Lausunto Finanssivalvonnan määräyksien ja ohjeiden 1/2012, 8/2014, 6/2015, 8/2016 ja 1/2019 muuttamista koskevaan lausuntopyyntöön

FIVA/2024/1666

Finanssivalvonta on 16.1.2026 pyytänyt lausuntoa otsikossa mainituista määräys- ja ohjeluonnoksista. Finanssiala ry (FA) esittää lausuntonaan seuraavaa.

Yleisiä kommentteja

1. FA pitää tärkeänä, että Finanssivalvonnan määräykset ja ohjeet sekä niissä käytettävä termit noudattavat täsmällisesti DORA-asetusta ja muuta asian kannalta merkityksellistä unionin lainsäädäntöä.
   
   
2. FA korostaa sen tärkeyttä, ettei Finanssivalvonnan määräyksillä ja ohjeilla kavenneta DORA-asetuksen ja muun unionin lainsäädännön sallimaa riskiperusteista liikkumavaraa tai vaaranneta sen oikeasuhtaista soveltamista.
   
   
3. FA pitää myös tarpeellisena varmistaa, ettei DORA-asetuksen tai NIS2-direktiivin vaatimuksia välillisesti laajenneta Finanssivalvonnan määräyksillä ja ohjeilla työeläkealan toimijoihin

Määräykset ja ohjeet 1/2012 – Ulkoistaminen rahoitussektoriin kuuluvissa valvottavissa

4. FA pitää tärkeänä, että ulkoistamista koskevien määräysten ja ohjeiden soveltamisala sekä niissä käytettävät termit määritellään täsmällisesti, jotta viranomaisille ja valvottaville on selvää, millaisia järjestelyjä on pidettävä sääntelyn piiriin kuuluvina ulkoistuksina ja mitkä jäävät sen ulkopuolelle.
   
   
5. Ehdotetuissa määräyksissä ja ohjeissa käytetään käsitettä ”merkittävä toiminto”, mikä on laajempi kuin DORA-asetuksen artikloissa 28–30 käytetty ”kriittinen ja tärkeä toiminto”. FA pitää tärkeänä, että määräysten ja ohjeiden teksti yhdenmukaistetaan DORA-asetuksen tekstin kanssa ja ”merkittävän toiminnon” sijaan niissä käytetään johdonmukaisesti termiä ”kriittinen ja tärkeä toiminto”.
   
   
6. LUKU 4.3, KOHTA 17. Muutoshistoriassa (luku 9, s. 22) todetaan: ”muutettu 4.3 luvun kohtaa 17.” FA kiinnittää huomiota siihen, ettei luvussa 4.3 ole kohtaa 17 ja pitää tarpeellisena asian tarkentamista.
   
   
7. LUKU 4.5: muutoshistoriassa (luku 9, s. 22) todetaan: ”muutettu 4.5 poistamalla TVT-ulkoistukset tämän ohjeen piiristä.” Luvussa 4.5 ei kuitenkaan näy muutosmerkintöjä tai muita viitteitä tällaisesta poistosta. FA pitää tarpeellisena asian tarkentamista.

Määräykset ja ohjeet 8/2014 – Operatiivisen riskin hallinta rahoitussektorin valvottavissa

8. LUKU 1.1. Nykyisin määräysten ja ohjeiden soveltamisalaan kuuluvat vain ”vaihtoehtorahastojen hoitajat, jotka tarjoavat sijoituspalvelua”. Ehdotuksessa soveltamisalaan on kuitenkin määrätty ”toimiluvalliset vaihtoehtorahastojen hoitajat”. FA pitää tarpeellisena soveltamisalan tarkentamista ja korjaamista, koska luvun 2.4 määräyksenantoperusteisiin ei sisälly lakia vaihtoehtorahastojen hoitajista.
   
   
9. LUKU 1.3. Määritelmissä mainitaan esimerkkeinä kontrolleista täsmäytykset, ”neljän silmän periaate” sekä vastapuolten vahvistusten vertailu omaan sopimusdokumentaatioon. FA pitää esimerkkejä vanhentuneina ja ne tulisi päivittää vastaamaan nykyistä digitaalista ympäristöä ja sääntelyä, joka vaatii finanssialan toimijoita implementoimaan automaattisia, tehokkaita ja pysäyttäviä kontrolleja järjestelmiin ja prosesseihin.
   
   
10. LUKU 1.3. Määräyksissä ja ohjeissa käytetty toimivan johdon määritelmä perustuu nykyisen luottolaitoslain 1 luvun 20 §:ään. Pykälää ollaan muuttamassa, joten FA ehdottaa, että määritelmä muutetaan valtiovarainministeriön mietinnön 2025:24 mukaisesti muotoon: ”Toimivalla johdolla tarkoitetaan liiketoiminnasta vastaavaan johtoon kuuluvan henkilön ylimmän johdon välittömässä alaisuudessa toimivaa henkilöä, joka vastaa luottolaitoksen päivittäisestä johtamisesta.”
    
    
11. LUKU 4.1, KOHTA 1. Kohta kuuluu seuraavasti: ”(1) Tätä lukua 4 sovelletaan valvottaviin.” Kyse lienee kirjoitusvirheestä ja teksti pitäisi muuttaa muotoon ”(1) Tätä lukua 4 sovelletaan luvun 1.1 mukaisiin valvottaviin.”
    
    
12. LUKU 4.5, KOHTA 30. Finanssivalvonta suosittaa, että operatiivisen riskin aiheuttamien tappioiden seuranta järjestetään kohdassa annetun taulukon mukaisesti. FA kiinnittää huomiota siihen, ettei Fivan taulukko vastaa EBAn ohjetta EBA/RTS/2025/03 operatiivisten riskien tappioiden luokittelusta. Raportointiin liittyvien sekaannusten ja ongelmien välttämiseksi FA pitää tärkeänä, että taulukko muutetaan vastaamaan EBAn vaatimuksia.
    
    
13. LUKU 5.1, KOHTA 31. Kohta kuuluu seuraavasti: ”(31) Tätä lukua 5 sovelletaan valvottaviin.” Kyse lienee kirjoitusvirheestä ja teksti pitäisi muuttaa muotoon ”(31) Tätä lukua 5 sovelletaan luvun 1.1 mukaisiin valvottaviin.”
    
    
14. LUKU 7.1, KOHTA 1. Kohta kuuluu seuraavasti: ”(1) Lukua 7.2 sovelletaan valvottaviin.” Kyse lienee kirjoitusvirheestä ja teksti pitäisi muuttaa muotoon ”(1) Tätä lukua 7.2 sovelletaan luvun 1.1 mukaisiin valvottaviin.”
    
    
15. LUKU 7.1, KOHTA 2. Kohta kuuluu seuraavasti: ”(2) Lukuja 7.3 ja 7.4 sovelletaan seuraaviin valvottaviin ja ETA-sivuliikkeisiin.” Kyse lienee kirjoitusvirheestä ja teksti pitäisi muuttaa muotoon ”(2) Lukuja 7.3 ja 7.4 sovelletaan luvun 1.1 mukaisiin valvottaviin ja ETA-sivuliikkeisiin.”
    
    
16. LUKU 7.1, KOHTA 2. Sijoituspalveluyritysten osalta luetteloon ehdotetaan merkittäväksi: ”sijoituspalveluyritykset (Annettu 29.1.2018, voimaan 1.3.2018)”. FA:n tulkinnan mukaan soveltamisalaan kuuluisivat kuitenkin jatkossakin vain säilytystoimintaa harjoittavat sijoituspalvelujen tarjoajat ja vaihtoehtorahastojen hoitajat. Perusteluna FA viittaa nykyisin voimassa olevaan tekstiin, joka kuuluu seuraavasti: ”(5) SipaL:n 7 luvun 8 §:n mukaan sijoituspalveluyrityksen, joka tarjoaa oheispalveluna rahoitusvälineiden säilyttämistä, tulee varmistaa tehtäviensä mahdollisimman häiriötön hoitaminen myös poikkeusoloissa osallistumalla rahoitusmarkkinoiden valmiussuunnitteluun ja valmistelemalla etukäteen poikkeusoloissa tapahtuvaa toimintaa sekä muin toimenpitein. SipaL:n 1 luvun 4 §:n 2 momentin mukaan vaihtoehtorahastojen hoitajaan, joka tarjoaa sijoituspalveluja, sovelletaan valmiussuunnittelua koskevia säännöksiä. (Annettu 29.1.2018, voimaan 1.3.2018).”
    
    
17. LUKU 7.3, KOHTA 14. FA kiinnittää huomiota siihen, että Rahoitusalan poolin varautumisohje on tarkoitettu poolin jäsenyritysten käyttöön, ei yleiseksi sääntely- tai ohjausasiakirjaksi. FA esittää, että virke ”Rahoitusalan poolin vuonna 2024 antamissa varautumisohjeissa asetetaan tarkemmat varautumisen tavoitteet sekä annetaan yksityiskohtaisempia ohjeita poikkeusoloihin varautumisesta.” poistetaan.
    
    
18. LUKU 8.1, KOHTA 1. Kohta kuuluu seuraavasti: ”(1) Lukua 8.2 sovelletaan valvottaviin sekä maksupalvelua ilman toimilupaa tarjoaviin henkilöihin.” Kyse lienee kirjoitusvirheestä ja teksti pitäisi muuttaa muotoon ”(1) Lukua 8.2 sovelletaan luvun 1.1 mukaisiin valvottaviin sekä ilman toimilupaa tarjoaviin henkilöihin.”
    
    
19. LUKU 8.2.1, KOHTA 2. Ohjeessa Finanssivalvonta suosittaa ilmoittamaan DORAn mukaisten ICT-häiriöilmoitusten lisäksi sellaiset häiriöt ja virheet, jotka haittaavat tai vaarantavat valvottavan kyvyn jatkaa liiketoimintaansa tai vastata velvoitteistaan. FA pitää tarpeellisena, että Finanssivalvonta antaisi tarkempaa ohjeistusta ja esimerkkejä häiriöistä ja virheistä, jotka valvottavien tulisi raportoida.
    
    
20. LUKU 8.2.1, KOHTA 2. FA kiinnittää myös huomiota siihen, että kohdassa kuvattu häiriöiden ilmoittamisvaatimus näyttäisi olevan laajempi kuin henki- ja vahinkovakuutusyhtiöihin sovellettaviin Määräyksiin ja ohjeisiin 6/2015 ehdotettu, DORAn mukaiseen TVT-häiriöraportointiin rajoittuva velvoite.
    
    
21. LUKU 8.2.1, KOHTA 3. Ohjeessa Finanssivalvonta suosittaa, että toimija välittää tietosuojavaltuutetun toimistolle tietosuoja-asetuksen nojalla tekemänsä ilmoitukset Finanssivalvonnalle. FA toivoo, että Finanssivalvonta selventäisi ohjeistusta siitä, riittääkö em. ilmoituksen välittäminen vai tuleeko raportoida muutakin.

Määräykset ja ohjeet 6/2015 – Henki- ja vahinkovakuutusyhtiön toiminnan aloittaminen ja hallintojärjestelmä

22. LUKU 6, KOHTA 12. Ehdotettu määräys edellyttää toipumissuunnitelmia kaikille tietojärjestelmille. FA kiinnittää kuitenkin huomiota siihen, ettei DORA-asetus tai siihen liittyvät sääntelystandardit edellytä toipumissuunnitelmien tekemistä kaikille tietojärjestelmille. Esimerkiksi RTS on ICT Risk Management Framework, art. 26(1)(b) rajaa vaatimuksen järjestelmiin, jotka tukevat kriittisiä ja tärkeitä toimintoja. FA pitää tärkeänä, että Finanssivalvonnan määräys rajataan samalla tavalla.
    
    
23. LUKU 6, KOHTA 14. Ehdotettu määräys edellyttää, että jatkuvuussuunnitelmissa kuvataan varautuminen kaikkien ulkoisten palveluntarjoajien häiriöihin, kun taas DORA-asetuksessa ja siihen liittyvissä sääntelystandardeissa varautuminen kohdistetaan ensisijaisesti kriittisiin ja tärkeisiin TVT-palveluihin. FA pitää tärkeänä, että ehdotetut määräykset ja ohjeet ovat yhdenmukaisia DORA-asetuksen ja siihen liittyvien sääntelystandardien kanssa eivätkä aseta valvottaville niitä pidemmälle meneviä vaatimuksia.
    
    
24. LUKU 11.1. Kohdassa kuvatun ulkoistamisesta tehtävän ilmoituksen suhde DORA‑asetuksen 28. artiklaan jää vahinko- ja henkivakuutusyhtiöiden kohdalta epäselväksi. FA pitää tarpeellisena asian tarkentamista.
    
    
25. LUKU 11.1. DORA‑asetuksen artiklan 28 kohdan 3 mukaan finanssiyhteisöjen on ilmoitettava toimivaltaiselle viranomaiselle hyvissä ajoin kaikista kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevista suunnitelluista sopimusjärjestelyistä sekä siitä, että jostakin toiminnosta on tullut kriittinen tai tärkeä. Finanssivalvonnan nykyisistä määräyksistä ja ohjeista ei käy ilmi, katsotaanko luvun 11.1 mukainen ulkoistusilmoitus samalla myös DORA‑asetuksen artiklan 28 mukaiseksi ilmoitukseksi silloin, kun ulkoistus koskee kriittistä tai tärkeää toimintoa tukevaa TVT‑palvelua, vai edellytetäänkö tällaisessa tilanteessa kahta erillistä ilmoitusta samasta sopimusjärjestelystä. Avoimeksi jää myös se, miten ja minkä sisältöisenä DORA‑asetuksen artiklan 28 mukainen ilmoitus tehdään tilanteessa, jossa kyse on kriittistä tai tärkeää toimintoa tukeva TVT‑palvelu, mutta järjestely ei ole vakuutusyhtiölaissa määritelty ulkoistus. Pidämme tarpeellisena, että Finanssivalvonta selventää: katsotaanko keskeistä toimintoa koskeva ulkoistusilmoitus samalla DORA‑asetuksen artiklan 28 mukaiseksi ilmoitukseksi silloin, kun se koskee kriittistä tai tärkeää toimintoa tukevaa ICT‑palvelua ja millä menettelyllä ja sisällöllä artiklan 28 mukainen ilmoitus tehdään tilanteissa, joissa kyse ei ole ulkoistuksesta.
    
    
26. LUKU 16. Määräys- ja ohjeluonnoksen lopussa on muutoshistoriateksti ”Poistettu luvuista 2.4, 10.1.3 ja 11.2 viittaukset Euroopan vakuutus- ja lisäeläkeviranomaisen ohjeisiin. Ohjeet löytyvät Finanssivalvonnan internetsivuilta ja ovat voimassa ilman nimenomaista viittausta.” Poistetut viittaukset koskevat sellaisia EIOPAn ohjeita, jotka on DORAn soveltamisen alkamisen myötä kumottu jo yli vuosi sitten, eivätkä ne siis tosiasiassa ole enää voimassa. Ehdotetussa muodossaan tekstin voi tulkita niin, että kyseisiä ohjeita tulisi edelleen noudattaa, ja FA toivoo, että Finanssivalvonta korjaa asian jatkovalmistelun yhteydessä.

Määräykset ja ohjeet 8/2016 – Maksulaitokset ja maksupalvelua ilman toimilupaa tarjoavat henkilöt

27. FA:lla ei ole lausuttavaa määräyksin ja ohjeisiin 8/2016 ehdotettuihin muutoksiin.

Määräykset ja ohjeet – 1/2019 Lisäeläkelaitosten hallinto

28. FA:lla ei ole lausuttavaa määräyksin ja ohjeisiin 1/2019 ehdotettuihin muutoksiin.

FINANSSIALA RY
Taina Ahvenjärvi

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269

mika.linna@finanssiala.fi

Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen

Alkuun