DORA:n ICT-toimittajavelvoitteet
EU:n digitaalinen operatiivinen resilienssilaki (DORA), joka tulee voimaan tammikuussa 2025, vaatii rahoituslaitoksia — pankkeja, vakuutusyhtiöitä, sijoitusyhtiöitä, maksupalveluntarjoajia — toteuttamaan tiukkoja ICT:n kolmannen osapuolen riskienhallintaohjelmia. Keskeiset vaatimukset:
Pakolliset sopimuslausekkeet (artikla 30): DORA määrittelee pakolliset lausekkeet ICT:n kolmannen osapuolen palveluntarjoajien sopimuksille, mukaan lukien täysi pääsy, tarkastus- ja auditointioikeudet; ilmoitusaikataulut; poistumisstrategiat; ja suoritusstandardit.
Vuotuiset arvioinnit (artikla 28): Rahoituslaitosten on suoritettava huolellisuusvelvoitteet kaikille merkittäville ICT:n kolmannen osapuolen palveluntarjoajille vähintään kerran vuodessa. "Merkittävä" on laajasti määritelty — mikä tahansa ICT-toimittaja, jonka häiriö vaikuttaisi merkittävästi toimintaan, mukaan lukien anonymisointityökalut, joita käytetään vaatimustenmukaisuustyönkuluissa.
ICT:n kolmannen osapuolen rekisteri (artikla 28(3)): Rahoituslaitosten on ylläpidettävä ja päivitettävä rekisteri kaikista merkittävistä ICT:n kolmannen osapuolen sopimuksista, mukaan lukien turvallisuusasiakirjat.
Kymmenien ICT-toimittajien vuotuisten uudelleenarviointien hallinta on operatiivisesti kallista. Tyypillinen arvio räätälöidystä arvioinnista: 40–80 tuntia per toimittaja vuodessa. Hollantilaiselle pankille, jolla on 50 merkittävää ICT-toimittajaa, vuotuiset arvioinnit edustavat 2 000–4 000 tuntia vaatimustenmukaisuusryhmän aikaa — vastaava yhden tai kahden kokopäiväisen työntekijän aikaa, joka on omistettu yksinomaan toimittajien arvioinnille.
ISO 27001 Vuotuisen Arvioinnin Lyhyt Tie
ISO 27001 -sertifioinnin arvo DORA:n vaatimustenmukaisuudelle on sen vuotuisessa valvontarakenteessa. Sertifiointielin suorittaa valvontatarkastuksia vuosittain ja uusintatarkastuksia kolmen vuoden välein. Sertifikaatti pysyy voimassa niin kauan kuin valvontatarkastukset vahvistavat jatkuvan vaatimustenmukaisuuden. Itse sertifikaatilla on voimassaoloaika.
DORA:n vuotuisen arviointivaatimuksen osalta rahoituslaitos voi täyttää "suoritetun huolellisuuden" standardin tarkistamalla toimittajan nykyisen ISO 27001 -sertifikaatin vuosittain ja vahvistamalla sen voimassaolon. Sertifikaatti osoittaa, että riippumaton auditointielin on arvioinut toimittajan 93 turvallisuusvalvontaa viimeisen vuoden aikana. Tämä todiste dokumentoidaan ICT:n kolmannen osapuolen rekisterissä.
DORA:n alaisena oleva hollantilainen pankki voi arvioida ISO 27001 -sertifioidun anonymisointitoimittajan vahvistamalla sertifikaatin voimassaolon — mikä vie tunteja sen sijaan, että se kestäisi viikkoja. Pankki säästää 60 tuntia arviointiaikaa per toimittaja vuodessa. 20 ISO 27001 -sertifioidun toimittajan rekisterissä vuotuinen säästö edustaa 1 200 tuntia — riittävästi merkittävien vaatimustenmukaisuusresurssien uudelleen kohdentamiseen.
DORA:n Merkitys Tietosuojatyökaluille
Tietosuoja- ja anonymisointityökalut ovat ICT-toimittajia DORA:n soveltamisalan mukaan rahoituslaitoksille, jotka käyttävät niitä asiakastietojen käsittelyyn, noudattaakseen GDPR:ää, valmistellakseen sääntelyasiakirjoja tai käsitelläkseen KYC-dokumentaatiota. Anonymisointityökalu, joka käsittelee asiakastietoja, on merkittävä ICT-toimittaja, jos sen häiriö estäisi laitosta noudattamasta GDPR:n tietojen minimointivaatimuksia tai tuottamasta GDPR:n mukaisia sääntelyasiakirjoja.
Lähteet: