Mikä on DORA-asetus?

 

DORA (Digital Operational Resilience Act) on EU-asetus, jonka tarkoituksena on vahvistaa finanssialan yritysten digitaalista häiriönsietokykyä ja kyberturvallisuutta. Finanssiala on tunnetusti vahvasti säännelty toimintaympäristö, mutta DORA-asetus vaikuttaa poikkeuksellisen laaja-alaisesti sekä finanssitoimijoihin että niille palveluita tarjoaviin IT-toimittajiin.

​

Vaikka DORA soveltuu suoraan vain finanssialan yrityksiin, DORA vaikuttaa väistämättä myös finanssialalle palveluita tarjoaviin IT-yrityksiin. Asetus on muokannut merkittävästi sitä, miten IT-palveluita suunnitellaan, toimitetaan ja sopimuksellisesti hallitaan.

​

Miksi DORA koskee myös IT-toimittajia?

​

DORA edellyttää finanssitoimijoita heijastamaan IT-palveluhankintoja koskeviin sopimuksiinsa tietyt vähimmäisehdot, jotka IT-palveluntarjoajien on väistämättä huomioitava toiminnassaan, jos ne haluavat toimittaa palveluita finanssialalle. Velvoitteiden laajuus riippuu siitä, kuinka kriittisestä toiminnosta on asiakkaan näkökulmasta kyse. Kaikkia IT-palveluita koskevat tietyt minimivelvoitteet, ja näiden lisäksi on sovittava lisäehdoista, jos palvelu tukee asiakkaan kriittisiä tai tärkeitä toimintoja.

 

Joissain tapauksissa DORA voi soveltua suoraan myös IT-toimittajaan, jos viranomainen nimeää toimittajan itsessään kriittiseksi, koska sen palveluilla on laajamittainen merkitys finanssialalle.

 

Mitä sopimuksissa on huomioitava?

 

Finanssialan yrityksen näkökulmasta on olennaista, että IT-palvelusopimus täyttää DORA-vaatimukset. Palvelun luonteesta riippuen asiakkaalle voi olla tarkoituksenmukaista sitouttaa IT-toimittaja näiden vaatimusten ohella myös lisävelvoitteisiin, jotta asiakas pystyy käytännössä toteuttamaan omat toimintamallinsa asetuksen mukaisesti.

 

DORA jättää monilta osin neuvotteluvaraa sen suhteen, minkä sisältöisiksi velvoitteet lopulta sovitaan. Tällöin huomiota on syytä kiinnittää osapuolten kaupallisiin intresseihin sekä palvelun tekniseen toteutukseen. Osa velvoitteista puolestaan jättää vähemmän liikkumavaraa, jolloin sopimuksen neuvotteleminen voi vaatia tasapainottelua sen suhteen, miten DORAn vähimmäisvaatimukset saadaan täytettyä – varmistaen kuitenkin samalla, että sovitut toimintamallit ovat käytännössä toteuttamiskelpoisia palvelun luonteen kannalta. Tämä edellyttää juridisen asiantuntemuksen lisäksi väistämättä myös ymmärrystä liiketoiminnasta ja IT-palveluista.

​