Paras DORA-ohjelmisto vuonna 2026 on alusta, joka hallinnoi ICT-riskienhallintaa, ylläpitää standardoitua tietojärjestelmärekisteriä (register of information), automatisoi ICT-poikkeamien raportoinnin ja tukee uhkaperusteista TLPT-testausta. DORA-asetusta on sovellettu 17.1.2025 alkaen ilman siirtymäaikaa, ja Suomessa Finanssivalvonta valvoo sen toteutumista yli 400 valvottavalle toimijalle. Ohjelmiston keskeisin uusi vaatimus on vuosittain viranomaiselle toimitettava ICT-sopimusrekisteri. Tässä artikkelissa käydään läpi valintakriteerit, markkinan tyypit ja hinnat.
Mitä DORA vaatii Suomessa?
DORA (Digital Operational Resilience Act) yhtenäistää finanssisektorin digitaalisen häiriönsietokyvyn vaatimukset. Suomessa asetus koskee yli 400 Finanssivalvonnan valvottavaa toimijaa: pankkeja, vakuutusyhtiöitä, sijoituspalveluyrityksiä sekä niille palveluja tuottavia ICT-toimittajia. Siirtymäaikaa ei ole – vaatimukset ovat sitoneet 17.1.2025 alkaen. Yksityiskohdat kansallisesta valvonnasta: DORA Suomessa.
DORA rakentuu viidestä pilarista: ICT-riskienhallinta, ICT-poikkeamien hallinta ja raportointi, häiriönsietokyvyn testaus, kolmannen osapuolen ICT-riskien hallinta ja tiedon jakaminen. Ohjelmiston on tuettava näitä kaikkia. Perusteet: DORA:n ICT-riskienhallinta ja tietojärjestelmärekisteri.
Vertailukriteerit DORA-ohjelmistolle
| Kriteeri | Miksi ratkaisee | Vähimmäisvaatimus |
|---|---|---|
| ICT-riskienhallinta | DORA:n ydinvelvoite | Riskirekisteri ja kontrollit |
| Tietojärjestelmärekisteri | Vuosittain Finanssivalvonnalle | Standardoitu, vietävä muoto |
| Poikkeamaraportointi | Määräaikainen ilmoitus | Ohjattu luokittelu ja ilmoitus |
| Kolmannen osapuolen riskit | ICT-toimittajien valvonta | Sopimus- ja toimittajarekisteri |
| TLPT-testaus | Merkittäville toimijoille | Testauksen dokumentointi |
| Auditointijälki | Valvonta edellyttää näyttöä | Versiointi ja lokit |
Markkinan vaihtoehdot
DORA-ohjelmistomarkkina jakautuu kolmeen. ICT-riskienhallinnan erikoistyökalut keskittyvät DORA:n pilareihin ja tietojärjestelmärekisteriin. GRC-suitit (OneTrust, ServiceNow) tarjoavat DORA-moduulin osana laajempaa kokonaisuutta – kattava mutta kallis ja käyttöönotoltaan raskas. Integroidut compliance-alustat yhdistävät finanssisääntelyn, kyberturvallisuuden ja tietosuojan.
Monelle finanssitoimijalle DORA, NIS2 ja GDPR limittyvät: sama ICT-poikkeama voi laukaista kolme eri raportointivelvoitetta. Yhtenäinen poikkeamien luokittelu säästää työtä – katso poikkeamaraportointi DORA, NIS2 ja GDPR sekä DORA vs NIS2 -erot. Legiscope kattaa tietosuojan ydinvelvoitteet EU-isännöinnissä, mikä täydentää erikoistuneita DORA-työkaluja tietosuojan osalta.
DORA:n viisi pilaria ja ohjelmiston tehtävä kussakin
DORA-asetuksen (EUR-Lex) rakenne perustuu viiteen pilariin. Paras DORA-ohjelmisto tukee jokaista niistä – yksittäinen työkalu, joka kattaa vain riskirekisterin, jättää raportoinnin ja testauksen käsityöksi.
| Pilari | Sisältö | Mitä ohjelmiston pitää tukea |
|---|---|---|
| 1. ICT-riskienhallinta | Hallintakehys, johdon vastuu, kontrollit | Riskirekisteri, politiikat, hyväksynnät, johdon raportointi |
| 2. ICT-poikkeamien hallinta ja raportointi | Havaitseminen, luokittelu, viranomaisilmoitus | Ohjattu luokittelu ja määräaikainen ilmoitusvirta |
| 3. Digitaalisen häiriönsietokyvyn testaus | Perustestaus kaikille, TLPT merkittäville | Testausohjelman ja tulosten dokumentointi |
| 4. Kolmannen osapuolen ICT-riskit | Sopimukset, kriittiset palveluntarjoajat | Tietojärjestelmärekisteri ja toimittajien seuranta |
| 5. Tiedon jakaminen | Vapaaehtoinen uhkatietojen jakaminen | Uhkatiedon dokumentointi ja jäljitettävyys |
Ensimmäinen pilari korostaa johdon vastuuta: DORA:ssa hallitus vastaa ICT-riskienhallinnan kehyksestä, joten hyväksyntöjen ja katselmusten kirjaaminen on osa vaatimustenmukaisuutta. Perusteet: DORA:n ICT-riskienhallinta.
Standardoitu tietojärjestelmärekisteri – DORA:n konkreettisin uusi velvoite
DORA:n näkyvin uusi vaatimus on standardoitu tietojärjestelmärekisteri (register of information), joka toimijan on ylläpidettävä kaikista ICT-palvelusopimuksistaan ja toimitettava Finanssivalvonnalle vuosittain määrämuodossa. Rekisteriin kirjataan muun muassa palveluntarjoajat, sopimukset, palvelut, kriittisiä tai tärkeitä toimintoja tukevat järjestelyt sekä alihankintaketjut. Muoto on yhtenäistetty EU-tasolla, joten Excel-pohjainen ylläpito muuttuu nopeasti kestämättömäksi, jos sopimuksia on kymmeniä tai satoja. Ohjelmiston on tuettava rekisterin täydellistä, vietävää ja auditoitavaa muotoa. Yksityiskohdat: DORA:n tietojärjestelmärekisteri.
TLPT-testaus – uhkaperusteinen tunkeutumistestaus merkittäville toimijoille
Kaikkien toimijoiden on testattava häiriönsietokykyään säännöllisesti, mutta merkittäviltä toimijoilta edellytetään lisäksi uhkaperusteista tunkeutumistestausta (Threat-Led Penetration Testing, TLPT). TLPT jäljittelee todellisia hyökkääjiä ja kohdistuu tuotantojärjestelmiin, joten se vaatii huolellisen suunnittelun, laajuuden määrittelyn ja tulosten dokumentoinnin viranomaista varten. Ohjelmiston tehtävä on hallita testausohjelmaa, kirjata havainnot ja seurata korjaustoimenpiteitä. Testaustyypit ja soveltamiskynnykset: DORA:n häiriönsietokyvyn testaus ja TLPT.
Käyttöönoton vaiheet finanssitoimijalle
Koska DORA:aa on sovellettu 17.1.2025 alkaen ilman siirtymäaikaa, moni toimija tekee käyttöönottoa ja korjausta rinnakkain. Työ etenee tyypillisesti näin: (1) soveltuvuuden ja kriittisten toimintojen kartoitus, (2) ICT-riskienhallinnan kehyksen ja johdon vastuiden vahvistaminen, (3) tietojärjestelmärekisterin kokoaminen ja sopimusaukkojen korjaus, (4) poikkeamien luokittelu- ja ilmoitusprosessin määrittäminen, (5) testausohjelman ja mahdollisen TLPT:n suunnittelu sekä (6) jatkuvan seurannan ja vuosiraportoinnin vakiinnuttaminen. Vaiheet 3 ja 4 ovat useimmiten työläimmät, koska sopimustiedot ja poikkeamahistoria ovat lähtötilanteessa hajallaan.
DORA, NIS2 ja GDPR – kolme ilmoitusvelvoitetta samasta poikkeamasta
Finanssitoimijaa voivat koskea samanaikaisesti DORA, NIS2 ja GDPR. Yksi ICT-poikkeama voi laukaista kaikki kolme: DORA:n merkittävän ICT-poikkeaman ilmoituksen Finanssivalvonnalle, NIS2:n mukaisen noin 24 tunnin ennakkoilmoituksen sekä – jos henkilötiedot vaarantuvat – GDPR:n tietoturvaloukkausilmoituksen tietosuojavaltuutetulle 72 tunnin kuluessa. Määräajat, vastaanottajat ja kynnykset eroavat toisistaan, joten yhtenäinen poikkeamien luokittelu on käytännön edellytys virheettömälle raportoinnille. Vertailu: DORA:n poikkeamaraportointi, poikkeamaraportointi DORA, NIS2 ja GDPR ja DORA vs NIS2 -erot. Pankkien näkökulma: DORA-vaatimustenmukaisuus pankeille.
Hinnat 2026
| Toimijatyyppi | Vuosibudjetti | Tyypillinen ratkaisu |
|---|---|---|
| Pieni finanssitoimija | 5 000–20 000 € | ICT-riskityökalu + rekisteri |
| Keskisuuri pankki/vakuutus | 20 000–80 000 € | GRC-moduuli + poikkeamahallinta |
| Suuri toimija / pörssi | 80 000–250 000+ € | Täysi GRC-suite + TLPT-tuki |
Hinta riippuu toimijan koosta ja siitä, edellytetäänkö uhkaperusteista TLPT-testausta. DORA:n valvonnan laiminlyönnistä voi seurata merkittäviä hallinnollisia seuraamuksia; katso DORA:n seuraamukset ja valvonta.
Investoinnin tuotto ja kustannukset
DORA:n dokumentaatiovelvoitteet – riskirekisteri, tietojärjestelmärekisteri, poikkeamahistoria ja testausraportit – ovat laajat ja jatkuvat. Käsin ylläpidettynä ne vievät keskisuurelta toimijalta helposti 600–1 800 tuntia vuodessa, ja virheiden riski kasvaa jokaisen uuden sopimuksen ja poikkeaman myötä. Tarkoitukseen rakennettu ohjelmisto vähentää tätä työtä tyypillisesti 70–90 %, koska rekisterirakenteet, muistutukset ja vietävät raportit ovat valmiina. Kun samat tiedot palvelevat myös NIS2- ja GDPR-raportointia, integroitu lähestymistapa lyhentää läpimenoaikaa entisestään – vertaa vaihtoehtoja tietosuojaohjelmistojen vertailussa.
Kolmannen osapuolen ICT-riskit – kriittiset palveluntarjoajat
DORA:n neljäs pilari kohdistuu ICT-palveluntarjoajiin, ja se on monelle toimijalle työläin. Finanssitoimija ei voi ulkoistaa vastuutaan pois: vaikka pilvipalvelu tai konesalitoimittaja hoitaisi tekniikan, häiriönsietokyvystä vastaa edelleen valvottava toimija. Käytännössä tämä edellyttää, että jokainen ICT-sopimus sisältää DORA:n vaatimat ehdot (esimerkiksi auditointioikeudet, irtautumisstrategiat ja palvelutason), että kriittisiä tai tärkeitä toimintoja tukevat palveluntarjoajat on tunnistettu ja että keskittymäriskit on arvioitu. Nämä tiedot kirjataan tietojärjestelmärekisteriin, joten sopimushallinta ja rekisteri kannattaa pitää samassa järjestelmässä. Kun uusi toimittaja lisätään, sen tiedot ja sopimusehdot päivittyvät suoraan viranomaiselle vietävään rekisteriin, eikä erillistä koontityötä synny vuoden lopussa.
Merkittävimpiä ICT-palveluntarjoajia valvotaan lisäksi EU-tasolla suoraan. Tämä ei poista valvottavan toimijan omaa vastuuta, mutta korostaa sitä, että toimittajatietojen on oltava täydelliset ja ajantasaiset. Ohjelmiston tehtävä on tehdä tästä ylläpidosta jatkuvaa eikä kertaluontoista.
ICT-poikkeamien luokittelu käytännössä
DORA:n toinen pilari edellyttää, että ICT-poikkeamat havaitaan, luokitellaan ja merkittävistä poikkeamista ilmoitetaan Finanssivalvonnalle. Luokittelu perustuu vaikutukseen: kuinka monta asiakasta ja liiketointa poikkeama koskee, kuinka pitkä on palvelukatko, kuinka laaja on maantieteellinen ulottuvuus ja mikä on tietojen menetyksen sekä taloudellisten ja maineeseen liittyvien vaikutusten suuruus. Näiden kriteerien perusteella arvioidaan, ylittyykö merkittävyyskynnys ja käynnistyykö ilmoitusvelvollisuus. Luokittelun on oltava johdonmukainen ja jäljitettävä, koska sama tapaus voidaan joutua perustelemaan valvojalle jälkikäteen. Ohjelmiston tehtävä on ohjata luokittelua kysymyspohjaisesti, ehdottaa oikeaa vaikutustasoa ja tuottaa ilmoitus määrämuodossa. Ilman työkalua luokittelu jää yksittäisten asiantuntijoiden harkinnan varaan, jolloin johdonmukaisuus kärsii ja määräajat ovat vaarassa. Koska merkittävän poikkeaman ilmoitus on vaiheistettu – alustava ilmoitus, väliraportti ja loppuraportti – prosessin on kyettävä seuraamaan saman tapauksen etenemistä alusta loppuun.
Näin valitset DORA-ohjelmiston – tarkistuslista
Vaihtoehtoja kannattaa arvioida seuraavia kysymyksiä vasten: (1) Kattaako työkalu kaikki viisi pilaria vai pelkän riskirekisterin? (2) Tuottaako se standardoidun tietojärjestelmärekisterin Finanssivalvonnalle vietävässä määrämuodossa? (3) Ohjaako se ICT-poikkeamien luokittelua ja määräaikaista ilmoitusta? (4) Tukeeko se testausohjelmaa ja merkittäville toimijoille TLPT:tä? (5) Sisältääkö se sopimus- ja toimittajarekisterin auditointioikeuksineen? (6) Voiko samat poikkeamatiedot palvella myös NIS2- ja GDPR-raportointia? (7) Onko versiointi ja auditointijälki riittävä valvontaa varten ja sijaitseeko data EU:ssa? Koska DORA:aa on sovellettu 17.1.2025 alkaen ilman siirtymäaikaa, käyttöönotossa kannattaa priorisoida ne kohdat, joissa puutteet näkyvät valvonnassa nopeimmin: tietojärjestelmärekisteri ja poikkeamaraportointi. Yleiskuva vaatimuksista: DORA-vaatimustenmukaisuuden opas.
Yleisimmät sudenkuopat käyttöönotossa
Käytännön projekteissa toistuvat samat virheet. Ensimmäinen on tietojärjestelmärekisterin aliarviointi: sopimustiedot ovat hajallaan hankinnassa, taloushallinnossa ja IT:ssä, ja niiden kokoaminen määrämuotoon vie odotettua kauemmin. Toinen on poikkeamien luokittelun epäjohdonmukaisuus, kun kriteerit eivät ole kirjattuina työkaluun. Kolmas on kolmannen osapuolen sopimusehtojen puutteet – vanhoista sopimuksista puuttuvat usein auditointioikeudet ja irtautumisstrategiat, jotka DORA edellyttää. Neljäs on johdon vastuun jääminen muodolliseksi: hyväksynnät ja katselmukset on tehtävä ja kirjattava, ei vain oletettava. Ohjelmisto ei poista näitä haasteita itsestään, mutta se tekee puutteet näkyviksi ajoissa ja pitää korjaustoimet seurannassa, mikä on valvonnan kannalta ratkaisevaa.
Usein kysytyt kysymykset
Paljonko DORA-ohjelmisto maksaa?
Pienelle finanssitoimijalle 5 000–20 000 €/vuosi, keskisuurelle pankille tai vakuutusyhtiölle 20 000–80 000 €/vuosi ja suurelle toimijalle 80 000–250 000+ €/vuosi. Hinta kasvaa TLPT-testauksen ja integraatioiden myötä.
Riittääkö olemassa oleva GRC-työkalu DORA:aan?
Osittain. Yleinen GRC-työkalu kattaa riskienhallinnan, mutta DORA:n standardoitu tietojärjestelmärekisteri ja poikkeamien tarkka luokittelu vaativat usein DORA-erikoismoduulin. Tarkista, tukeeko työkalu Finanssivalvonnalle vietävää rekisterimuotoa.
Kuka valvoo DORA:aa Suomessa?
Finanssivalvonta valvoo DORA:n toteutumista yli 400 valvottavalle toimijalle. Valvonta keskittyy ICT- ja tietoturvariskien hallintaan, poikkeamien ilmoitusprosesseihin ja ICT-palveluntarjoajien valvontaan. Lue DORA Suomessa.
Mikä on DORA:n tietojärjestelmärekisteri?
Se on standardoitu rekisteri kaikista toimijan ICT-palvelusopimuksista, joka on toimitettava Finanssivalvonnalle vuosittain määrämuodossa. Rekisteri kattaa palveluntarjoajat, sopimukset, tuetut toiminnot ja alihankintaketjut. Muoto on yhtenäistetty EU-tasolla, joten sen ylläpito manuaalisesti on työlästä, kun sopimuksia on paljon.
Mitä ovat DORA:n viisi pilaria?
ICT-riskienhallinta, ICT-poikkeamien hallinta ja raportointi, digitaalisen häiriönsietokyvyn testaus, kolmannen osapuolen ICT-riskien hallinta sekä tiedon ja tietämyksen jakaminen. Ohjelmiston tulisi tukea jokaista pilaria, ei vain riskirekisteriä.
Yhteenveto
Paras DORA-ohjelmisto kattaa ICT-riskienhallinnan, standardoidun tietojärjestelmärekisterin, poikkeamaraportoinnin ja TLPT-testauksen tuen. Suomessa Finanssivalvonta valvoo yli 400 toimijaa, ja vaatimukset ovat sitoneet 17.1.2025 alkaen ilman siirtymäaikaa. Toimijalle, jota koskevat myös NIS2 ja GDPR, integroitu lähestymistapa säästää päällekkäistä raportointia. Legiscope hoitaa tietosuojan ytimen EU-isännöinnissä täydentäen DORA-erikoistyökaluja. Katso myös paras NIS2-ohjelmisto.
Katso Legiscope käytännössä – varaa 15 minuutin demo
Viimeksi tarkistettu: heinäkuu 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo