ASETUS (EU) 2022/2554 - SOVELLETTU 17. TAMMIKUUTA 2025 ALKAEN

DORA-vaatimustenmukaisuutenne,
dokumentoituna ja puolustettavana

Rahoitusalan digitaalista operatiivista resilienssiä koskeva EU-asetus (DORA) edellyttää rahoitusalan toimijoilta - ja heijastusvaikutuksena niiden TVT-palveluntarjoajilta - kattavaa sopimusrekisteriä, täsmällisiä sopimuslausekkeita ja päivättyjä auditointitodisteita. SYAGA DORA-Express auttaa teitä vastaamaan näihin vaatimuksiin ilman improvisointia, olitte sitten rahoitusalan toimija tai palveluntarjoaja.

17.1.
Sovellettu 2025 alkaen
21
Kohdetoimijaluokkaa (art. 2)
4h
Vakavan poikkeaman ilmoitusaika
19
Jo nimettyä kriittistä TVT-palveluntarjoajaa

Sääntely-ympäristö

DORA on asetus, ei direktiivi: sitä sovelletaan suoraan kaikissa jäsenvaltioissa, ilman odotettavaa kansallista täytäntöönpanolakia.

DORAa sovelletaan suoraan 17. tammikuuta 2025 alkaen

Asetus (EU) 2022/2554, annettu 14. joulukuuta 2022, julkaistu EU:n virallisessa lehdessä 27. joulukuuta 2022, tuli voimaan 16. tammikuuta 2023 ja sitä on sovellettu 17. tammikuuta 2025 alkaen. Ei vaadi kansallista täytäntöönpanoa: se on suoraan sitova.

📋

Kattava TVT-rekisteri on vaadittu (art. 28 §3)

Jokaisen rahoitusalan toimijan on pidettävä ajan tasalla ja toimitettava viranomaisille vuosittain täydellinen rekisteri TVT-sopimuksistaan: palveluntarjoaja, palvelun luonne, toiminnon kriittisyys, tietojen isännöintimaa.

📄

Sopimustenne tulee sisältää täsmällisiä lausekkeita (art. 30)

Auditointi- ja tarkastusoikeudet, tietojen saatavuuden ja eheyden takuut, testatut irtautumissuunnitelmat, poikkeamailmoitus viipymättä. Nämä lausekkeet siirtyvät rahoitusalan asiakkaaltanne teille, jos olette sen TVT-palveluntarjoaja.

📧

Due diligence -kyselylomake on jo sähköpostilaatikossanne

Ennen sopimuksen allekirjoittamista tai uusimista pankki, vakuutusyhtiö tai sijoittaja lähettää kyberkyselyn (hallinta, MFA, EDR, salaus, tietoisuuskoulutus). Siihen vastaamatta jättäminen ilman dokumentoitua todistetta menettää sopimuksen.

18. marraskuuta 2025 laukaisin

Pilvipalveluntarjoajanne on juuri nimetty virallisesti "kriittisiksi"

18.-19. marraskuuta 2025 eurooppalaiset valvontaviranomaiset (EBA, ESMA, EIOPA) julkaisivat ensimmäisen virallisen listan kriittisistä TVT-palveluntarjoajista DORAn artiklan 32 nojalla. Virallisissa tiedotteissa vahvistettujen nimien joukossa: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (ja 14 muuta palveluntarjoajaa, joita ei ole nimenomaisesti vahvistettu lähteissämme).

Konkreettinen seuraus: jos kriittiset palvelunne perustuvat johonkin näistä palveluntarjoajista, rahoitusalan asiakasyrityksenne on nyt dokumentoitava se TVT-rekisterissään - ja voi kysyä teiltä omasta alihankintaketjustanne.

Lähde: EIOPAn ja ESMAn viralliset tiedotteet 18.-19. marraskuuta 2025 (eiopa.europa.eu, esma.europa.eu).

Ratkaisumme: DORA-Express

Jäsennelty 5-vaiheinen tuki vaatimustenmukaisuutenne dokumentoimiseksi - lupaamatta mitään sellaista, mitä ei mikään työkalu tai toimisto voi sertifioida puolestanne.

1
Vaihe 1 - Määrittely

Tunnistetaan todellinen altistumisenne

Oletteko suoraan velvoitettu rahoitusalan toimija (yksi artiklan 2 21 luokasta), vai epäsuorasti kohdennettu TVT-palveluntarjoaja rahoitusalan asiakkaidenne sopimuslausekkeiden kautta (artikla 30)? Tarkka laajuus määrittää kaiken muun.

2
Vaihe 2 - Due diligence

Vastaus kyberkyselyynne

Vastaamme pankin, sijoittajan tai vakuutusyhtiön due diligence -kyselyynne (hallinta, MFA, EDR, salaus, tietoisuuskoulutus...) tukeutuen Microsoft 365 -vuokraajanne tekniseen auditointiin päivättynä ja tarkistettavana todisteena.

3
Vaihe 3 - Rekisteri ja sopimukset

TVT-rekisteri ja artiklan 30 lausekkeet

Autamme teitä jäsentämään TVT-sopimusrekisterinne (art. 28 §3) ja tarkistamaan tai lisäämään artiklan 30 vähimmäis- ja tehostettuja sopimuslausekkeita palveluntarjoajasopimuksiinne.

4
Vaihe 4 - Jatkuvuus ja resilienssi

Toipumis-/jatkuvuussuunnitelma, rahoitusalan profiili

Toipumis-/jatkuvuussuunnitelmapakettimme tarjoaa rahoitusalan sektoriprofiilin (DORA, PSD2, ACPR), joka kattaa DORAn IV luvun operatiivisen resilienssin testausvaatimukset, linjassa ISO 22301:n kanssa.

5
Vaihe 5 - Toimitus

Dokumentoitu vaatimustenmukaisuusdossieri

Konsolidoidun dossierin luovutus johdollenne, tietoturvajohtajallenne tai talousjohtajallenne, sisältäen täsmälliset kohdat, jotka juristinne on ratkaistava ennen mitään viranomaisviestintää.

Mitä saatte

Konkreettisia, lähteillä varustettuja toimituksia, ilman sertifiointilupausta, jota kukaan ei voi taata

📝

Due diligence -kybervastaukset

10 tyypillistä pankin/yrityskaupan due diligence -kysymystä, dokumentoituna ja lähteillä varustettuna (ILPA DDQ, CSA CAIQ, kyberriskivakuutuskyselyt).

  • Tietoturvapolitiikka / tunnustettu viitekehys
  • MFA, vähimmän oikeuden periaate, etuoikeutetut tilit
  • M365-lisenssi, EDR / uhkien metsästys
  • Vanhentuneet protokollat, levyjen salaus
  • Tietoisuuskoulutusohjelma
📄

DORA-referenssiseloste

Lähteillä varustettu yhteenveto asetuksesta (EU) 2022/2554.

  • Laajuus: 21 toimijaluokkaa (art. 2)
  • 5 velvoitealuetta
  • Ilmoitusajat (4h / 72h / 1 kk)
  • Yhteys NIS2:een (lex specialis)
📋

TVT-rekisteri (art. 28 §3 -pohja)

Viranomaisten vaatiman kattavan rekisterin rakenne.

  • Palveluntarjoaja ja palvelun luonne
  • Tuetun toiminnon kriittisyys
  • Tietojen isännöintimaa
  • Vuosittaiseen toimitukseen valmis muoto
🔐

Sopimuslausekkeet (art. 30 -pohja)

Lisättäväksi tai tarkistettavaksi TVT-palveluntarjoajasopimuksiinne.

  • Vähimmäislausekkeet (kaikki sopimukset)
  • Tehostetut lausekkeet (kriittiset toiminnot)
  • Auditointi- ja tarkastusoikeudet
  • Irtautumissuunnitelmat ja tietojen siirrettävyys
🏗

Toipumis-/jatkuvuussuunnitelma, rahoitusprofiili

Toiminnan jatkuvuus- ja toipumissuunnitelma, oma sektoriprofiili.

  • DORAn IV luvun kattavuus (resilienssitestit)
  • Linjassa ISO 22301:n kanssa
  • DORA/PSD2/ACPR-sektoriprofiili
  • Peräisin olemassa olevasta toipumis-/jatkuvuuspaketistamme
💾

Dokumentoitu vaatimustenmukaisuusdossieri

PDF- ja DOCX-muodot, jotka konsolidoivat kaikki toimitukset.

  • Valmis johdollenne / tietoturvajohtajallenne / talousjohtajallenne
  • Juristinne vahvistettavaksi merkityt kohdat
  • Perusta ACPR-/AMF-vuorovaikutuksellenne
  • Muokattavissa vuosipäivitystä varten

Esimerkki: pankin due diligence -kyselylomake

Ote 10 kysymyksestä, jotka dokumentoimme puolestanne, jokaisen kysymyksen lähteen kera

Teema Kysymys Lähde
Hallinta Perustuuko tietoturvapolitiikkanne tunnustettuun viitekehykseen (NIST, ISO 27001)? ILPA DDQ 2.0
Kolmannen osapuolen auditointi Teettekö vuosittaisen riippumattoman auditoinnin ja tunkeutumistestejä? CSA CAIQ v4
Poikkeamasuunnitelma Onko olemassa muodollinen, dokumentoitu ja ylläpidetty poikkeamien hallintasuunnitelma? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Mille palveluille vaaditte monivaiheista tunnistautumista? Travelers - MFA Supplement
Etuoikeutetut tilit Noudattavatko käyttöoikeudet vähimmän oikeuden periaatetta, tarkistettuna säännöllisesti? CSA CAIQ v4 IAM
Sähköposti Mitä M365-lisenssiä käytätte? Onko Defender / kehittynyt uhkien metsästys käytössä? vCSO.ai Cyber DD Checklist
Salaus Ovatko päätelaitteiden levyt täysin salattuja? Google VSAQ
Koulutus Onko kaikille työntekijöille laadittu tietoturvatietoisuusohjelma? CSA CAIQ v4 HRS

Katetut säädökset ja viitekehykset

Jokainen toimitus ilmoittaa selkeästi, mitä se kattaa - ja mitä se ei kata

DO

DORA (Asetus EU 2022/2554)

TVT-rekisteri (art. 28), sopimuslausekkeet (art. 30), ilmoitusajat (art. 19), viittaus nimettyihin kriittisiin TVT-palveluntarjoajiin (art. 32).

N2

NIS2 - yhteys DORAan

DORA on lex specialis suhteessa NIS2:een rahoitusalalla: kohdealan toimijat soveltavat DORAa vastaavien NIS2-toimenpiteiden sijaan.

ISO

ISO 22301 - toiminnan jatkuvuus

Rahoitusalan toipumis-/jatkuvuusprofiili on linjassa ISO 22301:n kanssa, toiminnan jatkuvuuden hallinnan viitekehyksen kanssa, jota käytetään DORAn ohella.

RG

GDPR - erillinen ilmoitus

DORAn poikkeamailmoitus (ACPR/AMF) on erillinen GDPR-ilmoituksesta (CNIL) henkilötietojen tietoturvaloukkauksen yhteydessä: molempia voidaan vaatia samanaikaisesti.

Tilanteeseenne räätälöity tuki

Jokainen DORA-dossieri on erilainen asemanne mukaan - joka tapauksessa räätälöity tarjous

TVT-palveluntarjoaja

Tarjoatte palveluja yhdelle tai useammalle rahoitusalan toimijalle

Tarjous
laajuuden mukaan
  • Due diligence -kybervastaus
  • TVT-rekisteri palveluntarjoajan puolelta
  • Artiklan 30 lausekkeiden tarkistus
  • Dokumentoitu, toimitusvalmis dossieri
Pyydä tarjous

Vuosittainen seuranta

Dossierin säännöllinen päivitys (velvoitteet, sopimukset, rekisteri)

Tarjous
toistuva
  • TVT-rekisterin päivitys
  • Sopimuslausekkeiden vuosittainen tarkistus
  • Nimettyjen kriittisten palveluntarjoajien seuranta
  • Tuki asiakkaidenne due diligence -prosesseihin
Pyydä tarjous

Usein kysytyt kysymykset

Onko yritykseni DORAn tarkoittama rahoitusalan toimija?
DORAn artikla 2 listaa 21 rahoitusalan toimijaluokkaa: luotto- ja maksulaitokset, sijoituspalveluyritykset, MiCA-luvan saaneet kryptovarapalveluntarjoajat, vakuutus- ja jälleenvakuutustoiminta, rahastonhoito, luottoluokituslaitokset ja muut. Mikroyritykset (alle 10 työntekijää, liikevaihto tai tase alle 2 milj. euroa) hyötyvät suhteellisuusperiaatteesta tietyissä velvoitteissa, mutta niitä ei ole kokonaan suljettu pois. Tarkistettava tapauskohtaisesti oikeudellisen neuvonannon kanssa.
En ole pankki, miksi DORA silti koskee minua?
Jos tarjoatte TVT-palveluja (tietotekniikka, pilvi, ohjelmisto, hosting) rahoitusalan toimijalle, artikla 30 velvoittaa asiakkaanne kirjaamaan teidät rekisteriinsä ja asettamaan teille sopimuksellisesti täsmällisiä lausekkeita: auditointioikeudet, poikkeamailmoitus viipymättä, irtautumissuunnitelmat. Nämä velvoitteet kulkevat asiakkaanne sopimuksen kautta, eivät viranomaisen suoran valvonnan kautta - paitsi jos teidät itsenne on nimetty kriittiseksi TVT-palveluntarjoajaksi (artikla 31).
Mitkä ovat vakavan TVT-poikkeaman ilmoitusajat?
Artikla 19: alustava ilmoitus 4 tunnin kuluessa vakavaksi poikkeamaksi luokittelusta (enintään 24 tuntia havaitsemisesta), välitilanneraportti 72 tunnin kuluessa, loppuraportti 1 kuukauden kuluessa. Nämä ilmoitukset ovat erillisiä mahdollisesta GDPR- ilmoituksesta CNILille henkilötietojen tietoturvaloukkauksen yhteydessä.
Mikä on "kriittinen TVT-palveluntarjoaja"?
Nämä ovat palveluntarjoajia, jotka eurooppalaiset valvontaviranomaiset (EBA, ESMA, EIOPA) nimeävät nimenomaisesti järjestelmäriskin, korvattavuuden ja riippuvuuden kriteerien mukaan (artikla 31). Ensimmäinen virallinen lista, julkaistu 18.-19. marraskuuta 2025, sisältää 19 palveluntarjoajaa. Ne ovat suoran valvonnan alaisia (tarkastukset, laajennettu raportointi); muut TVT-palveluntarjoajat pysyvät säänneltyinä vain rahoitusalan asiakkaidensa sopimuslausekkeiden kautta.
Korvaako DORA NIS2:n toimialallani?
Kyllä, artiklan 2 mukaisille rahoitusalan toimijoille: DORA muodostaa lex specialiksen suhteessa NIS2:een rahoitusalalla. Kohdellut 21 luokkaa soveltavat DORAa vastaavien NIS2-toimenpiteiden sijaan riskienhallinnan ja poikkeamien ilmoittamisen osalta.
Onko tämä palvelu oikeudellinen lausunto?
Ei. DORA-Express on dokumentaarinen tukityökalu, ei oikeudellinen lausunto. Organisaationne tarkka velvoitteenalaisuus DORAn suhteen ja sopimustenne oikeudellinen vaatimustenmukaisuus on vahvistettava erikoistuneen juristin toimesta ennen sitovia päätöksiä.

Valmiina dokumentoimaan DORA-vaatimustenmukaisuutenne?

Ota meihin yhteyttä saadaksesi räätälöidyn tarjouksen asemanne mukaan (rahoitusalan toimija tai TVT-palveluntarjoaja).

DORA-Express on dokumentaarinen tukityökalu, eikä se ole oikeudellinen lausunto. Organisaationne velvoitteenalaisuus DORAn suhteen ja sopimustenne ja rekistereidenne oikeudellinen pätevyys on vahvistettava erikoistuneen juristin toimesta.

Sääntelyseuranta - viralliset lähteet

DORA selitettynä yksinkertaisesti, ilman oikeudellista ammattislangia. Jokainen alla oleva kohta viittaa sen vahvistavaan viralliseen tekstiin.

Ketä se koskee?

DORAa sovelletaan eurooppalaisiin rahoitusalan toimijoihin: pankkeihin, vakuutusyhtiöihin, sijoituspalveluyrityksiin, markkinapaikkoihin, rahastonhoitajiin, maksupalveluntarjoajiin... sekä niiden tietotekniikkapalveluntarjoajiin. Hyvin pienet toimijat hyötyvät kevennetyistä säännöistä.

virallinen lähde (EUR-Lex) ↗

Mitä DORA todella vaatii teiltä

Asetus kattaa 6 pääaihetta: tietotekniikkariskin hallinta, ulkoisten palveluntarjoajien valvonta, säännölliset resilienssitestit, vakavien poikkeamien ilmoittaminen, uhkatietojen jakaminen sekä suurimpien tietotekniikkapalveluntarjoajien valvonta.

virallinen lähde (EIOPA) ↗

Muistettavat päivämäärät

Teksti hyväksytty 14. joulukuuta 2022, julkaistu EU:n virallisessa lehdessä 27. joulukuuta 2022 (JO L 333). Voimaantulo 16. tammikuuta 2023. Velvoitteet ovat todella voimassa 17. tammikuuta 2025 alkaen.

lähde EUR-Lex ↗ · lähde ESMA ↗

Tietotekniikkapalveluntarjoajianne valvotaan myös

Suurimmat rahoitusalalle "kriittisiksi" katsotut tietotekniikkapalveluntarjoajat (pilvi, hosting...) ovat nyt suoran eurooppalaisen valvonnan alaisia, johtavan valvojan kanssa, joka voi asettaa niille toimenpiteitä.

virallinen lähde (EIOPA) ↗

Poikkeamailmoitus vihdoin yhdenmukaistettu

Ennen DORAa jokaisella EU-maalla oli omat sääntönsä vakavan tietotekniikkapoikkeaman ilmoittamiseen. Nyt sovelletaan yhtenäistä eurooppalaista menettelyä: vakavat poikkeamat ilmoitetaan suoraan toimivaltaisille viranomaisille.

lähde EUR-Lex ↗

Entä seuraamukset?

Teksti edellyttää, että viranomaiset julkaisevat määräämänsä hallinnolliset seuraamukset. Sakkojen tarkkoja määriä ei ole vielä vakiinnutettu tarkastelemissamme lähteissä - vahvistettava virallisten tarkennusten myötä.

lähde EUR-Lex (johdanto-osan kappale 97) ↗