Vierashuoneessa Senior Manager, Legal Counsel, VT, OTK, KTM Raija Tuokko: Suhteellisuusperiaate voi olla jatkossa oiva lisä pienemmän finanssilaitoksen työkalupakkiin

27.11.2024• Uutiset

Digitaalista häiriönsietokykyä koskevan DOR-asetuksen soveltaminen alkaa 17.1.2025. Soveltamisalan ulkopuolelle on jätetty joitain entiteettejä. Lisäksi tiettyihin toimijoihin sovelletaan yksinkertaistettua TVT-hallintakehikkoa. Suhteellisuusperiaatteesta määrätään myös DORAn artikloissa. Suhteellisuusperiaatteen käsittely on herättänyt mielenkiintoa DORA-konsultaatiossa. ESA-tason suhteellisuusperiaatteen käyttöalaa koskevat linjaukset ovat kuitenkin jääneet vaatimattomiksi. Tällä hetkellä voikin perustellusti ladata paljon odotuksia Solvenssi II Uudelleenarvioinnissa esitettyihin muutoksiin ja suhteellisuuskehikon 2-tason ehdotuksiin.

Suhteellisuusperiaatteen onnistunut soveltaminen auttaa hallitsemaan compliance-riskiä optimaalisella tasolla. Tämä tarkoittaa, että riski tulee hallituksi juuri sopivilla investoinneilla ja resursseilla. Tällöin sääntelyvelvoitteet tulevat noudatetuiksi mahdollisimman tehokkaasti. Kysymys siitä, miten asiakas voi hyödyntää suhteellisuusperiaatetta omassa toiminnassaan, onkin juristille esitettyjen tulkintakysymysten kärkisijoilla. Tässä artikkelissa käsitellään suhteellisuusperiaatetta DORA-kontekstissa.

DORAn ^[1] keskeiset osa-alueet koskevat tieto- ja viestintätekniikan (TVT) hallintaa, poikkeamien hallintaa, testausta ja kolmansien osapuolten TVT-riskienhallintaa. Tieto- ja viestintätekniikan (TVT) hallintaa koskevien vaatimusten täytäntöönpanoon sovelletaan suhteellisuusperiaatetta. ^{^[2]} Suhteellisuusperiaatteella tarkoitetaan, että täytäntöönpanon toteutus voidaan mitoittaa siten että se heijastaa finanssilaitoksen kokoa ja yleistä riskiprofiilia sekä toimijan palvelujen, liiketoiminnan ja sisäisten toimintojen luonnetta, laajuutta ja monitahoisuutta. Sen sijaan poikkeamien hallintaan, testaukseen ja kolmansiin osapuoliin liittyvän TVT-riskin hallinnan keskeisiin periaatteisiin sovelletaan suhteellisuusperiaatetta siten kuin III, IV ja V luvun I jakson relevanteissa säännöissä nimenomaisesti säädetään.

Näyttää siltä, että suhteellisuusperiaate on sisäänrakennettu asetuksen tekstiin muita kuin TVT:n hallintaa koskevien vaatimusten osalta. Tämä tarkoittaa käytännössä sitä, että suhteellisuusperiaatteen tosiasiallinen käyttöala on rajattu TVT-riskienhallintaa koskevaan II lukuun. Valvovien viranomaisten tulee arvioida muun ohessa finanssilaitosten toteuttaman suhteellisuusperiaatteen käytön johdonmukaisuutta.

Pienille finanssilaitoksille räätälöity, II luvun 16 artiklan mukainen yksinkertaistettu TVT-riskienhallintajärjestelmä on yksi suhteellisuusperiaatteen konkreettinen ilmentymä, joka on jo sisäänrakennettu sääntelykehikkoon. ^{^[3]}

Suhteellisuusperiaatetta on käsitelty myös hallituksen esityksessä HE 67/2024 (Hallituksen esitys eduskunnalle laiksi Finanssivalvonnasta annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi). Esityksen mukaan valtioneuvosto kannatti valmisteluvaiheessa esitetyn suhteellisuusperiaatteen soveltamista, kunhan sen käyttö punnitaan tarkasti olemassa olevat riskit huomioon ottaen. Talousvaliokunnan mukaan olennaista on arvioida nimenomaan toimijan vaikutusta markkinaan, eikä yksinomaan sen kokoa, sillä laajavaikutteinen ongelma voi lähteä liikkeelle myös pienen toimijan riskienhallinnan laiminlyönnistä.

Talousvaliokunnan näkemyksestä käy mielestäni hyvin ilmi, miten substanssi määrittää suoraan mikä on olennaista suhteellisuusperiaatteen soveltamisessa. Digitaalisen häiriönsietokyvyn kontekstissa kooltaan pienikin toimija voi todella laiminlyönnillään saada aikaan laajavaikutteisen häiriön, jolloin suhteellisuusperiaatteen tulkinnassa markkinavaikutus menee toimijan koon edelle. Hallituksen esityksen käsittelyvaiheessa taloudelliset vaikutukset on arvioitu Suomessa kohtuullisiksi, sillä suurten toimijoiden TVT-järjestelmien ja riskinhallintamenettelyjen voidaan lähtökohtaisesti olettaa olevan pitkälti jo vaatimusten mukaisia ja pienempiin toimijoihin sovelletaan suhteellisuusperiaatteen mukaisesti lievempiä vaatimuksia.

Suhteellisuusperiaate soveltuu myös hallinnollisten seuraamusten arviointiin. DORA-asetuksen mukaisten velvoitteiden noudattamista arvioitaessa on asetuksen I luvun 4 artiklan ilmaiseman suhteellisuusperiaatteen mukaisesti otettava huomioon myös muun muassa finanssiyhteisön koko ja taloudellinen asema. Valmistelussa todetun mukaan hallinnollisen seuraamuksen oikeasuhtaisuuden arviointi ei koske ainoastaan seuraamusmaksun mitoittamista, vaan myös seuraamuslajin valintaa siten että seuraamusmaksun sijaan voidaan laissa säädetyin perustein poikkeuksellisesti antaa julkinen varoitus, jos lain vastaista menettelyä olisi pidettävä esimerkiksi vähäisenä.

II luvun 7 artiklan mukaan TVT-järjestelmien, -protokollien ja -välineiden tulee olla suuruusluokaltaan tarkoituksenmukaisia eli suhteessa finanssiyhteisön kokoon ja yleiseen riskiprofiiliin sekä sen palvelujen, toiminnan ja toimintojen luonteeseen, laajuuteen ja monitahoisuuteen. Artiklan merkitys lienee siinä, että se antaa joitain konkreettisia vihjeitä siitä, missä asioissa – TVT-järjestelmät, -protokollat ja -välineet – kannattaa käyttää suhteellisuusperiaatetta. Siitä, miten periaatetta voi käytännössä soveltaa, tämä kirjoitustapa ei anna lisätietoja.

Sen sijaan V luvun 28 artikla 1b):tä ^{^[4]} koskeva tarkastelu osoittaa, että kolmansiin osapuoliin liittyvän TVT-riskin hallinnan osalta suhteellisuusperiaatteen käyttöä pyritään ohjaamaan konkreettisemmalla tasolla. Suhteellisuus-periaatetta tulee käyttää erityisesti TVT:n riippuvuusriskien ja sopimusriskien arvioinnissa, ottaen huomioon toiminnon kriittisyys, vaikutus jatkuvuuteen ja käytettävyyteen solo- ja konsernitasolla.

Suhteellisuusperiaate oli jonkin verran esillä DORA 2-tason konsultaatiossa. ESAt ovat todenneet että DORA-kehikossa suhteellisuutta sovelletaan kolmella tavalla eli

periaatetasolla (I luvun 4 artikla)
rajaamalla tietyt vaatimukset vain kriittisiin tai tärkeisiin toimintoihin ja
soveltamalla periaatteeseen perustuvaa lähestymistapaa vaatimusten määrittelyyn.

ESAt totesivat ottaneensa suhteellisuusperiaatteen huomioon mm. tietorekisterin pakollisissa tietokentissä, yksinkertaistaneensa tietorekisterin kenttiä ja helpottaneensa solo- ja konsernitason tietojen esittämistä. TVT-riskienhallintakehikon osalta konsultaatiossa on huomioitu suhteellisuusperiaate ja riskiperusteinen lähestymistapa mm. tietoverkkojen turvallisuuteen, salaukseen, pääsynvalvontaan ja liiketoiminnan jatkuvuuteen liittyen. Tietyistä finanssilaitosspesifeistä riskeistä johtuen suhteellisuusperiaatetta on käytetty myös siten, että esimerkiksi osa vaatimuksista on osoitettu vaikkapa vain keskusvastapuolille.

ESAt eivät konsultaatiossa esitetyn perusteella halunneet ottaa käyttöön DORA-kontekstissa vaatimusta, jonka mukaan finanssilaitosten tulisi, hyväksytettyään suhteellisuusperiaatteen käyttöä koskeva arvionsa ylimmässä hallintoelimessä, tehdä suhteellisuusperiaatteen käytöstä hakemus valvontaviranomaiselle. Konsultaatiossa on myös esimerkki siitä, miten suhteellisuusperiaatteella voidaan argumentoida, että tarvetta lisäkontrolleille ei ole – ESAt ovat todenneet, että testausta koskevat lisävaatimukset eivät ole toteuttamiskelpoisia, koska ne vaatisivat merkittäviä resursseja ja aikaa, mikä voi vaikuttaa negatiivisesti toiminnan tehokkuuteen. Frekvenssi on yksi suhteellisuusperiaatteen soveltamisesimerkki. Lisäksi käsitteillä suhteellisuusperiaate ja riskiperusteisuus on paljon yhtymäkohtia ja niitä on paikoitellen vaikea erottaa toisistaan. 2-tason sääntelyyn ei voi myöskään soveltaa suhteellisuusperiaatetta tavalla joka johtaisi ristiriitaan 1-tason sääntelyn kanssa.

Lopuksi on hyvä huomata, että kriittisiä toimintoja koskevassa RTS-konsultaatiossa todetaan että säädöksessä esitetty kriteeristö suhteellisuusperiaatteen soveltamiseksi ei ole tyhjentävä. Tämä tarkoittaa sitä, että muitakin perusteluja on mahdollista esittää suhteellisuusperiaatteen soveltamiseksi.

Suhteellisuusperiaate on tällä hetkellä luupin alla myös tammikuulle 2025 asti avoinna olevassa Solvenssi II - konsultaatiossa, joka on vakuutusalan keskeinen sääntelykehikko. Konsultoinnissa on tarkoitus arvioida, onko Solvenssi II uudelleenarvioinnissa sovittuja suhteellisuusperiaatteen ilmentymiä tarpeen edelleen täsmentää RTS-tasolla. Konsultaatiossa todetaan, että uusi Solvenssi II- suhteellisuuskehikko edustaa siirtymää kohti uskottavampaa ja läpinäkyvämpää suhteellisuusperiaatteen soveltamista vakuutusalalla. Mikä konsultaation lopputulos onkaan, oma arvioni on että uudella suhteellisuusperiaatteen kehikolla on erittäin iso merkitys sekä periaatteellisella että käytännön tasolla. Seuraan konsultaatiota suurella mielenkiinnolla.

Raija Tuokko
Senior Manager, Legal Counsel, VT, OTK, KTM
KPMG Law, Financial Services
raija.tuokko@kpmg.fi

^[1]EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta

^[2] DORA-asetuksen I luvun 4 artikla: ”Finanssiyhteisöjen on pantava täytäntöön II luvussa säädetyt säännöt suhteellisuusperiaatteen mukaisesti ottaen huomioon kokonsa ja yleinen riskiprofiilinsa sekä palvelujensa, toimintansa ja toimintojensa luonne, laajuus ja monitahoisuus.
Lisäksi sen, että finanssiyhteisöt soveltavat III, IV ja V luvun I jaksoa, on oltava oikeassa suhteessa niiden kokoon ja yleiseen riskiprofiiliin sekä niiden palvelujen, toiminnan ja toimintojen luonteeseen, laajuuteen ja monitahoisuuteen, kuten kyseisten lukujen asiaa koskevissa säännöissä nimenomaisesti säädetään. …

^[3] DORA-asetuksen johdantotekstin kohdassa (42) todetaan seuraavaa: …Sen vuoksi suhteellisuusperiaatteen mukaisesti ja alakohtaisen unionin oikeuden hengen säilyttämiseksi on myös aiheellista soveltaa kyseisiin finanssiyhteisöihin yksinkertaistettua TVT-riskinhallintajärjestelmää tämän asetuksen mukaisesti

^[4] I jakso Kolmansiin osapuoliin liittyvän TVT-riskin moitteetonta hallintaa koskevat keskeiset periaatteet 28 artikla Yleiset periaatteet 1b) finanssiyhteisöjen kolmansiin osapuoliin liittyvän TVT-riskin hallinta on toteutettava suhteellisuusperiaatteen mukaisesti ottaen huomioon seuraavat:

TVT:hen liittyvien riippuvuuksien luonne, laajuus, monitahoisuus ja tärkeys;
TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa TVT-palvelujen käytöstä tehtyihin sopimusjärjestelyihin liittyvät riskit, ottaen huomioon kyseisen palvelun, prosessin tai toiminnon kriittisyys tai tärkeys ja sen mahdollinen vaikutus finanssipalvelujen ja -toimintojen jatkuvuuteen ja käytettävyyteen sekä yksittäisten yhteisöjen että konsernien tasolla.

Kirjoita Edilexiin

Mikäli Sinulla on ajankohtainen juridinen aihe josta haluaisit kirjoittaa artikkelin tai oikeustapauskommentin Lakikirjastoon tai vaikkapa lyhyen kolumnin Vierashuoneeseen, ota yhteyttä Edilex-toimitukseen (toimitus@edilex.fi).
Lue lisää

Tule kirjailijaksi tai kouluttajaksi

Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edilex.fi)

Kirjallisuutta ja koulutuksia (Creditan asiakkaille -20%)

Kirjat | Digikirjat | Koulutukset (myös webinaareina ja verkkokoulutuksina)