Mitä Kyndrylin nimitys CTPP-palveluntarjoajaksi tarkoittaa käytännössä

DORA-valvonta kriittisille ICT-palveluntarjoajille: mitä Kyndrylin CTPP-nimitys merkitsee pankeille

Uutiset |
Jaa

DORA-asetus tuo suoran viranomaisvalvonnan finanssisektorin kriittisille ICT-palveluntarjoajille. Kyndrylin nimeäminen CTPP-toimijaksi lisää läpinäkyvyyttä pankkien käyttämien keskeisten teknologiapalvelujen hallintaan.

Marraskuussa 2025 Euroopan valvontaviranomaiset (EBA, EIOPA ja ESMA) julkaisivat virallisen listan kriittisistä ICT-alan kolmansien osapuolten palveluntarjoajista (Critical ICT Third-Party Providers, CTPP) osana finanssialan digitaalista häiriönsietokykyä koskevaa DORA-asetusta. Kyndryl nimettiin CTPP-toimijaksi edustaen globaaleja toimintojaan ja tytäryhtiöitään, ja se on näin ollen Euroopan viranomaisten suoran valvonnan alaisena.

Pankkien ja muiden säänneltyjen rahoituslaitosten näkökulmasta nimitys on merkityksellinen erityisesti hallintomallien ja toimittajavalvonnan kannalta. Se tuo kriittisille teknologiatoimittajille virallisen valvontakehyksen ja lisää finanssipalvelujen ekosysteemiin rakenteellista läpinäkyvyyttä.

Samlinkin CISO:n, Christian Eichinin mukaan nimitys heijastaa suurten infrastruktuuripalveluntarjoajien keskeistä roolia rahoituspalveluissa, ja tämä rooli on nyt tunnustettu myös virallisesti sääntelykehyksessä.

“Kyseessä on tunnustus siitä, että kuulumme niiden merkittävien toimijoiden joukkoon, jotka tuottavat kriittisiä palveluja rahoituslaitoksille. Tämän tunnustuksen myötä toimintaamme kohdistuu viranomaispohjainen valvonta”, Christian toteaa.

Hän lisää, että Kyndryl nimettiin CTPP-toimijaksi globaalisti merkittävien teknologiayritysten tarkkaan rajatussa joukossa, jossa kriteereinä ovat muun muassa toiminnan systeeminen merkitys ja rahoitussektorille tuotettujen palvelujen kriittisyys.

Mitä CTPP-nimitys käytännössä tarkoittaa?

Nimityksen keskeinen vaikutus on se, että eurooppalaiset valvontaviranomaiset toteuttavat suoraa valvontaa arvioidakseen, ylläpitääkö Kyndryl riittävän vahvoja riskienhallinta-, hallinto- ja operatiivisen resilienssin käytäntöjä.

Tähän sisältyvät muun muassa valvontatoimet, tarkastukset sekä viralliset tietojen ja todistusaineiston pyynnöt. Tavoitteena on vähentää systeemisiä ICT-riskejä, jotka voisivat vaikuttaa EU:n finanssisektorin vakauteen.

Pankkien näkökulmasta tämä tuo palveluntarjoajatasolle lisäkerroksen viranomaisvalvontaan perustuvaa varmuutta, joka täydentää nykyisiä sopimuspohjaisia hallintamalleja, auditointeja ja toimittajariskien hallintaa.

– Valvonta sisältää säännöllistä seurantaa, tarkastuksia ja tietopyyntöjä. Kyse on rakenteellisesta ja näyttöön perustuvasta valvontamallista, joka on periaatteiltaan samankaltainen kuin pankkeihin jo nyt kohdistuva valvonta, Christian kuvaa.

Mikä ei muutu nimityksen myötä?

Rahoituslaitoksille keskeinen täsmennys on, ettei CTPP-nimitys muuta olemassa olevia sopimuksia eikä luo uusia sopimusoikeudellisia velvoitteita tai oikeuksia pankkien ja Kyndrylin välille. Tämä todetaan myös Kyndrylin virallisessa ilmoituksessa rahoitusalan toimijoille.

Tärkeää on myös se, ettei nimitys muuta pankkien omia DORA-velvoitteita.

“Kyse on kahdesta eri sääntelymaailmasta. Pankit vastaavat edelleen täysimääräisesti omasta DORA-vaatimusten noudattamisestaan. Kyndryliin kohdistuva valvonta koskee meitä palveluntarjoajana, eikä korvaa asiakkaiden omaa hallintaa tai sääntelyvastuuta”, Christian toteaa.

Rahoituslaitosten tulee siten jatkossakin huolehtia omasta ICT-riskienhallinnastaan, toimittajavalvonnastaan ja sääntelyn noudattamisesta omien valvontavaatimustensa ja sisäisten kontrollirakenteidensa mukaisesti.

Läpinäkyvyys vahvistuu koko palveluekosysteemissä

Vaikka valvonta kohdistuu Kyndryliin palveluntarjoajana, Eichin näkee siinä pitkällä aikavälillä myös asiakkaille hyödyllisiä vaikutuksia läpinäkyvyyden ja näyttöön perustuvan varmuuden näkökulmasta.

Viranomaisvalvonta tuottaa validoitua tietoa hallinto- ja resilienssikäytännöistä, jota voidaan soveltuvin osin hyödyntää myös nykyisessä asiakasraportoinnissa ja varmistuskeskusteluissa.

– Viranomaisten validoimaa näyttöä siitä, että tietyt kontrollit ovat käytössä, syntyy enemmän. Ajan myötä tämä tukee entistä läpinäkyvämpää ja faktoihin perustuvaa keskustelua operatiivisesta resilienssistä asiakkaiden kanssa, Christian sanoo.

Samlink näkee nimityksen vahvistavan kurinalaista hallintaa koko palveluekosysteemissä. Virallinen valvonta tukee operatiivisiin käytäntöihin kohdistuvaa luottamusta ja lisää ennustettavuutta palvelujen pitkäjänteisessä tuottamisessa.

– Hyvä hallintotapa hyödyttää sekä palveluntarjoajia että niistä riippuvaisia rahoituslaitoksia. Pohjimmiltaan kyse on operatiivisesta luottamuksesta ja ennustettavuudesta, Christian tiivistää.

Lue myös: How Kyndryl is helping protect the financial services industry in the EU