ja tehostettuja sopimuslausekkeita palveluntarjoajasopimuksiinne.
Toipumis-/jatkuvuussuunnitelmapakettimme tarjoaa rahoitusalan sektoriprofiilin (DORA, PSD2, ACPR), joka kattaa DORAn IV luvun operatiivisen resilienssin testausvaatimukset, linjassa ISO 22301:n kanssa.
Konsolidoidun dossierin luovutus johdollenne, tietoturvajohtajallenne tai talousjohtajallenne, sisältäen täsmälliset kohdat, jotka juristinne on ratkaistava ennen mitään viranomaisviestintää.
Konkreettisia, lähteillä varustettuja toimituksia, ilman sertifiointilupausta, jota kukaan ei voi taata
10 tyypillistä pankin/yrityskaupan due diligence -kysymystä, dokumentoituna ja lähteillä varustettuna (ILPA DDQ, CSA CAIQ, kyberriskivakuutuskyselyt).
Lähteillä varustettu yhteenveto asetuksesta (EU) 2022/2554.
Viranomaisten vaatiman kattavan rekisterin rakenne.
Lisättäväksi tai tarkistettavaksi TVT-palveluntarjoajasopimuksiinne.
Toiminnan jatkuvuus- ja toipumissuunnitelma, oma sektoriprofiili.
PDF- ja DOCX-muodot, jotka konsolidoivat kaikki toimitukset.
Ote 10 kysymyksestä, jotka dokumentoimme puolestanne, jokaisen kysymyksen lähteen kera
| Teema | Kysymys | Lähde |
|---|---|---|
| Hallinta | Perustuuko tietoturvapolitiikkanne tunnustettuun viitekehykseen (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Kolmannen osapuolen auditointi | Teettekö vuosittaisen riippumattoman auditoinnin ja tunkeutumistestejä? | CSA CAIQ v4 |
| Poikkeamasuunnitelma | Onko olemassa muodollinen, dokumentoitu ja ylläpidetty poikkeamien hallintasuunnitelma? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Mille palveluille vaaditte monivaiheista tunnistautumista? | Travelers - MFA Supplement |
| Etuoikeutetut tilit | Noudattavatko käyttöoikeudet vähimmän oikeuden periaatetta, tarkistettuna säännöllisesti? | CSA CAIQ v4 IAM |
| Sähköposti | Mitä M365-lisenssiä käytätte? Onko Defender / kehittynyt uhkien metsästys käytössä? | vCSO.ai Cyber DD Checklist |
| Salaus | Ovatko päätelaitteiden levyt täysin salattuja? | Google VSAQ |
| Koulutus | Onko kaikille työntekijöille laadittu tietoturvatietoisuusohjelma? | CSA CAIQ v4 HRS |
Jokainen toimitus ilmoittaa selkeästi, mitä se kattaa - ja mitä se ei kata
TVT-rekisteri (art. 28), sopimuslausekkeet (art. 30), ilmoitusajat (art. 19), viittaus nimettyihin kriittisiin TVT-palveluntarjoajiin (art. 32).
DORA on lex specialis suhteessa NIS2:een rahoitusalalla: kohdealan toimijat soveltavat DORAa vastaavien NIS2-toimenpiteiden sijaan.
Rahoitusalan toipumis-/jatkuvuusprofiili on linjassa ISO 22301:n kanssa, toiminnan jatkuvuuden hallinnan viitekehyksen kanssa, jota käytetään DORAn ohella.
DORAn poikkeamailmoitus (ACPR/AMF) on erillinen GDPR-ilmoituksesta (CNIL) henkilötietojen tietoturvaloukkauksen yhteydessä: molempia voidaan vaatia samanaikaisesti.
Jokainen DORA-dossieri on erilainen asemanne mukaan - joka tapauksessa räätälöity tarjous
Tarjoatte palveluja yhdelle tai useammalle rahoitusalan toimijalle
Olette suoraan DORAn alainen (yksi 21 luokasta, art. 2)
Dossierin säännöllinen päivitys (velvoitteet, sopimukset, rekisteri)
Ota meihin yhteyttä saadaksesi räätälöidyn tarjouksen asemanne mukaan (rahoitusalan toimija tai TVT-palveluntarjoaja).
DORA selitettynä yksinkertaisesti, ilman oikeudellista ammattislangia. Jokainen alla oleva kohta viittaa sen vahvistavaan viralliseen tekstiin.
DORAa sovelletaan eurooppalaisiin rahoitusalan toimijoihin: pankkeihin, vakuutusyhtiöihin, sijoituspalveluyrityksiin, markkinapaikkoihin, rahastonhoitajiin, maksupalveluntarjoajiin... sekä niiden tietotekniikkapalveluntarjoajiin. Hyvin pienet toimijat hyötyvät kevennetyistä säännöistä.
Asetus kattaa 6 pääaihetta: tietotekniikkariskin hallinta, ulkoisten palveluntarjoajien valvonta, säännölliset resilienssitestit, vakavien poikkeamien ilmoittaminen, uhkatietojen jakaminen sekä suurimpien tietotekniikkapalveluntarjoajien valvonta.
Teksti hyväksytty 14. joulukuuta 2022, julkaistu EU:n virallisessa lehdessä 27. joulukuuta 2022 (JO L 333). Voimaantulo 16. tammikuuta 2023. Velvoitteet ovat todella voimassa 17. tammikuuta 2025 alkaen.
Suurimmat rahoitusalalle "kriittisiksi" katsotut tietotekniikkapalveluntarjoajat (pilvi, hosting...) ovat nyt suoran eurooppalaisen valvonnan alaisia, johtavan valvojan kanssa, joka voi asettaa niille toimenpiteitä.
Ennen DORAa jokaisella EU-maalla oli omat sääntönsä vakavan tietotekniikkapoikkeaman ilmoittamiseen. Nyt sovelletaan yhtenäistä eurooppalaista menettelyä: vakavat poikkeamat ilmoitetaan suoraan toimivaltaisille viranomaisille.
Teksti edellyttää, että viranomaiset julkaisevat määräämänsä hallinnolliset seuraamukset. Sakkojen tarkkoja määriä ei ole vielä vakiinnutettu tarkastelemissamme lähteissä - vahvistettava virallisten tarkennusten myötä.