DORA ICT hankija kohustused
EU Digitaalse operatiivse paindlikkuse seadus (DORA), mis jõustus jaanuaris 2025, nõuab finantsinstitutsioonide - pankade, kindlustusseltsidest, investeerimisfirmadest, makseteenuste pakkujate - jäikema ICT kolmanda osapoole riskijuhtimisprogrammide rakendamist. Peamised nõudmised:
Kohustuslikud lepingu sätted (artikkel 30): DORA määrab kohustuslikud klauslid ICT kolmanda osapoole teenuste pakkujatega sõlmitud lepingutesse, sealhulgas täieliku juurdepääsu, inspekteerimise ja auditeerimise õiguste sätted; intsidendi teatamise ajastused; väljumisstrateegiad; ja tulemusstandardid.
Aastased hindamised (artikkel 28): Finantsinstitutsioonid peavad tegema kõigi oluliste ICT kolmanda osapoole teenuste pakkujate valdavalt uurimusi vähemalt aastas. "Oluline" määratlus on lai - iga ICT pakkuja, kelle häiring mõjutaks oluliselt tegevust, sealhulgas anonüümimise tööriistade, mida kasutatakse vastavuse töövoodes.
ICT kolmanda osapoole register (artikkel 28(3)): Finantsinstitutsioonid peavad pidama ja värskendama kõigi oluliste ICT kolmanda osapoole lepingute registrit, sealhulgas turbetulemused.
Kümne või enamgi ICT hankija aastaste uuesti hindamiste juhtimine on operatiivselt kallis. Tüüpiline hinnang jäigule kohandatud hindamisele: 40-80 tundi hankija kohta aastas. Hollandis asuvale pangale koos 50 olulise ICT hankijaga esindavad aastased hindamised 2000-4000 tundi vastavuse meeskonna aega - mis vastab ühele või kahele täiskohalisele personalile, kes on pühendunud ainult hankija hindamisele.