BaFin julkaisi ohjeet DORA-asetuksen soveltamiseen
Saksan finanssimarkkinavalvontaviranomainen BaFin on antanut uudet ohjeet DORA-asetuksen (Digital Operational Resilience Act) soveltamiseen. Tavoitteena on auttaa finanssialan yrityksiä valmistautumaan sääntelyn muutoksiin, jotka astuvat voimaan tammikuussa 2025.
Saksan finanssimarkkinavalvontaviranomainen BaFin julkaisi 8. heinäkuuta 2024 ohjeistuksen, joka selventää digitaalisen toimintakyvyn ja tietotekniikkapalveluntarjoajien riskienhallinnan (DORA) täytäntöönpanoa.
Ohjeet on suunnattu erityisesti BaFinin valvonnassa oleville yrityksille, jotka kuuluvat BAIT- ja VAIT-säännösten piiriin ja joiden täytyy noudattaa DORA-asetuksen artikloiden 5–15 mukaisia tietotekniikkajärjestelmien riskienhallinnan vaatimuksia. Tavoitteena on tukea finanssialan yrityksiä DORA-asetuksen käyttöönotossa ja valmistautumisessa sen soveltamiseen 17. tammikuuta 2025 alkaen.
BaFinin ohjeet pohjautuvat kesäkuukausina 2024 perustettujen kuuden työryhmän, joihin osallistui teollisuuden edustajia sekä BaFinin ja Saksan keskuspankin (Deutsche Bundesbank) edustajia, työhön. Vuoden 2023 aikana nämä ryhmät vertasivat DORA-asetuksen vaatimuksia tietotekniikkajärjestelmien riskienhallinnalle ja kolmansien osapuolten riskeille verrattuna olemassa oleviin BAIT- ja VAIT-säännöksiin.
Julkaisu sisältää myös kattavan luettelon pakollisista sopimusehdoista, jotka finanssialan yritysten on sovittava tietotekniikkapalveluntarjoajien kanssa DORA-asetuksen, sekä siihen liittyvien sääntelyteknisten standardien (RTS) mukaisesti. Nämä ehdot koskevat muun muassa kriittisten toimintojen alihankintaa ja tietotekniikkapalveluiden ehtoja.
BaFinin ohjeistuksessa tuodaan esiin useita keskeisiä eroavaisuuksia suhteessa aiempiin BAIT- ja VAIT-säännöksiin. DORA-asetus korostaa tietotekniikkajärjestelmien riskienhallinnan ja digitaalisen toimintakyvyn olevan yhtiön johdon vastuulla. Vaatimukset tietojen tunnistamiselle, analysoinnille ja hallinnalle kiristyvät, ja erityisesti kolmansien osapuolten riskienhallintaa, mukaan lukien alihankinnan ja sopimusvaatimusten, koskevat muutokset ovat merkittäviä. Vaikka joitain alueita, kuten identiteetti- ja käyttöoikeuksien hallintaa, ei odoteta aiheuttavan suuria muutoksia, yleisesti DORA-asetuksen vaatimukset ovat yksityiskohtaisempia kuin aiemmat, periaatepohjaiset säännökset.