DORA Задължения на доставчика на ИКТ
Законът за цифрова оперативна устойчивост на ЕС (DORA), в сила от януари 2025 г., изисква от финансовите институции — банки, застрахователни компании, инвестиционни посредници, доставчици на платежни услуги — да прилагат строги програми за управление на риска от трети страни в ИКТ. Основни изисквания:
Задължителни договорни разпоредби (член 30): DORA определя задължителни клаузи за договори с доставчици на ИКТ услуги - трети страни, включително разпоредби за права за пълен достъп, проверка и одит; графици за уведомяване за инциденти; стратегии за изход; и стандарти за изпълнение.
Годишни оценки (член 28): Финансовите институции трябва да извършват надлежна проверка на всички съществени доставчици на ИКТ услуги от трети страни поне веднъж годишно. „Материал“ е широко дефиниран — всеки доставчик на ИКТ, чието прекъсване би повлияло значително на операциите, включително инструменти за анонимизиране, използвани в работните процеси за съответствие.
Регистър на трети страни за ИКТ (член 28, параграф 3): Финансовите институции трябва да поддържат и актуализират регистър на всички съществени споразумения с трети страни за ИКТ, включително документация за сигурност.
Управлението на годишните повторни оценки на десетки доставчици на ИКТ е оперативно скъпо. Типичната оценка за неструктурирана персонализирана оценка: 40–80 часа на доставчик на година. За холандска банка с 50 съществени доставчици на ИКТ годишните оценки представляват 2000–4000 часа време на екипа за съответствие — еквивалентът на един до двама членове на персонала на пълен работен ден, посветени изключително на оценката на доставчици.
Пряк път за годишна оценка по ISO 27001
Стойността на сертификата по ISO 27001 за съответствие с DORA е неговата годишна структура за наблюдение. Сертифициращият орган извършва надзорни одити ежегодно и ресертификационни одити на всеки три години. Сертифицирането остава актуално, докато одитите за наблюдение потвърждават текущото съответствие. Самият сертификат носи срок на валидност.
За изискването за годишна оценка на DORA финансова институция може да удовлетвори стандарта за „извършена надлежна проверка“, като изтегля текущия сертификат ISO 27001 на доставчика всяка година и проверява неговата валута. Сертификатът показва, че независим одитен орган е оценил 93 контрола на сигурността на доставчика през последната година. Това доказателство е документирано в регистъра на трета страна на ИКТ.
Холандска банка, предмет на DORA, може да оцени доставчик на анонимност, сертифициран по ISO 27001, като провери валутата на сертификата – отнема часове, а не седмици. Банката спестява 60 часа време за оценка на доставчик на година. При 20 сертифицирани по ISO 27001 доставчици в техния регистър годишното спестяване представлява 1200 часа — достатъчно за преразпределяне на значителни ресурси за съответствие.
DORA Съответствие с инструментите за поверителност
Инструментите за поверителност и анонимизиране са доставчици на ИКТ в обхвата на DORA за финансови институции, които ги използват за обработка на клиентски данни, спазване на GDPR, изготвяне на регулаторни документи или обработка на KYC документация. Инструмент за анонимизиране, който обработва клиентски данни, е съществен доставчик на ИКТ, ако прекъсването му би попречило на институцията да спазва изискванията за минимизиране на данните на GDPR или да произвежда регулаторни документи, съответстващи на GDPR.
Източници:
- [Регламент DORA: Членове 28-30 на изискванията на доставчика на ИКТ в Закона за цифрова оперативна устойчивост на ЕС] (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R2554)
- [Atlass Systems: ISO 27001 и DORA интеграция на регистъра на риска на доставчика] (https://www.atlassystems.com/blog/how-to-manage-third-party-risks-with-an-iso-27001-vendor-assessment)
- [MiFID II: Изисквания за надзор на доставчиците за технология за финансови услуги] (https://eur-lex.europa.eu)