Tästä syystä EU on tuonut voimaan kaksi keskeistä regulaatiota, jotka yhdessä määrittävät uuden standardin digitaaliselle resilienssille: NIS2-direktiivin ja DORA-asetuksen. Näiden säädösten tavoitteena on vahvistaa sekä julkisten että yksityisten toimijoiden kykyä suojautua kyberuhkilta ja varmistaa toiminnan jatkuvuus digitaalisissa ympäristöissä. Ne ohjaavat organisaatioita tarkastelemaan tietoturvaa, toimitusketjujen hallintaa ja jatkuvuussuunnittelua entistä järjestelmällisemmin ja ennakoivammin.
NIS2-direktiivi (verkko- ja tietoturvadirektiivi 2) on Euroopan unionin vastaus kyberturvallisuuden kasvaviin haasteisiin. Se on päivitetty versio aiemmasta kyberturvallisuusdirektiivistä ja sisältää aiempaa tiukempia vaatimuksia soveltamisalansa toimijoille. Direktiivin keskeinen ajatus on varmistaa, että yhteiskunnan kannalta keskeiset toimijat, niin julkiset kuin yksityiset, kykenevät ennakoimaan kyberuhkia, havaitsemaan poikkeamia ajoissa ja toimimaan tehokkaasti tilanteen hallitsemiseksi.
Merkittävä muutos on se, että velvoitteet laajenevat aiempaa useampiin toimijoihin, mukaan lukien keskisuuret yritykset ja julkisen sektorin yksiköt, kuten kunnalliset vesihuoltolaitokset, terveydenhuollon organisaatiot sekä teknologia-alan yritykset. Tämä kasvattaa merkittävästi sääntelyn vaikutuspiiriä ja vaatii organisaatioilta kyberturvallisuuden integrointia osaksi normaalia liiketoimintaa.
Käytännössä tämä tarkoittaa, että organisaatioiden on rakennettava kattavat riskienhallinnan prosessit, otettava käyttöön järjestelmät poikkeamien tunnistamiseen ja raportointiin, varmistettava toimitusketjujen turvallisuus ja panostettava henkilöstön osaamiseen kyberturvallisuusasioissa. Kyse on kokonaisvaltaisesta kulttuurin muutoksesta, jossa kyberturvallisuudesta tulee keskeinen osa organisaation strategista ajattelua.
DORA (eli Digital Operational Resilience Act) on EU:n asetus, joka pyrkii parantamaan finanssialan digitaalista toimintavarmuutta. DORA ei rajoitu pelkästään perinteisiin finanssitoimijoihin, kuten pankkeihin ja vakuutusyhtiöihin. Se kattaa laajasti kaikki finanssialan yritykset mukaan lukien kryptopalveluiden tarjoajat, maksuvälitystoimijat ja muut digitaalisia rahoituspalveluita tarjoavat yritykset, mikä tekee DORAn soveltamisalasta huomattavasti aiempaa sääntelyä kattavamman.
DORAn keskeinen tavoite on ennen kaikkea digitaalisen häiriönsietokyvyn vahvistaminen sekä finanssitoimijoiden toiminnan jatkuvuus häiriötilanteissa. Vaikka tietojärjestelmät joutuisivat esimerkiksi kyberhyökkäyksen kohteeksi, kaatuisivat tai teknisesti menisivät rikki, toiminnan pitää jatkua keskeytyksettä. DORA asettaa vaatimuksia myös siihen, miten riskit tunnistetaan ja hallitaan, miten häiriöihin varaudutaan etukäteen ja millä tavoin poikkeustilanteista toivutaan mahdollisimman nopeasti ja tehokkaasti.
Merkittävä osa DORA:n uudistuksista liittyy myös siihen, miten finanssialan toimijat käyttävät ulkopuolisia teknologiakumppaneita, kuten pilvipalveluyrityksiä. Nykyisessä toimintaympäristössä yhä useampi finanssialan palvelu tukeutuu ulkoisiin palveluntarjoajiin, kuten pilvipalveluyrityksiin, jotka muodostavat kriittisen osan toiminnan teknisestä selkärangasta. Tietyt kriittiset teknologiatoimijat voidaan asettaa suoraan valvonnan alaisiksi, jolloin viranomaisilla on mahdollisuus seurata ja arvioida myös näiden toimijoiden kykyä vastata digitaalisiin riskeihin, mikä on merkittävä muutos aiempaan.
DORA:n myötä koko finanssialan toimintavarmuus on otettu haltuun laajemmin ja johdonmukaisemmin kuin koskaan aiemmin. Se luo yhtenäiset pelisäännöt Euroopan laajuisesti, mikä parantaa paitsi asiakkaiden luottamusta myös markkinoiden vakautta. Samalla se nostaa rimaa toimijoiden teknologiselle kypsyydelle ja pakottaa organisaatiot tarkastelemaan digitaalisia järjestelmiään ja kumppanuuksiaan uusin silmin.
NIS2- ja DORA-sääntelyt asettavat organisaatioille laajoja ja moninaisia velvoitteita muun muassa kyberturvallisuuspoikkeamien luokittelua ja raportointia, toimitusketjujen turvallisuuden varmistamista, liiketoiminnan jatkuvuuden hallintaa, kolmansien osapuolien valvontaa sekä henkilöstön jatkuvaa koulutusta ja teknisen osaamisen kehittämistä koskien. Näiden vaatimusten täyttäminen edellyttää organisaatioilta kokonaisvaltaista lähestymistapaa, jossa kyberturvallisuus integroidaan strategiseen riskienhallintaan ja päivittäiseen operatiiviseen toimintaan.
Keskeistä on, että organisaatiot kykenevät dokumentoimaan toimintansa tarkasti ja läpinäkyvästi viranomaisille. Tämä tarkoittaa konkreettisten mittareiden ja auditointikäytäntöjen kehittämistä sekä selkeiden vastuunjakojen määrittämistä organisaation sisällä. Vaatimustenmukaisuuden toteuttaminen ei voi olla yksittäisten asiantuntijoiden harteilla, vaan vaatii johdon vahvaa sitoutumista sekä koko henkilöstön aktiivista osallistumista.
Graniitin asiantuntijoilla on laajaa prosessiosaamista sekä kokemusta kokonaisvaltaisista muutosprojekteista, joissa otetaan käyttöön koko henkilöstön kattavia uusia toimintatapoja.
EU:n sääntelyagendalla on jo vireillä useita uusia aloitteita, kuten tekoälyä koskeva AI Act, kyberresilienssiä käsittelevä Cyber Resilience Act sekä datan ja digipalveluiden sääntelyyn keskittyvät Data Act ja Digital Services Act. Näiden myötä organisaatioiden tulee yhä laajemmin kehittää sisäisiä kyvykkyyksiään vastatakseen muuttuvaan sääntely-ympäristöön.
Digitaalisen resilienssin vahvistaminen on sekä lakisääteinen velvollisuus että strateginen kilpailuetu. Organisaatiot, jotka tarttuvat tähän kehitykseen ennakoivasti ja kokonaisvaltaisesti, ovat paremmassa asemassa turvatakseen toimintansa jatkuvuuden ja luottamuksen sidosryhmiensä silmissä.
Ota yhteyttä niin keskustellaan miten voimme auttaa menestymään liiketoiminnan muutoksissa sekä It projekteissa varmistaen menestyksekkään läpiviennin.
