DORA (*) asettaa yritysjohdon vastuuseen aktiivisesta ja kokonaisvaltaisesta ICT-riskienhallinnasta. Tämä sisältää digitaalisen toiminnan toimitusvarmuuden strategian määrittämisen, sen hyväksymisen ja toimeenpanon.

Riskisalkunhallinta on yksi ennakoivista ja havaitsevista kontrolleista vaatimusten hallintaan

DORA on sitovaa lainsäädäntöä ja antaa viranomaisille oikeuden määrätä hallinnollisia seuraamuksia, sakkoja sekä vaatia korjaavia toimenpiteitä asetuksen laiminlyönnistä tai rikkomisesta.

Organisaatioiden on kehitettävä testausmenetelmiään ja luotava liiketoimintavaikutusten analyysi, joka pohjautuu merkittävien ja vakavien liiketoiminnan häiriöiden eri skenaarioihin. Tämä auttaa arvioimaan riskejä ja niiden mahdollisia vaikutuksia.

Rahoitusalan toimijoiden tulee ottaa käyttöön ICT-riskienhallintaan suunniteltu kattava toimintajärjestelmä ja luoda ja ylläpitää toimintavarmoja ICT-ratkaisuja ja työkalua esim. Thinking Portfolio Riskisalkku ja siten minimoida ICT-palveluihin kohdistuvien riskien vaikutuksia.

 

Organisaatioiden tulee tunnistaa, luokitella ja kuvata kriittiset palvelut, toiminnot ja avainresurssit

Lisäksi tulee jatkuvasti ylläpitää tilannekuvaa kaikista ICT-riskien lähteistä ja kuvata ja määritellä keinot, joilla riskeiltä voidaan suojautua ja joilla niitä voidaan ehkäistä. On tärkeää varmistaa, että poikkeavaan toimintaa reagoidaan nopeasti.

Organisaation tulee määritellä erityiset ja kattavat toimintaperiaatteet takaamaan liiketoiminnan jatkuvuus sekä toimintasuunnitelmat mahdollisten katastrofien ja niistä selviämisen varalle. Toimintasuunnitelmien sekä niihin liittyvien toimintatapojen ja kontrollien toimivuus tulee testata määrävälein (vuosittain).

 

On myös tärkeää määritellä toimintatavat ja menettelyt, jotka auttavat parantamaan toimintaa – niin sisäisistä kuin ulkoisistakin – ICT-palveluihin liittyvissä häiriötilanteissa. Riskisalkku on hyvä ratkaisu toiminnan jatkuvaan kehittämiseen ja parantamiseen.

Riskisalkun avulla voidaan tukea ja johtaa myös ICT-palveluiden häiriötilanteiden luokittelua, kirjaamista ja raportointia

Riskisalkunhallinnalla voidaan myös ylläpitää näkyvyyttä ulkoistettujen palveluiden tilannekuvasta ja testauksesta sekä palvelukuvauksien ja sopimusten katselmoinnista.

Riskisalkun toiminnallisuuksia ovat mm.:

  1. Riskienhallintaprosessi (Riskin tunnistaminen, hyväksyntä, analyysi, vaikuttavuuden arviointi, hallintatoimet ja riskin elinkaaren seuranta ja raportointi)
  2. Riskienhallinta toimenpiteiden hallinta (Mitigation Actions, Risk Response)
  3. Liiketoimintariskien vaikutusten arviointi (Risk Impact Analysis)
  4. Riskimittarien seuranta ja raportointi (KRI – Key Risk Indicators)
  5. Riskitilannekuvan kollektiivinen arviointi (Risk Polls)
  6. Riskien riippuvuuksien hallinta (Risk Dependency)
  7. Toteutuneiden riskien hallinta (Occurred Risk Management)
  8. Jatkuvuussuunnittelu ja tuki
  9. Riskien kytkeminen kaikkiin muihin salkkuihin kuten mm. projekti-, idea-, resurssi-, investointi-, tuotekehitys-, sovellus- ja palvelusalkkuihin
  10. Riskien monipuolinen raportointi (Risk Reporting & Dashboards)

 

*) Digital Operational Resilience Act (DORA) on EU:n sääntelykehystys, jonka tavoite on vahvistaa i digitaalista toimintakykyä ja vastustuskykyä rahoitussektorilla. DORA-asetus tuli voimaan 16.1.2023. Siirtymäajan jälkeen rahoitusalan toimijoiden odotetaan noudattavan asetuksen vaatimuksia vuoden 2025 alkuun mennessä.