Zákon EU o digitální provozní odolnosti (DORA), platný od 17. ledna 2025, vyžaduje, aby finanční subjekty — banky, pojišťovny, investiční firmy, platební instituce — udržovaly rozsáhlé programy řízení ICT rizik třetích stran.
DORA Požadavky na Správu Dodavatelů
Registr ICT Třetích Stran: Finanční subjekty musí udržovat aktualizovaný registr všech ICT třetích stran — dodavatelé softwaru, cloudové služby, zpracovatele dat. Registr musí zahrnovat hodnocení kritičnosti každého dodavatele.
Roční Posouzení: Kritičtí ICT dodavatelé vyžadují formální roční posouzení pokrývající:
- Bezpečnostní kontrol posouzení
- Operační odolnost opatření
- Schopnosti obnovení po havárii
- Přeshraniční datový přenos shoda
Smluvní Požadavky: DORA specifikuje minimální smluvní podmínky pro ICT třetí strany, včetně:
- Audit práva
- Povinná bezpečnostní certifikace (nebo shoda s bezpečnostními standardy)
- Oznamovací povinnosti incidentu
Jak ISO 27001 Zjednodušuje DORA Hodnocení
ISO 27001 certifikace přímo mapuje na DORA bezpečnostní hodnocení požadavky:
DORA Článek 28 — ICT třetí strany bezpečnostní standardy: ISO 27001 je výslovně uznávána jako přijatý bezpečnostní standard pro DORA compliance. Certifikovaný dodavatel vyžaduje zkrácenou bezpečnostní přezkum.
DORA Roční Hodnocení Posun: Bez ISO 27001: roční hodnocení zahrnuje kompletní bezpečnostní dotazník (150+ otázek) + evidence žádost + čas přezkumu.
S ISO 27001: hodnocení zahrnuje certifikát ověření + pouze delta kontrol přezkum (kontroly ne pokryté certifikací). Čas hodnocení snížen o ~60 %.
Audit Práva Splnění: ISO 27001 certifikace zahrnuje pravidelné audity třetí strany. Pro DORA audit práva: finanční subjekt může odkázat na ISO 27001 audit jako zástupce pro jejich vlastní audit práva výkon.
Zdroje: