Suomalaisten vakuutusyhtiöiden suhtautuminen DORA-asetukseen
Harkonmaa, Elina (2025)
2025
Kauppatieteiden kandidaattiohjelma - Bachelor's Programme in Business Studies
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-02-26
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202502262439
https://urn.fi/URN:NBN:fi:tuni-202502262439
Tiivistelmä
Digitalisaatio ja teknologian nopea kehitys on muokannut merkittävästi finanssialaa, mukaan lukien vakuutussektoria. Digitaalisten palveluiden sekä tietojärjestelmien käyttö on lisääntynyt alalla huomattavasti ja nykypäivänä myös finanssialan toiminta on riippuvaista digitaalisesta toimintaympäristöstä. Vaikka finanssialan digitalisoituminen on ollut pääasiassa positiivinen kehityssuunta, aiheuttaa se enenevissä määrin myös tietoturvariskejä. Suuri digitaalinen murros lisää digitaalista haavoittuvuutta ja samalla mahdollisten negatiivisten riskien seuraukset kasvavat, kun liiketoiminta on lähes kokonaan riippuvaista teknologian toimivuudesta. Euroopan komissio havahtui näihin kasvaviin riskeihin ja ehdotti, että kaikkien finanssialalla toimivien yritysten tulee varmistaa oma kestävyytensä kaikentyyppisiä tieto- ja viestintäteknologiaan liittyviä häiriöitä ja uhkia kohtaan.
Euroopan parlamentti ja Euroopan unionin neuvosto vastasivat näihin huoliin digitalisaation aiheuttamista riskeistä ja julkaisi joulukuussa 2022 asetuksen finanssialan digitaalisesta häiriönsietokyvystä. Asetus tunnetaan lyhenteellä DORA, joka tulee englannin kielen sanoista ”Digital Operational Resilience Act”. Asetus on osa Euroopan unionin digitaalisen rahoituksen toimenpidepakettia ja sen soveltaminen aloitetaan 17 tammikuuta 2025.
Tässä kandidaatintutkielmassa tarkastellaan suomalaisten vakuutusyhtiöiden edustajien suhtautumista uuteen DORA-asetukseen. Tutkielmassa pyritään lisäksi kartoittamaan konkreettisia muutoksia, joita asetuksen soveltaminen tuo vakuutusyhtiöihin. Tutkimuskysymykset ovat 1. Miten DORA-asetuksen käyttöönotto koetaan vakuutusyhtiöissä? ja 2. Mitä konkreettisia toimenpiteitä DORA-asetukseen vastaaminen on vaatinut vakuutusyhtiöiltä?
Tutkielman tekemisessä on hyödynnetty kvalitatiivisia tutkimusmenetelmiä. Tutkimusaineisto on kerätty puolistrukturoiduilla teemahaastatteluilla ja haastateltaviksi valikoitui kolme asiantuntijaa. Kaksi haastateltavista edusti toisistaan erillisiä vakuutusyhtiöitä ja yksi haastateltavista edusti valvovaa viranomaista. Kerätyn aineiston analysointiin sovellettiin aineistolähtöistä sisällönanalyysia.
Tutkielman tuloksista ilmenee, että DORA-asetus ei muokkaa suomalaisten vakuutusyhtiöiden toimintaa kovin suuresti. Uuden asetuksen implementointi osaksi yhtiön toimintaa on vaatinut paljon työtä, mutta asetuksen tuoma yhteinen hyvä nähdään vakuutusyhtiöissä positiivisessa valossa. Suurimpana positiivisena muutoksena vakuutusyhtiöissä nähtiin asetuksen vaatimukset kolmansia osapuolia kohtaan. Asetuksen myötä finanssialan yhtiöille digitaalisia palveluita tarjoavien yritysten on kannettava suurempi vastuu tuotteidensa digitaalisesta turvallisuudesta. Haastateltavat näkevät asetuksen pääosin toimivana ja suurempia haasteita ei asetuksesta haastatteluissa noussut esille. Yhdessä yrityksessä DORA-asetuksen mukaan laadittu tietojenvaihtorekisteri koettiin hieman kömpelöksi. Haastatteluissa nousi esille myös huoli siitä, kuinka tietojenvaihtorekisteri, jonne yhtiöiden täytyy jakaa arkaluonteista tietoa yhtiönsä digitaalisista haavoittuvuuksista, pystytään suojaamaan mahdollisilta digitalisaation aiheuttamilta uhilta.
Euroopan parlamentti ja Euroopan unionin neuvosto vastasivat näihin huoliin digitalisaation aiheuttamista riskeistä ja julkaisi joulukuussa 2022 asetuksen finanssialan digitaalisesta häiriönsietokyvystä. Asetus tunnetaan lyhenteellä DORA, joka tulee englannin kielen sanoista ”Digital Operational Resilience Act”. Asetus on osa Euroopan unionin digitaalisen rahoituksen toimenpidepakettia ja sen soveltaminen aloitetaan 17 tammikuuta 2025.
Tässä kandidaatintutkielmassa tarkastellaan suomalaisten vakuutusyhtiöiden edustajien suhtautumista uuteen DORA-asetukseen. Tutkielmassa pyritään lisäksi kartoittamaan konkreettisia muutoksia, joita asetuksen soveltaminen tuo vakuutusyhtiöihin. Tutkimuskysymykset ovat 1. Miten DORA-asetuksen käyttöönotto koetaan vakuutusyhtiöissä? ja 2. Mitä konkreettisia toimenpiteitä DORA-asetukseen vastaaminen on vaatinut vakuutusyhtiöiltä?
Tutkielman tekemisessä on hyödynnetty kvalitatiivisia tutkimusmenetelmiä. Tutkimusaineisto on kerätty puolistrukturoiduilla teemahaastatteluilla ja haastateltaviksi valikoitui kolme asiantuntijaa. Kaksi haastateltavista edusti toisistaan erillisiä vakuutusyhtiöitä ja yksi haastateltavista edusti valvovaa viranomaista. Kerätyn aineiston analysointiin sovellettiin aineistolähtöistä sisällönanalyysia.
Tutkielman tuloksista ilmenee, että DORA-asetus ei muokkaa suomalaisten vakuutusyhtiöiden toimintaa kovin suuresti. Uuden asetuksen implementointi osaksi yhtiön toimintaa on vaatinut paljon työtä, mutta asetuksen tuoma yhteinen hyvä nähdään vakuutusyhtiöissä positiivisessa valossa. Suurimpana positiivisena muutoksena vakuutusyhtiöissä nähtiin asetuksen vaatimukset kolmansia osapuolia kohtaan. Asetuksen myötä finanssialan yhtiöille digitaalisia palveluita tarjoavien yritysten on kannettava suurempi vastuu tuotteidensa digitaalisesta turvallisuudesta. Haastateltavat näkevät asetuksen pääosin toimivana ja suurempia haasteita ei asetuksesta haastatteluissa noussut esille. Yhdessä yrityksessä DORA-asetuksen mukaan laadittu tietojenvaihtorekisteri koettiin hieman kömpelöksi. Haastatteluissa nousi esille myös huoli siitä, kuinka tietojenvaihtorekisteri, jonne yhtiöiden täytyy jakaa arkaluonteista tietoa yhtiönsä digitaalisista haavoittuvuuksista, pystytään suojaamaan mahdollisilta digitalisaation aiheuttamilta uhilta.
Kokoelmat
- Kandidaatintutkielmat [8996]