Τι Απαιτεί ο DORA
Ο DORA αποτελεί ευρωπαϊκό νόμο από τον Ιανουάριο 2025. Τράπεζες, ασφαλιστικές εταιρείες, επενδυτικές εταιρείες και εταιρείες πληρωμών οφείλουν πλέον να διαχειρίζονται τον κίνδυνο από κάθε τεχνολογικό προμηθευτή που χρησιμοποιούν. Τρεις κανόνες ξεχωρίζουν.
Υποχρεωτικοί συμβατικοί όροι (Άρθρο 30). Κάθε σύμβαση με πάροχο τεχνολογίας πρέπει να καλύπτει τέσσερα σημεία: δικαιώματα ελέγχου, ειδοποιήσεις συμβάντων, σχέδια εξόδου και στόχοι επιδόσεων. Αυτές οι ρήτρες δεν είναι προαιρετικές.
Ετήσιοι έλεγχοι (Άρθρο 28). Οι εταιρείες πρέπει να ελέγχουν κάθε βασικό προμηθευτή τουλάχιστον μία φορά το χρόνο. Ένας πάροχος χαρακτηρίζεται «βασικός» εάν η αποτυχία του θα ανέκοπτε την κανονική λειτουργία. Τα εργαλεία ανωνυμοποίησης που χρησιμοποιούνται σε εργασίες συμμόρφωσης εμπίπτουν σε αυτή την κατηγορία.
Μητρώο προμηθευτών (Άρθρο 28(3)). Οι εταιρείες πρέπει να τηρούν ενημερωμένη λίστα όλων των βασικών συμβάσεων με τρίτους. Η λίστα πρέπει να περιλαμβάνει αρχεία ασφάλειας για τον καθένα.
Η διεξαγωγή ετήσιων ελέγχων για δεκάδες παρόχους απαιτεί πολύ χρόνο. Ένας προσαρμοσμένος έλεγχος — από μηδενική βάση — εκτιμάται ότι κοστίζει 40–80 ώρες ανά πάροχο. Μια ολλανδική τράπεζα με 50 βασικούς προμηθευτές αντιμετωπίζει έως 4.000 ώρες εργασίας ελέγχου ετησίως. Αυτό ισοδυναμεί με δύο πλήρους απασχόλησης υπαλλήλους αφιερωμένους αποκλειστικά σε ελέγχους.
Το ISO 27001 Μειώνει τις Ώρες Ελέγχου
Η πιστοποίηση ISO 27001 παρέχει στις εταιρείες έναν ταχύτερο δρόμο μέσα από τον ετήσιο κανόνα ελέγχου του DORA. Ο φορέας πιστοποίησης διεξάγει έλεγχο επιτήρησης κάθε χρόνο και πλήρη έλεγχο κάθε τρία χρόνια. Το πιστοποιητικό έχει ημερομηνία λήξης. Παραμένει σε ισχύ μόνο εφόσον οι ετήσιοι έλεγχοι ολοκληρώνονται επιτυχώς.
Βάσει του ετήσιου κανόνα ελέγχου του DORA, μια εταιρεία μπορεί να ανακτά το τρέχον πιστοποιητικό ISO 27001 του παρόχου μια φορά τον χρόνο και να ελέγχει την ημερομηνία. Μια έγκυρη ημερομηνία σημαίνει ότι εξωτερικός φορέας ελέγχου επαλήθευσε τα 93 μέτρα ελέγχου ασφάλειας του παρόχου τους τελευταίους δώδεκα μήνες. Η εταιρεία καταγράφει αυτό στο μητρώο προμηθευτών. Ο έλεγχος έχει ολοκληρωθεί.
Το κέρδος χρόνου είναι πραγματικό. Μια ολλανδική τράπεζα που ελέγχει ένα πιστοποιημένο εργαλείο ανωνυμοποίησης αφιερώνει λίγες ώρες στον έλεγχο. Ο ίδιος έλεγχος από μηδενική βάση θα έπαιρνε εβδομάδες. Σε 20 πιστοποιημένους τρίτους παρόχους, η ετήσια εξοικονόμηση μπορεί να φτάσει τις 1.200 ώρες. Αυτός ο χρόνος μπορεί να διατεθεί σε άλλες εργασίες.
Γιατί τα Εργαλεία Απορρήτου Εμπίπτουν στο Πεδίο Εφαρμογής
Τα εργαλεία απορρήτου και ανωνυμοποίησης εμπίπτουν στον DORA όταν μια εταιρεία τα χρησιμοποιεί για τον χειρισμό δεδομένων πελατών, την τήρηση κανόνων GDPR ή την επεξεργασία αρχείων KYC. Εάν το εργαλείο τεθεί εκτός λειτουργίας και η εταιρεία δεν μπορεί να παράγει ασφαλή έξοδο κατά GDPR, το εργαλείο αποτελεί βασικό τρίτο πάροχο βάσει του DORA. Πρέπει να ελέγχεται κάθε χρόνο.
Ο οδηγός συμμόρφωσης GDPR επεξηγεί τους κανόνες ελαχιστοποίησης δεδομένων. Δείτε επίσης αξία ISO 27001 στη συμμόρφωση κατάντη αλυσίδας εφοδιασμού και συντομεύσεις αξιολόγησης προμηθευτών με ISO 27001 για περισσότερα σχετικά με τον τρόπο που η πιστοποίηση μειώνει την εργασία συμμόρφωσης.