Какво изисква DORA
DORA влезе в сила като закон на ЕС през януари 2025 г. Банки, застрахователи, инвестиционни дружества и платежни дружества вече трябва да управляват риска от всеки технологичен доставчик, когото използват. Открояват се три правила.
Задължителни договорни клаузи (член 30). Всеки договор с технологичен доставчик трябва да обхваща четири точки: права на одит, уведомления при инциденти, планове за излизане и целеви показатели за изпълнение. Тези клаузи не са по избор.
Годишни прегледи (член 28). Дружествата трябва да проверяват всеки ключов доставчик поне веднъж годишно. Доставчикът е "ключов", ако неговият провал би спрял нормалната работа. Инструментите за анонимизиране, използвани в задачи по комплайанс, попадат в тази група.
Регистър на доставчиците (член 28(3)). Дружествата трябва да поддържат актуален списък на всички ключови договори с трети страни. Списъкът трябва да включва записи за сигурност за всеки от тях.
Провеждането на годишни прегледи за десетки доставчици отнема много време. Един персонализиран преглед - направен от нулата - отнема приблизително 40-80 часа на доставчик. Холандска банка с 50 ключови доставчика е изправена пред до 4000 часа работа по прегледи всяка година. Това са двама щатни служители, работещи само по прегледи.
ISO 27001 съкращава часовете за преглед
Сертификацията ISO 27001 дава на дружествата по-бърз маршрут през правилото на DORA за годишен преглед. Сертификационният орган провежда проверка на надзора всяка година и пълен одит на всеки три години. Сертификатът има крайна дата. Той остава валиден само докато годишните проверки преминат успешно.
Според правилото на DORA за годишен преглед, едно дружество може да изтегли актуалния ISO 27001 сертификат на доставчика веднъж годишно и да провери датата. Валидната дата означава, че външен одитиращ орган е проверил 93-те контрола за сигурност на доставчика през изминалите дванадесет месеца. Дружеството регистрира това в регистъра на доставчиците. Прегледът е завършен.
Печалбата от времето е реална. Холандска банка, проверяваща сертифициран инструмент за анонимизиране, прекарва няколко часа в прегледа. Същият преглед, направен от нулата, отнема седмици. При 20 сертифицирани трети страни, годишната икономия може да достигне 1200 часа. Това време може да се използва за друга работа.
Защо инструментите за поверителност са в обхвата
Инструментите за поверителност и анонимизиране попадат под DORA, когато дружеството ги използва за обработка на клиентски данни, спазване на правилата на GDPR или обработка на KYC файлове. Ако инструментът спре и дружеството не може да произведе изходни данни, съвместими с GDPR, инструментът е ключова трета страна по DORA. Той трябва да се преглежда всяка година.
Нашето ръководство за комплайанс с GDPR обяснява правилата за минимизиране на данните. Вижте също стойността на ISO 27001 за последващо съответствие и бързи пътища при оценка на доставчици по ISO 27001 за повече информация как сертификацията намалява работата по комплайанс.