Operational resilience by design : implementing DORA requirements across the software development lifecycle in electronic banking
Salmi, Emil (2025)
Diplomityö
2025
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20251214118811
https://urn.fi/URN:NBN:fi-fe20251214118811
Tiivistelmä
The increasing digitalisation of the financial sector has significantly changed how electronic banking solutions are designed, developed and operated. As these systems evolve into complex ICT ecosystems, operational resilience has become a critical regulatory and technical requirement. In the European Union, financial institutions operate in a heavily regulated environment, including the Digital Operations Resilience Act (DORA), the Payment Services Directive 2, the General Data Protection Regulation, and the Electronic Identification, Authentication and Trust Services Regulation. These regulations impose requirements on resilience, security, data protection, and governance.
This thesis examines how DORA requirements can be integrated into the Software Development Lifecycle (SDLC) in the development of modern electronic banking systems. The requirements aim for software to achieve compliance by design, implemented from the ground up. This thesis examines the relevant literature on software resilience, exploring theories of secure infrastructure, cybersecurity, backup strategies, and incident management. The theory works as a base for DORA, of which the key requirements for electronic banking are recognised and mapped. The requirements are transformed into a framework with operational and technical solutions for regulatory requirements.
Finally, these technical and operational solutions are integrated into each phase of the SDLC. Planning, analysis and design phases set the foundation for regulatory compliance, where decisions on architecture and technology are made to support later stages of the life cycle. Development and testing phases bring these decisions to life by following secure software development practices as well as proper testing and validation. Maintenance is the most intense stage in terms of regulatory compliance, as it requires maintaining compliance when regulations evolve, as well as incident management and structured change management processes.
The results demonstrate that regulatory compliance can not be treated as a separate activity but must be embedded into each part of the software life cycle. The proposed approach supports financial institutions in complying with DORAs requirements on achieving proactive resilience by embedding compliance into everyday activities and technical solutions. Tämän diplomityön tavoitteena on tarkastella miten Euroopan Unionin finanssialaa koskevat sääntelyvaatimukset voidaan integroida osaksi ohjelmistokehityksen koko elinkaarta. Erityisesti DORA (Digital Operations Resiliency Act) on tuonut uusia vaatimuksia pankeille, joiden odotetaan siirtyvän reaktiivisesta toimintamallista proaktiiviseen resilienssiin. Digitaaliset pankkiratkaisut ovat entistä enemmän kompleksisia ja integroituvat monien eri palveluiden kanssa, joka tuo uusia riskejä sekä kyberuhkien ja häiriöiden muodossa. Tämä on johtanut siihen että regulaatio vaatii pankeilta sisäänrakennettua operatiivista resilienssiä torjumaan sekä reagoimaan uhkiin.
Työssä analysoidaan EU:n finanssialan sääntelyä sekä keskeisiä sähköistä pankkitoimintaa koskevia säädöksiä, erityisesti DORA, PSD2-direktiiviä, GDPR ja eIDAS-asetusta. Työssä tehdään kirjallisuuskatsaus teknisiin ja operatiivisiin resilienssikeinoihin, kuten miten sen voi teoriassa saavuttaa ratkaisuilla arkkitehtuuriin, kyberuhkiin varautumisella, varmuuskopio- ja palautumissuunnitelmilla sekä häiriötilanteiden menettelyillä.
Tutkimuksen keskeinen tulos on viitekehys, jossa DORA-vaatimukset on kartoitettu konkreettisiin teknisiin ratkaisuihin sekä operatiivisiin tehtäviin. Nämä konkreettiset toimet on tuotu osaksi sovelluskehityksen elinkaaren hallintaa (SDLC) ja tarkasteltu mitä toimenpiteitä elinkaaren aikana täytyy tehdä, jotta sovellus noudattaa sääntelyä elinkaaren alusta loppuun. Sovelluksen suunnitteluvaiheessa tehdään sääntelyn pohjatyö, kun päätökset arkkitehtuurista ja teknologiasta tehdään sääntely edellä. Kehitysvaihe tuo tämän pohjatyön käytäntöön ja kehittämisen on noudatettava turvallisen kehittämisen periaatteita, johon kuuluu myös laajamittaista testaamista ja validaatiota. Ylläpitovaihe on regulaation perusteella kaikista intensiivisin vaihe, kun pankeilta vaaditaan sääntelyn noudattamisen ylläpitoa joka kehittyy koko ajan sekä jäsenneltyä muutos- ja häiriöhallintaa.
Tulokset osoittavat että sääntelyn noudattaminen ei voi olla erillinen aktiviteetti normaalista sovelluskehityksestä, vaan se on tuotava osaksi jokapäiväisiä tehtäviä sovelluselinkaaren aikana. Ehdotettu ratkaisu tukee pankkeja DORAn vaatimusten noudattamisessa kun pankkien on siirryttävä proaktiiviseen resilienssin ylläpitoon.
This thesis examines how DORA requirements can be integrated into the Software Development Lifecycle (SDLC) in the development of modern electronic banking systems. The requirements aim for software to achieve compliance by design, implemented from the ground up. This thesis examines the relevant literature on software resilience, exploring theories of secure infrastructure, cybersecurity, backup strategies, and incident management. The theory works as a base for DORA, of which the key requirements for electronic banking are recognised and mapped. The requirements are transformed into a framework with operational and technical solutions for regulatory requirements.
Finally, these technical and operational solutions are integrated into each phase of the SDLC. Planning, analysis and design phases set the foundation for regulatory compliance, where decisions on architecture and technology are made to support later stages of the life cycle. Development and testing phases bring these decisions to life by following secure software development practices as well as proper testing and validation. Maintenance is the most intense stage in terms of regulatory compliance, as it requires maintaining compliance when regulations evolve, as well as incident management and structured change management processes.
The results demonstrate that regulatory compliance can not be treated as a separate activity but must be embedded into each part of the software life cycle. The proposed approach supports financial institutions in complying with DORAs requirements on achieving proactive resilience by embedding compliance into everyday activities and technical solutions.
Työssä analysoidaan EU:n finanssialan sääntelyä sekä keskeisiä sähköistä pankkitoimintaa koskevia säädöksiä, erityisesti DORA, PSD2-direktiiviä, GDPR ja eIDAS-asetusta. Työssä tehdään kirjallisuuskatsaus teknisiin ja operatiivisiin resilienssikeinoihin, kuten miten sen voi teoriassa saavuttaa ratkaisuilla arkkitehtuuriin, kyberuhkiin varautumisella, varmuuskopio- ja palautumissuunnitelmilla sekä häiriötilanteiden menettelyillä.
Tutkimuksen keskeinen tulos on viitekehys, jossa DORA-vaatimukset on kartoitettu konkreettisiin teknisiin ratkaisuihin sekä operatiivisiin tehtäviin. Nämä konkreettiset toimet on tuotu osaksi sovelluskehityksen elinkaaren hallintaa (SDLC) ja tarkasteltu mitä toimenpiteitä elinkaaren aikana täytyy tehdä, jotta sovellus noudattaa sääntelyä elinkaaren alusta loppuun. Sovelluksen suunnitteluvaiheessa tehdään sääntelyn pohjatyö, kun päätökset arkkitehtuurista ja teknologiasta tehdään sääntely edellä. Kehitysvaihe tuo tämän pohjatyön käytäntöön ja kehittämisen on noudatettava turvallisen kehittämisen periaatteita, johon kuuluu myös laajamittaista testaamista ja validaatiota. Ylläpitovaihe on regulaation perusteella kaikista intensiivisin vaihe, kun pankeilta vaaditaan sääntelyn noudattamisen ylläpitoa joka kehittyy koko ajan sekä jäsenneltyä muutos- ja häiriöhallintaa.
Tulokset osoittavat että sääntelyn noudattaminen ei voi olla erillinen aktiviteetti normaalista sovelluskehityksestä, vaan se on tuotava osaksi jokapäiväisiä tehtäviä sovelluselinkaaren aikana. Ehdotettu ratkaisu tukee pankkeja DORAn vaatimusten noudattamisessa kun pankkien on siirryttävä proaktiiviseen resilienssin ylläpitoon.