DORAs ICT Leverandørforpligtelser
EU's Digital Operational Resilience Act (DORA), der træder i kraft i januar 2025, kræver, at finansielle institutioner — banker, forsikringsselskaber, investeringsfirmaer, betalingsserviceudbydere — implementerer strenge ICT tredjeparts risikostyringsprogrammer. Nøglekrav:
Obligatoriske kontraktbestemmelser (Artikel 30): DORA specificerer obligatoriske klausuler for kontrakter med ICT tredjeparts serviceudbydere, herunder bestemmelser om fuld adgang, inspektion og revisionsretter; tidslinjer for hændelsesunderretning; exit-strategier; og præstationsstandarder.
Årlige vurderinger (Artikel 28): Finansielle institutioner skal udføre due diligence på alle materielle ICT tredjeparts serviceudbydere mindst årligt. "Materiel" er bredt defineret — enhver ICT-udbyder hvis forstyrrelse ville påvirke driften betydeligt, herunder anonymisering værktøjer, der anvendes i overholdelsesarbejdsgange.
ICT tredjeparts register (Artikel 28(3)): Finansielle institutioner skal opretholde og opdatere et register over alle materielle ICT tredjeparts aftaler, herunder sikkerhedsdokumentation.
At håndtere årlige genvurderinger af dusinvis af ICT-leverandører er driftsmæssigt dyrt. Den typiske vurdering for en ustruktureret tilpasset vurdering: 40–80 timer pr. leverandør pr. år. For en hollandsk bank med 50 materielle ICT-leverandører repræsenterer årlige vurderinger 2.000–4.000 timer af overholdelsesteamets tid — svarende til en til to fuldtidsansatte dedikeret udelukkende til leverandørvurdering.
ISO 27001 Årlig Vurderings Genvej
Værdien af ISO 27001 certificering for DORA overholdelse er dens årlige overvågningsstruktur. Certificeringsorganet udfører overvågningsrevisioner årligt og recertificeringsrevisioner hvert tredje år. Certificeringen forbliver aktuel, så længe overvågningsrevisionerne bekræfter løbende overholdelse. Selve certifikatet har en udløbsdato.
For DORAs årlige vurderingskrav kan en finansiel institution opfylde standarden for "udført due diligence" ved at trække leverandørens nuværende ISO 27001 certifikat årligt og verificere dets aktualitet. Certifikatet viser, at et uafhængigt revisionsorgan har vurderet leverandørens 93 sikkerhedskontroller inden for det seneste år. Dette bevis er dokumenteret i ICT tredjepartsregisteret.
En hollandsk bank, der er underlagt DORA, kan vurdere en ISO 27001 certificeret anonymisering leverandør ved at verificere certifikatets aktualitet — hvilket tager timer i stedet for uger. Banken sparer 60 timers vurderingstid pr. leverandør pr. år. På tværs af 20 ISO 27001 certificerede leverandører i deres register repræsenterer den årlige besparelse 1.200 timer — nok til at omfordele betydelige overholdelsesressourcer.
DORAs Relevans for Privatlivsværktøjer
Privatlivs- og anonymiseringsværktøjer er ICT-udbydere under DORAs anvendelsesområde for finansielle institutioner, der bruger dem til at behandle kundedata, overholde GDPR, forberede reguleringsindsendelser eller håndtere KYC-dokumentation. Et anonymiseringsværktøj, der behandler kundedata, er en materiel ICT-udbyder, hvis dets forstyrrelse ville forhindre institutionen i at overholde GDPR's krav om dataminimering eller producere GDPR-kompatible reguleringsindsendelser.
Kilder: