Niin finanssialalla kuin muillakin aloilla sääntely ohjaa yhä vahvemmin poikkeamien hallintaa yrityksissä. Vuonna 2026 tulee sovellettavaksi uusia raportointivelvoitteita, joita tullaan soveltamaan EU:n yleisen tietosuoja-asetukseen (GDPR) (EU) 2016/679, DORA-asetukseen (EU) 2022/2554 ja eIDAS-asetukseen (EU) N:o 910/2014 (muutettu (EU) 2024/1183) perustuvien raportointivelvoitteiden rinnalla:

  • CER-poikkeamaraportointi voimaan kriittisten toimijoiden nimeämisestä alkaen (viimeistään 17.7.2026). Nimettyjen toimijoiden tulee raportoida yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (310/2025) mukaisesti merkittävistä poikkeamista valvovalle sektoriviranomaiselle ja Valtioneuvoston tilannekeskukselle. Yksityiskohtainen raportti annetaan sisäministeriölle, toimijan toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle.
  • Tekoälysäädöksen (EU) 2024/1689 raportointivelvoitteet voimaan 2.8.2026. Suuririskisten tekoälyjärjestelmien tarjoajien on ilmoitettava vakavista vaaratilanteista niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa kyseinen vaaratilanne tapahtuu. Tietyissä tilanteissa myös suuririskisten tekoälyjärjestelmien käyttöönottajien on ilmoitettava vakavista vaaratilanteista ensin tarjoajalle ja sen jälkeen maahantuojalle tai jakelijalle sekä asianomaisille markkinavalvontaviranomaisille. Suomessa markkinavalvonnasta vastaavat sektoriviranomaiset. Näiden velvoitteiden osalta on keskeistä seurata komission AI Omnibus -muutosehdotusten käsittelyn etenemistä, sillä se saattaa vaikuttaa velvoitteiden soveltamisen aikatauluun ja siihen, mille viranomaiselle vaaratilanteista raportoidaan.
  • Kyberkestävyyssäädöksen (CRA) (EU) 2024/2847 raportointivelvoitteet voimaan 11.9.2026. Digitaalisen tuotteen valmistajan on ilmoitettava kaikista tuotteiden sisältämistä aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista kansalliselle CSIRT-yksikölle ja ENISAlle.

Raportointivelvoitteisiin on suositeltavaa valmistautua ennen niiden soveltamisen alkamista, sillä useiden päällekkäisten raportointivelvoitteiden noudattaminen edellyttää suunnittelua ja koordinointia. Valmistautumisen merkitys korostuu, sillä raportoinnin määräajat ovat usein tiukkoja (tyypillisesti 24 tunnista muutamiin päiviin). Vuoden alkupuolisko on oivallinen aika suunnitella ja aikatauluttaa raportointivelvoitteiden jalkauttaminen niiden toimijoiden osalta, joita uudet velvoitteet koskevat. Työ alkaa tunnistamalla, mitkä raportointivelvoitteet tulevat sovellettavaksi yrityksesi omassa toiminnassa, ja voivatko velvoitteet vaikuttaa toimintaanne epäsuorasti esimerkiksi asiakasyritystenne kanssa tehtävän yhteistyön kautta.

Katse eteenpäin

Tulevaisuudessa sääntelyn aiheuttamaa taakkaa pyritään suitsimaan samoilla keinoilla, joilla sitä on alun perin aiheutettu – eli säätämällä uutta sääntelyä.

Euroopan komissio on ehdottanut kyberturvallisuuteen liittyvien poikkeamien raportointivelvoitteiden uudistusta, jonka tavoitteena on keventää raportoinnista yrityksille aiheutuvaa taakkaa. Yksi digitaalista sääntelyä koskevan marraskuussa 2025 annetun laajan Digital Omnibus -ehdotuksen keskeisistä uudistusehdotuksista on eri sääntelyyn perustuvan poikkeamaraportoinnin keskittäminen yhteen keskitettyyn ilmoituskanavaan. Tämän ilmoituskanavan kautta raportoitaisiin useaan eri säädökseen (ainakin GDPR, NIS2 (EU) 2022/2555, CER, CRA, DORA ja eIDAS) perustuvat poikkeamailmoitukset toimivaltaisille viranomaisille. Kanavan kehittäisi ja sitä ylläpitäisi Euroopan kyberturvallisuusvirasto ENISA. Tällä olisi vaikutuksia erityisesti niille toimijoille, jotka ovat tällä hetkellä usean päällekkäisen ja ajallisesti tiukan raportointivelvollisuuden piirissä, kuten finanssialan toimijoille.

Lisäksi Digital Omnibus -ehdotus toteutuessaan pidentäisi GDPR:n mukaisen henkilötietojen tietoturvaloukkausta koskevan ilmoituksen antamisen aikarajaa nykyisestä 72 tunnista 96 tuntiin. Tämän uudistuksen vaikutukset koskisivat laajasti kaikenlaisia organisaatioita, sillä käytännössä kaikki toimijat ovat joissain tilanteissa henkilötietojen rekisterinpitäjän roolissa eli velvollisia ilmoittamaan henkilötietojen tietoturvaloukkauksista tässä roolissaan.

Poikkeamien hallinta on kyberturvallisuusriskien hallinnan ohessa myös compliance-työtä yhä laajenevassa määrin. Finanssialan toimijoiden kohdalla tämä tarkoittaa käytännössä myös viranomaisvalvonnan lisääntymistä. Velvoitteiden laajeneminen on siis suositeltava ottaa vastaan hallitusti varmistamalla riittävien ja ajantasaisten menettelytapojen ja dokumentoinnin toteutus omassa organisaatiossa.


Palvelumme Fintech-sektorille

Dittmar & Indrenius on Suomen johtava yritysjuridiikkaan erikoistunut asianajotoimisto, ja Fintech-tiimimme on alan arvostetuimpia oikeudellisia neuvonantajia Suomessa. Neuvomme asiakkaita koko yrityksen elinkaaren ajan – pankeista ja rahoituslaitoksista startup- ja kasvuyrityksiin.

Fintech-ala edellyttää paitsi syvällistä sääntelytuntemusta myös ymmärrystä alan teknisistä ratkaisuista, siksi asiantuntemuksemme kattaa koko Fintech- ja finanssisektorin, mukaan lukien maksupalvelut, toimiluvat, tietosuojan ja muun datasääntelyn, tekoälysääntelyn ja finanssialan yritysjärjestelyt. Olemme myös aktiivinen osa Fintech-ekosysteemiä Suomessa ja Pohjoismaissa: teemme tiivistä yhteistyötä Helsinki Fintech Farmin kanssa ja osallistumme jatkuvasti alan keskusteluun yritysten, viranomaisten ja alan muiden sidosryhmien kanssa.

Tutustu tiimiimme ja palveluihimme: Fintech
Logo: Chambers Top Ranked 2026

Contact authors

Related news

Alert

Financial Services & Regulation

PSD3 and PSR proposals close to adoption

On 23 April 2026, the EU Council released the final compromise texts of the legislative proposals for the Third Payment…

Article

Data Protection & Cyber Security, Financial Services & Regulation

Milloin henkilöllisyyden vahvistaminen on paitsi sallittua, myös välttämätöntä?

Tervetuloa mukaan Dittmar & Indreniuksen uutiskirjesarjaan, jossa keskitymme Fintech-toimijoita tiiviisti koskettaviin juridisiin kysymyksiin ja alan sääntelyyn markkinalähtöisesti. D&I on Suomen…

News

Data Protection & Cyber Security, IP, Media & AI, Marketing & Consumers, Patents & Life Sciences, Technology, Licensing & Data

Our TMT team ranked Tier 1 in Legal 500 EMEA 2026

We are excited to share that our TMT team has once again been ranked Tier 1 in the latest Legal…

Reference

Defence & Security

Assisting ICEYE in commenting on the space law proposal

We were engaged in a strategically significant space law project where we assisted ICEYE in preparing a legal analysis and…

More news