DORA-asetusta on Suomessa sovellettu 17.1.2025 alkaen ilman siirtymäaikaa, ja sen toteutumista valvoo Finanssivalvonta. Asetus koskee yli 400 valvottavaa toimijaa: pankkeja, vakuutusyhtiöitä, sijoituspalveluyrityksiä sekä niille palveluja tuottavia ICT-toimittajia. Finanssivalvonta keskittyy valvonnassaan ICT- ja tietoturvariskien hallintaan, poikkeamien ilmoitusprosesseihin ja ICT-palveluntarjoajien valvontaan. Keskeinen uusi velvoite on vuosittain viranomaiselle toimitettava standardoitu tietojärjestelmärekisteri. Tässä oppaassa käydään läpi, keitä DORA koskee ja mitä se edellyttää.
Mikä on DORA?
DORA (Digital Operational Resilience Act, asetus 2022/2554) yhtenäistää finanssisektorin digitaalisen häiriönsietokyvyn vaatimukset koko EU:ssa. Koska kyseessä on asetus, se on suoraan sovellettavaa oikeutta eikä vaadi kansallista täytäntöönpanoa – toisin kuin NIS2-direktiivi. Suomessa Finanssivalvonta on antanut valvottaville ohjeistusta soveltamisesta. Yleiskuva kansallisesta sääntelystä: tietosuoja Suomessa.
DORA rakentuu viidestä pilarista: ICT-riskienhallinta, ICT-poikkeamien hallinta ja raportointi, digitaalisen häiriönsietokyvyn testaus, kolmannen osapuolen ICT-riskien hallinta ja tiedon jakaminen uhkista. Perusteet: DORA:n ICT-riskienhallinta ja poikkeamaraportointi.
Keitä DORA koskee Suomessa?
DORA soveltuu laajasti finanssisektorin toimijoihin. Suomessa se vaikuttaa yli 400 Finanssivalvonnan valvottavaan toimijaan:
| Toimijatyyppi | Esimerkkejä |
|---|---|
| Luottolaitokset | Pankit |
| Vakuutus | Vakuutus- ja eläkeyhtiöt |
| Sijoituspalvelut | Sijoituspalveluyritykset, rahastoyhtiöt |
| Maksupalvelut | Maksulaitokset, sähkörahayhteisöt |
| ICT-toimittajat | Kriittiset ICT-palveluntarjoajat |
Kriittiset ICT-palveluntarjoajat kuuluvat erilliseen EU-tason valvontaan. Perusteet pankeille: DORA pankeille.
Keskeiset velvoitteet
| Velvoite | Sisältö |
|---|---|
| ICT-riskienhallinta | Kirjallinen kehys ja kontrollit |
| Tietojärjestelmärekisteri | Standardoitu, vuosittain Finanssivalvonnalle |
| Poikkeamien raportointi | Luokittelu ja määräaikainen ilmoitus |
| Häiriönsietokyvyn testaus | Säännöllinen testaus, merkittäville TLPT |
| Kolmannen osapuolen riskit | ICT-sopimusten ja -toimittajien hallinta |
Uusi ja työläs velvoite on tietojärjestelmärekisteri (register of information), joka on toimitettava Finanssivalvonnalle standardoidussa muodossa vuosittain. Se kattaa kaikki ICT-palvelusopimukset. Katso tietojärjestelmärekisterin malli. Merkittäville toimijoille – kuten suurille pankeille, pörssille ja arvopaperikeskukselle – edellytetään uhkaperusteista TLPT-tunkeutumistestausta; Suomessa myös pienempiä pankki- ja vakuutussektorin toimijoita on velvoitettu testeihin. Perusteet: DORA:n häiriönsietokyvyn testaus (TLPT).
DORA, NIS2 ja GDPR
Finanssitoimijaa voivat koskea samanaikaisesti DORA, NIS2 ja GDPR. Sama ICT-poikkeama voi laukaista useita raportointivelvoitteita eri viranomaisille. DORA on finanssisektorilla erityissääntelyä (lex specialis) suhteessa NIS2:een. Yhtenäinen poikkeamien luokittelu säästää työtä – katso DORA vs NIS2 -erot ja poikkeamaraportointi DORA, NIS2 ja GDPR. Legiscope hoitaa tietosuojan ydinvelvoitteet EU-isännöinnissä, mikä täydentää DORA-työtä henkilötietojen osalta. Työkaluvertailu: paras DORA-ohjelmisto.
DORA:n viisi pilaria tarkemmin
DORA rakentuu viidestä toisiaan tukevasta pilarista, jotka yhdessä muodostavat finanssitoimijan digitaalisen häiriönsietokyvyn kehyksen.
- ICT-riskienhallinta. Toimijalla on oltava kirjallinen ICT-riskienhallinnan kehys, jonka ylin johto hyväksyy ja jota se valvoo. Kehys kattaa suojauksen, havainnoinnin, palautumisen ja jatkuvan parantamisen. Perusteet: DORA:n ICT-riskienhallinta.
- ICT-poikkeamien hallinta ja raportointi. Poikkeamat on havaittava, luokiteltava vakavuuden mukaan ja raportoitava viranomaiselle määräajassa. Perusteet: DORA-poikkeamaraportointi.
- Digitaalisen häiriönsietokyvyn testaus. Säännöllinen testausohjelma, joka merkittävillä toimijoilla sisältää uhkaperusteisen tunkeutumistestauksen (TLPT).
- Kolmannen osapuolen ICT-riskien hallinta. ICT-toimittajasopimusten ja -riippuvuuksien hallinta sekä keskeisten toimittajien seuranta.
- Tiedon jakaminen uhkista. Vapaaehtoinen kyberuhkatiedon jakaminen toimijoiden kesken.
Kokonaiskuva: DORA-compliance-opas.
DORA:n toimijatyypit Suomessa
DORA soveltuu poikkeuksellisen laajaan joukkoon finanssitoimijoita – yhteensä yli 400:aan Finanssivalvonnan valvottavaan Suomessa. Tarkennettu soveltamisala kattaa muun muassa:
| Toimijaryhmä | Esimerkkejä |
|---|---|
| Luotto- ja maksulaitokset | Pankit, maksulaitokset, sähkörahayhteisöt |
| Sijoituspalvelut | Sijoituspalveluyritykset, rahasto- ja vaihtoehtorahastojen hoitajat |
| Vakuutus | Vakuutus- ja jälleenvakuutusyhtiöt, vakuutusedustajat, lisäeläkelaitokset |
| Markkinainfrastruktuuri | Arvopaperikeskus, keskusvastapuolet, kauppapaikat |
| Uudet toimijaryhmät | Kryptovarapalvelun tarjoajat, joukkorahoituspalvelut, luottoluokituslaitokset |
| ICT-toimittajat | Kriittiset ICT-palveluntarjoajat (EU-tason valvonta) |
Sääntely noudattaa suhteellisuusperiaatetta: pienimmät toimijat, kuten mikroyritykset, voivat soveltaa kevennettyä ICT-riskienhallinnan kehystä. Perusteet pankeille: DORA pankeille.
Tietojärjestelmärekisteri käytännössä
DORA:n työläin uusi velvoite on standardoitu tietojärjestelmärekisteri (register of information), joka on toimitettava Finanssivalvonnalle vuosittain. Rekisteri kokoaa yhteen kaikki ICT-palvelusopimukset ja niiden keskeiset tiedot:
- sopimuskumppanit ja ICT-palveluntarjoajat
- palvelun tyyppi ja sen tukemat liiketoimintatoiminnot
- toiminnon kriittisyys ja mahdolliset alihankintaketjut
- sopimuksen kesto, irtisanomisehdot ja tietojen sijainti
Rekisterin ylläpito manuaalisesti on työlästä, koska tiedot hajautuvat eri sopimuksiin ja järjestelmiin. Malli ja tietovaatimukset: tietojärjestelmärekisterin rakenne.
Poikkeamien luokittelu ja raportointi
DORA edellyttää, että ICT-poikkeamat luokitellaan yhtenäisin kriteerein ja että merkittävistä poikkeamista ilmoitetaan Finanssivalvonnalle vaiheittain. Luokitteluun vaikuttavat muun muassa asiakkaiden ja vastapuolten määrä, poikkeaman kesto, maantieteellinen laajuus, tietojen menetys sekä taloudelliset ja maineelliset vaikutukset. Ilmoitusmenettely noudattaa vaiheittaista mallia alkuilmoituksesta väliraportin kautta loppuraporttiin. Komission tekninen sääntelystandardi (RTS) täsmentää määräajat: alkuilmoitus on tehtävä viimeistään 4 tunnin kuluessa siitä, kun poikkeama on luokiteltu merkittäväksi, ja joka tapauksessa enintään 24 tunnin kuluessa poikkeaman havaitsemisesta. Väliraportti seuraa 72 tunnin kuluessa ja loppuraportti viimeistään kuukauden kuluttua väliraportista. Nämä määräajat ovat käytännössä tiukempia kuin GDPR:n 72 tunnin tietoturvaloukkausilmoitus, joten finanssitoimijan poikkeamaprosessin on tuettava molempia rinnakkain. Koska sama poikkeama voi laukaista myös NIS2:n ja GDPR:n ilmoitusvelvollisuudet, yhtenäinen luokittelu kannattaa: poikkeamaraportointi DORA, NIS2 ja GDPR ja tietoturvaloukkauksen ilmoittaminen.
Häiriönsietokyvyn testaus
Kaikkien toimijoiden on testattava digitaalista häiriönsietokykyään säännöllisesti osana ICT-riskienhallintaa. Perustason ohjelma kattaa esimerkiksi haavoittuvuusskannaukset, tunkeutumistestit, verkkoturvallisuuden arvioinnit ja jatkuvuusharjoitukset. Näiden tavoitteena on tunnistaa heikkoudet ennen kuin niitä ehditään hyödyntää. Uhkaperusteinen tunkeutumistestaus (TLPT) on vaativampi taso, joka jäljittelee todellisia hyökkääjiä ja jota edellytetään merkittäviltä toimijoilta. Testien tulokset ja korjaavat toimet dokumentoidaan osaksi häiriönsietokyvyn kehittämistä. Perusteet: DORA:n häiriönsietokyvyn testaus (TLPT).
Näin valmistaudut DORA:aan
DORA:n soveltaminen alkoi 17.1.2025 ilman siirtymäaikaa, joten valmistautuminen on jo käynnissä useimmilla toimijoilla. Käytännön askeleet:
- Soveltuvuus. Varmista, kuulutko DORA:n toimijatyyppeihin ja sovelletaanko sinuun kevennettyä kehystä.
- ICT-riskienhallinnan kehys. Laadi tai päivitä kirjallinen kehys, jonka johto hyväksyy.
- Tietojärjestelmärekisteri. Kokoa kaikki ICT-sopimukset standardoituun rekisteriin vuosittaista raportointia varten.
- Poikkeamaprosessi. Rakenna luokittelu- ja ilmoitusprosessi Finanssivalvonnalle.
- Testausohjelma. Suunnittele säännöllinen testaus ja merkittäville toimijoille TLPT.
- Kolmannen osapuolen hallinta. Päivitä ICT-sopimukset DORA:n vaatimusten mukaisiksi.
Seuraamuksista ja valvonnan keinoista: DORA:n seuraamukset ja täytäntöönpano. Katso myös yleissääntely NIS2 Suomessa.
Kolmannen osapuolen ICT-riskit ja sopimukset
Yksi DORA:n keskeisistä tavoitteista on hallita finanssitoimijoiden riippuvuutta ulkoisista ICT-palveluntarjoajista. Toimijan on tunnettava koko ICT-toimittajaketjunsa, arvioitava keskittymäriski – esimerkiksi liiallinen riippuvuus yhdestä pilvipalvelusta – ja varmistettava, että sopimukset sisältävät DORA:n edellyttämät ehdot. Näihin kuuluvat muun muassa palvelutasot, tietoturvavaatimukset, tarkastusoikeudet, poikkeamien ilmoittaminen sekä hallitut exit- ja siirtymäjärjestelyt palvelun päättyessä.
Kriittisiksi luokitellut ICT-palveluntarjoajat kuuluvat erilliseen EU-tason valvontaan, jota koordinoivat Euroopan valvontaviranomaiset (ESA:t). Tämä on uutta: ensimmäistä kertaa myös finanssisektorin ulkopuoliset teknologiatoimittajat voivat joutua suoraan valvonnan piiriin. Sopimusten kartoitus ja päivitys on siksi yksi DORA:n työläimmistä käytännön tehtävistä, ja se kytkeytyy suoraan vuosittaiseen tietojärjestelmärekisteriin. Toimijan on myös varmistettava, ettei se ulkoistamalla siirrä vastuutaan pois: DORA:n mukaan vastuu digitaalisesta häiriönsietokyvystä säilyy finanssitoimijalla itsellään, vaikka tekninen toteutus olisi ulkopuolisen palveluntarjoajan käsissä. Tämä tekee toimittajien jatkuvasta seurannasta pysyvän velvoitteen kertaluonteisen sopimustarkistuksen sijaan.
Valvonta ja seuraamukset Suomessa
Finanssivalvonta valvoo DORA:n noudattamista osana finanssitoimijoiden yleistä valvontaa. Keinovalikoimaan kuuluvat ohjeet, selvityspyynnöt, tarkastukset ja hallinnolliset seuraamukset. Käytännössä valvonta keskittyy alkuvaiheessa ICT-riskienhallinnan kehyksen olemassaoloon, tietojärjestelmärekisterin toimittamiseen ja poikkeamaraportoinnin toimivuuteen. Koska DORA-asetusta sovelletaan suoraan ilman siirtymäaikaa, toimijoiden odotetaan olleen vaatimusten mukaisia jo 17.1.2025. Valvonta on riskiperusteista: se kohdistuu voimakkaimmin niihin toimijoihin ja toimintoihin, joiden häiriö vaikuttaisi laajimmin rahoitusjärjestelmän vakauteen. Puutteet ICT-riskienhallinnassa tai rekisterin toimittamisessa voivat johtaa korjausvaatimuksiin ja viime kädessä seuraamuksiin. Seuraamusten ja täytäntöönpanon periaatteet: DORA:n seuraamukset.
Usein kysytyt kysymykset
Milloin DORA tuli voimaan Suomessa?
DORA-asetusta on sovellettu 17.1.2025 alkaen ilman siirtymäaikaa. Asetus tuli voimaan 17.1.2023, ja soveltaminen alkoi kahden vuoden kuluttua.
Kuka valvoo DORA:aa Suomessa?
Finanssivalvonta valvoo DORA:n toteutumista yli 400 valvottavalle toimijalle. Valvonta keskittyy ICT- ja tietoturvariskien hallintaan, poikkeamien ilmoitusprosesseihin ja ICT-palveluntarjoajien valvontaan. Kriittiset ICT-palveluntarjoajat kuuluvat EU-tason valvontaan.
Mikä on DORA:n tietojärjestelmärekisteri?
Se on standardoitu luettelo kaikista ICT-palvelusopimuksista, joka on toimitettava Finanssivalvonnalle vuosittain. Se on yksi DORA:n työläimmistä uusista velvoitteista ja edellyttää usein erillistä ohjelmistotukea.
Mitkä ovat DORA:n viisi pilaria?
ICT-riskienhallinta, ICT-poikkeamien hallinta ja raportointi, digitaalisen häiriönsietokyvyn testaus, kolmannen osapuolen ICT-riskien hallinta sekä uhkatiedon jakaminen. Yhdessä ne muodostavat finanssitoimijan häiriönsietokyvyn kehyksen.
Koskeeko DORA pieniä finanssitoimijoita?
Kyllä, mutta suhteellisuusperiaatteen mukaisesti. Pienimmät toimijat, kuten mikroyritykset, voivat soveltaa kevennettyä ICT-riskienhallinnan kehystä. Soveltamisala on silti laaja ja kattaa yli 400 toimijaa Suomessa.
Mitä DORA edellyttää ICT-sopimuksilta?
Sopimusten on sisällettävä muun muassa palvelutasot, tietoturvavaatimukset, tarkastusoikeudet, poikkeamien ilmoittaminen sekä hallitut exit-järjestelyt. Kriittiset ICT-palveluntarjoajat kuuluvat lisäksi EU-tason valvontaan, jota koordinoivat Euroopan valvontaviranomaiset.
Yhteenveto
DORA-asetusta on Suomessa sovellettu 17.1.2025 alkaen, ja Finanssivalvonta valvoo yli 400 toimijaa. Keskeiset velvoitteet ovat ICT-riskienhallinta, vuosittainen tietojärjestelmärekisteri, poikkeamaraportointi ja häiriönsietokyvyn testaus. Koska DORA, NIS2 ja GDPR limittyvät finanssitoimijalla, yhtenäinen lähestymistapa kannattaa. Legiscope hoitaa tietosuojan ytimen EU-isännöinnissä. Katso myös NIS2 Suomessa ja seuraamukset tietosuojaseuraamukset 2025.
Viimeksi tarkistettu: heinäkuu 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial