Yritysten ja organisaatioiden tietoturva on juuri nyt tapetilla enemmän kuin koskaan. Keskustelua ja organisaatioiden uudistumista ajavat monipuolistuvat kyberuhkat, maailman geopoliittinen tilanne sekä Euroopan Unionin lainsäädäntö, kuten lokakuussa voimaan astuva NIS2-tietoturvadirektiivi.
NIS2 ei kuitenkaan ole ainoa huomioon otettava lainsäädännöllinen tekijä Euroopassa: finanssialan toimijoiden on ensi vuoden tammikuuhun mennessä oltava DORA-asetuksen mukaisia, energia-alalla on omat uudet kyberturvallisuus- ja resilienssisäädöksensä, ja niin edelleen. Miten eri alojen organisaatioiden tulisi toimia uhkien, vaatimusten ja auditointien tihenevässä viidakossa?
DORA luo pelisäännöt ICT-riskienhallinnalle ja resilienssille finanssialalla
DORA eli Digital Operational Resilience Act on erityisesti finanssialaa koskeva EU-asetus. Se määrittää muun muassa, miten organisaatioiden tulisi huolehtia ICT-riskienhallinnasta, poikkeustilanteiden raportoinnista, digitaalisen häiriönsietokyvyn testauksesta sekä kolmannen osapuolen palveluihin liittyvästä riskienhallinnasta (Third-Party Risk Management, TPRM).
Asetus koskee laajasti rahoitusalan organisaatioita, eli pankkien lisäksi esimerkiksi vakuutus- ja rahoitusyhtiöitä sekä kryptovaluuttatoimijoita. DORA on astunut voimaan jo tammikuussa 2023, mutta sen piirissä olevien organisaatioiden on oltava asetuksen mukaisia vasta tammikuuhun 2025 mennessä – eli käytännössä monet organisaatiot tulevat tarkastelemaan toimintaansa sekä tekemään tarvittavia muutoksia loppuvuodesta 2024.
DORA ja NIS2 – erot ja päällekkäisyydet
Mikäli Euroopan Unionin uusi verkko- ja tietoturvadirektiivi NIS2 on tuttu, saattaa DORA-asetuksen kuvauksesta herätä kysymys: mitä eroa näillä säätelyillä on? Myös NIS2 määrää nimittäin alasta riippumatta yritysten tietoturvariskien hallinnasta sekä poikkeamatilanteiden havaitsemisesta, käsittelystä ja raportoinnista. Lisäksi NIS2 korostaa erityisesti johtoportaan vastuuta organisaation tietoturvasta.
Teknisellä tasolla ero on yksinkertainen:
-
NIS2 on direktiivi, eli kukin EU-maa saattaa sen osaksi omaa lainsäädäntöään. Se koskettaa kaikkia keskisuuria, suuria tai kriittisiksi määriteltyjä yrityksiä EU-alueella. NIS2:n päämääränä onkin luoda yhteinen perustaso ja varmistaa, että yhteiskuntamme sujuvan toiminnan kannalta tärkeät yritykset ja organisaatiot saavuttavat riittävän korkean kyberturvallisuuden tason.
-
DORA on asetus, joka tulee voimaan EU-maissa sellaisenaan. Se koskettaa finanssialan yrityksiä ja organisaatioita. DORA keskittyy erityisesti varmistamaan, että finanssialan toimijat voivat kestää kyberhyökkäyksiä ja toimia niistä huolimatta.
DORA:n piirissä oleville käytännöstä muodostuu kuitenkin monimutkaisempi kokonaisuus, sillä NIS2 ja DORA tavoittelevat erilaisia asioita. NIS2 tavoittelee yhdenmukaista kybersuojausta EU jäsenmaissa monitoimialaisesti ja DORA tähtää finanssialan organisaatioiden resilienssin lisäämiseen. Nämä tavoitteet ovat osittain päällekäisiä, mutta erojakin on: DORA:ssa painottuu finanssiorganisaatioiden kyvykkyyksien testaaminen ja määritteleekin testaamisen toteuttamista tarkemmin. NIS2 on yleismaailmallisempi, johtuen monitoimialaisuuden tuomasta organisaatioiden heterogeenisyydestä. DORA on finanssialalle kohdennettua erityissäätelyä, joka ohittaa NIS2 direktiivin vaatimukset siltä osin, kuin niistä on DORA:ssa tarkemmin säädetty.
Miten ICT-palveluntarjoajat voivat auttaa DORA:n noudattamisessa?
Sekä NIS2- että DORA-vaatimukset voivat tuntua haastavilta täyttää yksin, mutta onneksi tukea voi aina tarvittaessa hakea luotetuilta ICT-kumppaniorganisaatioilta. Esimerkiksi CGI:n osaajat voivat auttaa DORA:n alla toimivia finanssialan organisaatioita tarjoamalla osaavaa ja DORA-vaatimukset täyttävää testaus- ja auditointipalvelua sekä auttaa vaatimustenmukaisuuden saavuttamisessa tarvittavassa rakennustyössä.
Tärkeiden säädösten kuten NIS2:n ja DORA-asetuksen vaikutus ulottuu laajalle, koskien monia eri aloja ja organisaatioita. On tärkeää olla perillä näistä säädöksistä ja niiden vaatimuksista, jotta organisaatiot voivat varmistaa tietoturvansa ja toimintansa jatkuvuuden.
Tutustu myös CGI:n englanninkieliseen julkaisuun: Statement of Intent regarding DORA regulation