Τι είναι το DORA
Ο Digital Operational Resilience Act (DORA, Κανονισμός ΕΕ 2022/2554) τέθηκε σε ισχύ τον Ιανουάριο 2025 και εφαρμόζεται σε:
- Τράπεζες, ασφαλιστικές εταιρείες, επενδυτικές εταιρείες
- Κρίσιμους παρόχους ICT (cloud, analytics, ανωνυμοποίηση)
DORA και Εργαλεία Ανωνυμοποίησης PII
Ένα εργαλείο ανωνυμοποίησης PII που επεξεργάζεται δεδομένα πελατών χρηματοπιστωτικού ιδρύματος θεωρείται πάροχος ICT τρίτου μέρους υπό το DORA.
Απαιτήσεις DORA για παρόχους ICT:
| Άρθρο | Απαίτηση |
|---|---|
| Άρθρο 30 | Γραπτή σύμβαση με περιγραφή υπηρεσιών |
| Άρθρο 31 | Κατάλογος κρίσιμων ICT παρόχων |
| Άρθρο 32 | Δικαίωμα ελέγχου/αξιολόγησης παρόχου |
| Άρθρο 33 | Σχέδιο εξόδου από εξάρτηση παρόχου |
Σχέση DORA-ISO 27001
Το ISO 27001 δεν είναι απαίτηση DORA, αλλά επικαλύπτεται σημαντικά:
- ISO 27001 Παράρτημα Α.15: Σχέσεις με προμηθευτές — ευθυγραμμίζεται με Άρθρο 30 DORA
- ISO 27001 Παράρτημα Α.17: Επιχειρησιακή συνέχεια — ευθυγραμμίζεται με ανθεκτικότητα DORA
- Πάροχος με ISO 27001 επιταχύνει τον έλεγχο DORA (υπάρχουσα τεκμηρίωση)
Πηγές: