Mikä on DORA?
Digitaalista operatiivista häiriönsietokykyä koskeva asetus — tunnetaan nimellä DORA — on asetus (EU) 2022/2554, jonka Euroopan parlamentti ja neuvosto hyväksyivät 14. joulukuuta 2022. EU julkaisi sen virallisessa lehdessä 27. joulukuuta 2022. Se tuli voimaan 16. tammikuuta 2023 ja sitä sovelletaan täysimääräisesti 17. tammikuuta 2025 alkaen.
DORA käsittelee tiettyä aukkoa EU:n rahoitussääntelyssä. Ennen DORA:a rahoituslaitokset hallitsivat operatiivista riskiä ensisijaisesti varaamalla pääomaa. Tämä lähestymistapa ei kuitenkaan kattanut riittävästi ICT-häiriöitä, jotka voivat vaikuttaa useisiin laitoksiin samanaikaisesti, kun yhteinen teknologiapalveluntarjoaja epäonnistuu. Siksi DORA ottaa käyttöön yhtenäisen kehyksen koko EU:ssa ICT-riskienhallintaan, häiriöilmoituksiin, operatiivisen häiriönsietokyvyn testaukseen ja kolmansien osapuolten teknologiapalveluntarjoajien valvontaan.
Kenen on noudatettava DORA:a?
DORA koskee kahta pääryhmää organisaatioita, jotka osallistuvat tieto- ja viestintäteknologian (ICT) palveluihin rahoitusalalla.
Ensimmäinen ryhmä on rahoitusalan toimijat. Näitä ovat luottolaitokset, maksulaitokset, sähkörahalaitokset, sijoituspalveluyritykset, vakuutus- ja jälleenvakuutusyritykset, kryptoomaisuuspalvelujen tarjoajat, arvopaperikeskukset, keskusvastapuolet ja kauppapaikat muiden asetuksen 2 artiklassa lueteltujen joukossa.
Toinen ryhmä on kolmansien osapuolten ICT-palveluntarjoajat — yritykset, jotka tarjoavat teknologiapalveluja rahoitusalan toimijoille. Tähän ryhmään kuuluvat pilvipalveluntarjoajat, ohjelmistokehittäjät, data-analytiikkayritykset, kyberturvallisuusyritykset, datakeskusten tarjoajat ja kaikki muut palveluntarjoajat, joiden palvelut tukevat säännellyn rahoituslaitoksen toimintaa.
On tärkeää huomata, että DORA kattaa myös EU:n ulkopuolella sijaitsevat ICT-palveluntarjoajat. Jos teknologiayritys Yhdysvalloissa, Yhdistyneessä kuningaskunnassa tai Aasiassa tarjoaa palveluja EU:n säännellyille rahoituslaitoksille, DORA koskee kyseistä suhdetta.
LEI-vaatimus DORA:n mukaisesti
DORA edellyttää, että rahoitusalan toimijat ylläpitävät yksityiskohtaista tietorekisteriä, joka kattaa kaikki niiden kolmansien osapuolten ICT-palveluntarjoajat. Komission täytäntöönpanoasetus (EU) 2024/2956, joka julkaistiin 2. joulukuuta 2024, määrittää tämän rekisterin vakiomallit.
Täytäntöönpanoasetuksen 3 artiklan 5 kohdassa todetaan suoraan:
“Rahoitusalan toimijoiden on käytettävä voimassa olevaa ja aktiivista oikeushenkilötunnistetta (LEI) tai direktiivin (EU) 2017/1132 16 artiklassa tarkoitettua eurooppalaista yksilöivää tunnistetta (‘EUID’), ja jos molemmat tunnisteet ovat saatavilla, molempia näitä tunnisteita, kaikkien sellaisten kolmansien osapuolten ICT-palveluntarjoajiensa tunnistamiseen, jotka ovat oikeushenkilöitä, lukuun ottamatta yksityishenkilöitä, jotka toimivat liiketoimintaominaisuudessa.”
Toisin sanoen jokaisen kolmannen osapuolen ICT-palveluntarjoajan, joka on oikeushenkilö, on oltava tunnistettavissa joko voimassa olevalla ja aktiivisella LEI-koodilla tai EUID:llä. Molempien on oltava voimassa. Rauennut tai vanhentunut LEI ei täytä tätä vaatimusta.
LEI vai EUID — kumpi koskee sinua?
Molemmat tunnisteet täyttävät DORA:n vaatimukset, mutta ne kattavat eri tilanteita. Eron ymmärtäminen auttaa valitsemaan oikein.
LEI (Legal Entity Identifier) on maailmanlaajuisesti tunnustettu 20-merkkinen aakkosnumeerinen koodi, joka perustuu ISO-standardiin 17442. Global Legal Entity Identifier Foundation (GLEIF) hallinnoi maailmanlaajuista LEI-järjestelmää ja tarjoaa kaikki LEI-tiedot julkisesti maailmanlaajuisessa LEI-hakemistossa. LEI kattaa oikeushenkilöt yli 200 lainkäyttöalueella ja sisältää myös omistus- ja määräysvaltaa koskevat tiedot.
EUID (European Unique Identifier) on linkitetty EU:n yritysrekisterien yhteenliittämisjärjestelmään (BRIS). Koska se on yhteydessä yksinomaan EU:n kansallisiin rekistereihin, se kattaa vain EU:n jäsenvaltioissa rekisteröidyt toimijat.
Tässä täytäntöönpanoasetus tekee kriittisen eron: EU:n ulkopuolella sijaitsevat ICT-palveluntarjoajat on tunnistettava käyttämällä vain LEI-koodia. EUID ei yksinkertaisesti ole saatavilla EU:n ulkopuolisille toimijoille. Tämän seurauksena LEI on ainoa pätevä tunniste kaikille EU:n ulkopuolelta toimiville palveluntarjoajille.
EU:ssa sijaitseville palveluntarjoajille kumpi tahansa tunniste toimii. Kuitenkin maailmanlaajuisessa toiminnassa tai palveluntarjoajille, joilla on EU:n ulkopuolista altistumista, LEI on vahvempi valinta sen kansainvälisen tunnustuksen ja laajemman tietokattavuuden vuoksi.
Mitä “voimassa oleva ja aktiivinen” tarkoittaa käytännössä
Täytäntöönpanoasetus edellyttää nimenomaisesti voimassa olevaa ja aktiivista LEI-koodia. Tämä viittaa tilaan, joka näkyy GLEIF:n maailmanlaajuisessa tietokannassa.
LEI, jonka tila on “Issued” (myönnetty), on voimassa oleva ja aktiivinen ja täyttää siten DORA:n vaatimukset. LEI, jonka tila on “Lapsed” (rauennut), on vanhentunut eikä täytä vaatimusta. Rahoitusalan toimijat eivät voi kirjata rauennutta LEI-koodia vaatimustenmukaisena tunnisteena tietorekisteriinsä.
LEI pysyy voimassa yhden vuoden myöntämis- tai viimeisimmästä uusimispäivästä. Sen jälkeen omistajan on uusittava se aktiivisen tilan säilyttämiseksi. Uusimisen yhteydessä myöntävä organisaatio tarkistaa uudelleen toimijan viitetiedot — mukaan lukien virallinen nimi, rekisteröity osoite ja omistusrakenne — virallisista rekisterilähteistä. Tämä prosessi varmistaa, että maailmanlaajuisen LEI-tietokannan tiedot pysyvät tarkkoina ja ajantasaisina.
Voit tarkistaa minkä tahansa LEI-koodin tilan käyttämällä GLEIF:n LEI-hakutyökalua tai LEI System -hakua.
Miksi LEI on käytännön standardi DORA-vaatimustenmukaisuudelle
DORA:n sääntelyviranomaiset valitsivat LEI-koodin, koska se ratkaisee ongelman, jota mikään kansallinen tunniste ei pysty ratkaisemaan: johdonmukainen, rajat ylittävä oikeushenkilöiden tunnistaminen yhdessä maailmanlaajuisesti tunnustetussa muodossa.
Kansalliset yritysrekisterinumerot vaihtelevat merkittävästi maiden välillä, eivät aina ole koneluettavia eivätkä kata EU:n ulkopuolisia toimijoita lainkaan. LEI sen sijaan tarjoaa yhden johdonmukaisen koodin mille tahansa oikeushenkilölle riippumatta siitä, missä se on rekisteröity. Lisäksi, koska LEI-tiedot ovat julkisesti saatavilla ja todennettavissa, rahoituslaitokset voivat tarkistaa palveluntarjoajan tiedot välittömästi pyytämättä asiakirjoja.
Rahoituslaitoksille, jotka hallinnoivat useita ICT-toimittajia eri maissa, tämä standardointi vähentää merkittävästi DORA-vaatimustenmukaisuuden hallinnollista monimutkaisuutta. Yksittäinen LEI-haku tuottaa vahvistetut tiedot palveluntarjoajan virallisesta nimestä, rekisteröintitiedoista ja omistusrakenteesta — kaikki nämä ovat suoraan merkityksellisiä DORA:n kolmansien osapuolten riskienhallintavelvoitteille.
ICT-palveluntarjoajille voimassa olevan LEI-koodin omistaminen tekee rahoituslaitosasiakkaille yksinkertaiseksi sisällyttää heidät oikein DORA-rekisteriinsä. Palveluntarjoajat, joilla ei ole voimassa olevaa LEI-koodia, luovat sen sijaan vaatimustenmukaisuusaukkoja asiakkailleen ja vaarantavat siten liikesuhteen. GLEIF tarjoaa lisäkontekstia siitä, miten LEI tukee tätä katsauksessaan LEI:n sääntelykäytöstä.
Mitä ICT-palveluntarjoajien tulisi tehdä nyt
Tarkista, onko sinulla voimassa oleva LEI. Jos tarjoat ICT-palveluja mille tahansa EU:n säännellylle rahoituslaitokselle, asiakkaasi on tunnistettava sinut DORA-tietorekisterissään. Ota heihin yhteyttä varmistaaksesi, ovatko he kirjanneet LEI-koodisi ja onko se tällä hetkellä aktiivinen.
Rekisteröi LEI, jos sinulla ei ole sellaista. Prosessi on täysin digitaalinen ja valmistuu 24 tunnissa useimmilla lainkäyttöalueilla. Sinun on toimitettava yrityksesi virallinen nimi, rekisteröity osoite ja rekisterinumero. Useimmissa tapauksissa järjestelmä tarkistaa nämä tiedot automaattisesti virallisista yritysrekistereistä. LEI System on GLEIF:n akkreditoima rekisteröintipalvelu. Voit aloittaa LEI-rekisteröinnin tänään.
Uusi LEI-koodisi, jos se on rauennut. Rauennut LEI on uusittava ennen kuin asiakkaasi voivat käyttää sitä DORA-rekisterissä. Uusiminen palauttaa “Issued”-tilan ja vahvistaa uudelleen yrityksesi viitetiedot. Voit uusia LEI-koodisi nopeasti LEI Systemin kautta.
Pidä LEI-tietosi ajan tasalla. Jos yrityksesi nimi, rekisteröity osoite tai omistusrakenne on muuttunut, päivitä LEI-viitetietosi vastaavasti. Vanhentuneet LEI-tiedot aiheuttavat vaatimustenmukaisuusongelmia rahoituslaitosasiakkaillesi, kun he toimittavat rekisterinsä kansallisille viranomaisille.
DORA laajemman EU-sääntelyn yhteydessä
DORA ei toimi eristyksissä. Se sijoittuu muiden EU-asetusten rinnalle, jotka myös käyttävät LEI-koodia oikeushenkilöiden vakiotunnisteena, mukaan lukien MiFID II -transaktioraportointi, EMIR-johdannaisraportointi ja EU:n pikamakasuasetus. Rahoitusalan toimijoille, jotka jo käyttävät LEI-koodeja transaktioraportoinnissa, DORA lisää siten uuden ulottuvuuden täysin uuden järjestelmän sijaan.
Lisäksi DORA liittyy suoraan NIS2-direktiiviin (direktiivi (EU) 2022/2555) kyberturvallisuudesta. DORA toimii alakohtaisena säädöksenä NIS2:n mukaisesti rahoitusalan toimijoille. Voit lukea lisää NIS2:sta ja LEI-koodista NIS2 ja LEI -artikkelista tällä sivustolla. Laajemman yleiskatsauksen siitä, miten LEI toimii EU:n rahoitussääntelyssä, saat artikkelista Miten LEI toimii käytännössä EU:ssa.
DORA ja LEI — keskeiset tiedot yhdellä silmäyksellä
Mikä on DORA? Asetus (EU) 2022/2554 rahoitusalan digitaalisesta operatiivisesta häiriönsietokyvystä.
Milloin DORA:a aletaan soveltaa? 17. tammikuuta 2025.
Kenen on noudatettava? EU:n rahoitusalan toimijoiden ja niiden kolmansien osapuolten ICT-palveluntarjoajien, mukaan lukien EU:n ulkopuoliset palveluntarjoajat, jotka palvelevat EU:n rahoituslaitoksia.
Mitä DORA edellyttää ICT-palveluntarjoajan tunnistamiseen? Voimassa olevan ja aktiivisen LEI-koodin tai EUID:n, kuten komission täytäntöönpanoasetuksessa (EU) 2024/2956 määritetään.
Mitä tunnistetta sovelletaan EU:n ulkopuolisiin ICT-palveluntarjoajiin? Vain LEI-koodia. EUID kattaa vain EU:ssa rekisteröidyt toimijat.
Mikä LEI-tila täyttää DORA:n vaatimukset? Vain “Issued” (myönnetty). “Lapsed” (rauennut) LEI ei täytä vaatimusta.
Mistä voin rekisteröidä tai uusia LEI-koodin? GLEIF:n akkreditoidun rekisteröintipalvelun, kuten LEI Systemin, kautta.