Elämää määräajan jälkeen: DORA-vaatimustenmukaisuuden muuttaminen toiminnan vakaudeksi

Kirjailija: Rene Millman • 13 tammikuu 2026

Tammikuun 2025 paniikki on todellakin ohi. Mutta finanssialan menestyneimmille johtajille todellinen työ ja todellinen palkinto ovat vasta alkaneet. Tutkimme, miten Digital Operational Resilience Act on siirtänyt keskustelun "sakkojen välttämisestä" "tulojen suojaamiseen".

Vaikka monet pitivät Digital Operational Resilience Act (DORA) -lakia vaatimustenmukaisuuden taakkana, viimeiset kaksitoista kuukautta ovat paljastaneet sen todellisen tarkoituksen: se on toimintavarmuuden suunnitelma. Näemme nyt konkreettisia todisteita siitä, että DORA:n valvomat erityismekanismit, nimittäin tiukka digitaalinen testaus ja syvällinen toimitusketjun kartoitus, tekevät enemmän kuin tyydyttävät sääntelyviranomaisia. Ne estävät tuloja tappavia käyttökatkoksia.

Ymmärtääksemme miksi, meidän on tarkasteltava kulttuurimuutosta, joka tapahtui johtokunnassa.

Katkokset, joita ei tapahtunut

On vaikea uskoa, että 17. tammikuuta päättyneestä määräajasta on kulunut jo kokonainen vuosi. Palaa takaisin vuoden 2024 loppupuolelle: kiihkeät kuiluanalyysit, myöhään illalla vietetyt ICT-alan kolmansien osapuolten sopimusten tarkastelut ja kiire kartoittaa kriittisiä toimintoja.

Monille se oli maaliviiva. Mutta vuoden 2025 ”voittajille” se oli uuden aktiivisen puolustuksen aikakauden lähtölaukaus.

”Monet organisaatiot pitävät DORAa pelkästään sääntelyyn liittyvänä esteenä”, sanoo Chris Newton-Smith, ISMS.onlinen toimitusjohtaja. ”Mutta tärkein muutos, jonka yritysten tulisi tehdä, on esittää oikeat kysymykset vaatimustenmukaisuudestaan. Liian monet keskittyvät kysymykseen ’Olemmeko vaatimustenmukaisia?’, kun arvokkaampi kysymys on ’Auttaako vaatimustenmukaisuutemme meitä todella jatkamaan toimintaa, kun jokin menee pieleen?’”

Kuten Newton-Smith huomauttaa, kun ajattelutapaa muutetaan, ”vaatimustenmukaisuus lakkaa hyvin nopeasti olemasta pelkkä rasti ruutuun -harjoitus ja alkaa aktiivisesti suojella organisaatiota.”

DORAn kenties merkittävin vaikutus on ollut "näkymättömät voitot", sähkökatkokset, joita ei koskaan tapahtunut.

Ymmärtääksemme tämän muutoksen laajuuden meidän on tarkasteltava alan ajattelutapaa juuri silloin, kun säännöt tulivat voimaan. Etienne Bouet, konsulttiyhtiö Wavestonen vanhempi johtaja, varoitti tammikuussa 2025, että teollisuus vaaransi asian ohittamisen, jos se keskittyisi vain paperityöhön.

”DORAa ei pitäisi nähdä pelkästään vaatimustenmukaisuuden harjoittamisena”, Bouet totesi tuolloin. ”Kyllä, on olemassa sääntelyvaatimuksia, jotka on täytettävä, mutta todellinen haaste on selviytymiskyvyn rakentamisessa… Pelkkä vaatimustenmukaisuus ei riitä, jos se ei johda aitoon parannukseen sietokyvyssä.”

Ne, jotka ottivat neuvon vaarin, korjaavat nyt sen hedelmät. Viimeisten kahdentoista kuukauden aikana olemme nähneet organisaatioiden siirtyvän "paperikilvestä" eli turvallisiksi väittävistä käytännöistä aktiivisen puolustuksen "rautakupoliin". Tämä ei ollut valinnaista. DORA-vaatimus osoittaa, miten toivutaan vakavasta ICT-häiriöstä, pakotti tiimit testaamaan teorioitaan.

Tuloksena on maisema järjestelmistä, jotka todella toipuvat. Kun pienet pilvikonfiguraatiovirheet iskivät maksupalveluntarjoajiin aiemmin tänä vuonna, DORA-standardia noudattavat pankit eivät jääneet pulaan. Niiden redundanssiprotokollat, jotka oli testattu ja hiottu DORAn digitaalisen toiminnan sietokyvyn testauspilarin mukaisesti, käynnistyivät automaattisesti.

Uusi kypsyyden aikakausi

Tämä muutos merkitsee alan kypsymistä. Erityisesti FinTech-sektoria leimasi vuosien ajan nopea kasvu, usein vakauden kustannuksella. DORA on käytännössä pakottanut "aikuisten" keskusteluun riskeistä.

Vuoden 2025 puoliväliin mennessä tämän siirtymän rasitus oli näkyvissä. Väestönlaskenta tutkimus Heinäkuussa 2025 julkaistu tutkimus paljasti, että kuuden kuukauden kuluttua järjestelmän käyttöönotosta 96 % EMEA-alueen rahoitusorganisaatioista koki edelleen, ettei niiden datan sietokyky "ole riittävän hyvä".

Tuo tilasto korostaa markkinoiden jakautumista. Toisaalta ne 96 %, joilla oli vaikeuksia asentaa vanhojen järjestelmien vikasietoisuutta. Toisella puolella olivat ketterät "voittajat", jotka käyttivät DORAa suunnitelmana arkkitehtuurinsa modernisointiin.

Voittajien kannalta hallitusta kiinnostaa nyt "toimi nopeasti ja riko asiat" -ajattelun loppu. Esittäessään vuoden lopun raportteja tietoturvajohtajat eivät enää luettele vain vaatimustenmukaisuuden tilaa. He listaavat arvion säästetystä tuotosta, koska järjestelmät pysyivät toiminnassa kilpailijoiden ollessa huonot.

Toimitusketju: Yhteenliitäntöjen "palapeli"

Jos vuosi 2024 oli toimittajiin "luottamisen" vuosi, niin vuodet 2025 ja 2026 ovat olleet heidän seurannan vuosia. Kolmansiin osapuoliin riippuvuus oli aina tunnettu riski, mutta DORA pakotti organisaatiot mittaamaan sitä.

Digitaalisen identiteetin alusta itsmen sisäisen turvallisuuden johtaja Olaf Jonkers korosti tätä vastuullisuuden muutosta jo helmikuussa 2025.

”DORA varmistaa, että finanssipalvelulaitoksille palveluja tarjoavat ICT-palveluntarjoajat ovat asianmukaisesti vastuussa vahvan sisäisen hallinnon ylläpitämisestä”, Jonkers sanoo. selitti”Tämä on erittäin tärkeää, koska finanssilaitosten kasvava riippuvuus ICT-palveluntarjoajista tarkoittaa, että järjestelmän kaatuminen tai tietomurto voi yhtäkkiä supistaa toiminnan pieneksi osaksi.”

DORAn keskittyminen ICT-alan kolmannen osapuolen riskienhallintaan (TPRM) pakotti organisaatiot kartoittamaan nämä riippuvuudet. Tietoturvatiimit havaitsivat todennäköisesti, että "kriittinen" toiminto oli riippuvainen toimittajasta, joka puolestaan oli riippuvainen toisesta toimittajasta, jolla ei ollut varasuunnitelmaa.

Alkuperäinen kartoitus oli tuskallinen. Mutta toiminnallinen hyöty on ollut valtava. Emme enää ylläty neljännen osapuolen vioista. Aiemmin toimittajan toimintakatkos oli pätevä tekosyy: "Se ei ole meidän vikamme, se on pilvipalveluntarjoajan." Tämä tekosyy ei enää toimi asiakkaiden keskuudessa, eikä varsinkaan sääntelyviranomaisten. DORAn ansiosta exit-strategiat ja usean toimittajan järjestelmät kriittisille toiminnoille ovat nyt vakiokäytäntö.

Vaatimustenmukaisuus arvon ajurina

Tämän "määräaikojen jälkeisen" maailman vaarana on omahyväisyys. Riskimaisema muuttuu päivittäin; jos resilienssidokumentaatio on staattista, organisaatio ei ole jo vaatimusten mukainen.

Olemme nähneet monien tiimien kamppailevan viimeisen vuoden aikana, koska he kohtelivat DORAa "kertakäyttöisenä" projektina. He rakensivat tietokantarekisterinsä Exceliin, arkistoivat sen, eivätkä ole sen jälkeen katsoneet sitä. Nämä tiedot ovat nyt vanhentuneita.

”Ensisijaisena tavoitteena on pitää vaatimustenmukaisuus ’elossa’ ja toiminnassa”, Newton-Smith neuvoo. ”Näemme, että DORAn kaltaiset viitekehykset tarjoavat yrityksille eniten arvoa, kun niiden johdolla on reaaliaikainen näkymä vaatimustenmukaisuuteen… Tämä tarkoittaa, että yritysten on siirryttävä staattisista dokumenteista ja manuaalisesta seurannasta työkaluihin, jotka tarjoavat jatkuvaa valvontaa.”

Dynaamisen operatiivisen resilienssin hallinta staattisilla työkaluilla ei ole enää mahdollista. Tietoturvapäälliköt tarvitsevat reaaliaikaisen kuvan riskeistä. Jos avaintoimittajan tietoturvasertifikaatti vanhenee, riskirekisteri tulee päivittää välittömästi.

Resilienssi on tuloa

Kyberturvallisuuden myynnin "pelon, epävarmuuden ja epäilyksen" (FUD) aikakausi on ohi. DORA on työntänyt alan resilienssin aikakauteen arvonluonnin ajurina.

Vuonna 2026 menestyvät organisaatiot eivät ole niitä, jotka vain raapivat läpipääsyn viime tammikuussa. Ne ovat niitä, jotka käyttivät kehystä toimintansa vahvistamiseen. Ne kokevat vähemmän seisokkeja, hallitsevat toimittajariskejä ennakoivasti ja nukkuvat paremmin öisin tietäen, että heidän elvytyssuunnitelmansa todella toimivat.

Ymmärtääkseen tämän muutoksen todellisen arvon johtajien tulisi tarkastella tapahtumalokejaan viimeisen kuuden kuukauden ajalta. Tunnistamalla DORA:an käyttöönotettujen hallintalaitteiden havaitsemat "läheltä piti -tilanteet" ja laskemalla mahdolliset kustannukset, jos nämä tapaukset olisivat kärjistyneet täydellisiksi sähkökatkoksiksi, taloudellinen todellisuus tulee selväksi. Tämä luku, tapahtumatta jääneen katastrofin hinta, on vaatimustenmukaisuuden todellinen arvo. Määräaika on ohi, mutta vakauden aikakausi on täällä niiden käytettävissä, joilla on työkalut nauttia siitä.

Rene Millman

Rene Millman on monipuolinen freelance-kirjoittaja ja lähetystoiminnan harjoittaja, joka on erikoistunut kyberturvallisuuteen, tekoälyyn, IoT- ja pilviteknologioihin. GigaOmin avustavana analyytikkona hän tuo mukanaan laajan kokemuksen entisenä Gartner-analyytikkona, joka keskittyy infrastruktuurimarkkinoihin. Asiantuntijuudestaan tunnettu Rene Millman on esiintynyt usein televisiossa jakaen näkemyksiä ja analyyseja teknologian trendeistä ja jokapäiväistä elämäämme muokkaavista vaikutusvaltaisista yrityksistä. Pysy ajan tasalla Rene Millmanin oivalluksista seuraamalla häntä Twitterissä.

Lue lisää Rene Millmanilta

tietoverkkoturvallisuus 13 elokuu 2024

joukkolakon katkos on tapaus, jolla vahvistettiin välikohtauksia iso 27001 -bannerilla

CrowdStrike-katkos: tapa tehostaa tapauksiin reagointia ISO 27001 -standardilla

Heinäkuussa 2024 CrowdStriken epäonnistunut ohjelmistopäivitys johti merkittävään maailmanlaajuiseen IT-katkokseen, joka vaikutti lukuisiin organisaatioihin, mukaan lukien lentoyhtiöihin,...

Rene Millman

tietoverkkoturvallisuus 16 heinäkuu 2024

välttää seuraavat lääketieteelliset kyberturvallisuusoppitunnit yrityksille

Seuraavan MediSecuren välttäminen: Kyberturvallisuusoppitunteja yrityksille

MediSecuren kyberturvallisuuskatastrofi toimii karuna herätyksenä yrityksille: laiminlyö digitaalinen puolustus omalla vastuullasi tai vaarana on joutua...

Rene Millman

tietoverkkoturvallisuus 11 kesäkuu 2024

mitä voidaan tehdä kansalliselle haavoittuvuustietokannan kriisibannerille

Mitä kansalliselle haavoittuvuustietokantakriisille voidaan tehdä?

Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) on pulassa, ja tällä on vakavia seurauksia kyberturvallisuustiimeille maailmanlaajuisesti. ...

Rene Millman