DORA की ICT विक्रेता बाधाएँ
EU डिजिटल ऑपरेशनल रेजिलिएंस अधिनियम (DORA), जो जनवरी 2025 से प्रभावी है, वित्तीय संस्थानों — बैंकों, बीमा कंपनियों, निवेश फर्मों, भुगतान सेवा प्रदाताओं — से मांग करता है कि वे कठोर ICT तृतीय-पक्ष जोखिम प्रबंधन कार्यक्रम लागू करें। प्रमुख आवश्यकताएँ:
अनिवार्य संविदात्मक प्रावधान (अनुच्छेद 30): DORA ICT तृतीय-पक्ष सेवा प्रदाताओं के साथ अनुबंधों के लिए अनिवार्य धाराएँ निर्दिष्ट करता है, जिसमें पूर्ण पहुँच, निरीक्षण, और ऑडिट अधिकार; घटना सूचना समयसीमाएँ; निकासी रणनीतियाँ; और प्रदर्शन मानक शामिल हैं।
वार्षिक मूल्यांकन (अनुच्छेद 28): वित्तीय संस्थानों को सभी महत्वपूर्ण ICT तृतीय-पक्ष सेवा प्रदाताओं पर कम से कम वार्षिक रूप से उचित परिश्रम करना चाहिए। "महत्वपूर्ण" को व्यापक रूप से परिभाषित किया गया है — कोई भी ICT प्रदाता जिसकी विफलता संचालन को महत्वपूर्ण रूप से प्रभावित करेगी, जिसमें अनुपालन कार्यप्रवाह में उपयोग किए जाने वाले एनोनिमाइजेशन उपकरण शामिल हैं।
ICT तृतीय-पक्ष रजिस्टर (अनुच्छेद 28(3)): वित्तीय संस्थानों को सभी महत्वपूर्ण ICT तृतीय-पक्ष समझौतों का एक रजिस्टर बनाए रखना और अपडेट करना चाहिए, जिसमें सुरक्षा दस्तावेज़ शामिल हैं।
दर्जनों ICT विक्रेताओं के वार्षिक पुनर्मूल्यांकन का प्रबंधन संचालन के लिए महंगा है। एक असंरचित कस्टम आकलन के लिए सामान्य अनुमान: 40–80 घंटे प्रति विक्रेता प्रति वर्ष। 50 महत्वपूर्ण ICT विक्रेताओं के साथ एक डच बैंक के लिए, वार्षिक मूल्यांकन अनुपालन टीम के समय का 2,000–4,000 घंटे का प्रतिनिधित्व करता है — जो विक्रेता मूल्यांकन के लिए विशेष रूप से समर्पित एक से दो पूर्णकालिक कर्मचारियों के बराबर है।
ISO 27001 वार्षिक मूल्यांकन शॉर्टकट
DORA अनुपालन के लिए ISO 27001 प्रमाणन का मूल्य इसकी वार्षिक निगरानी संरचना है। प्रमाणन निकाय वार्षिक रूप से निगरानी ऑडिट करता है और हर तीन साल में पुनः प्रमाणन ऑडिट करता है। जब तक निगरानी ऑडिट निरंतर अनुपालन की पुष्टि करते हैं, तब तक प्रमाणन वर्तमान रहता है। प्रमाण पत्र स्वयं एक समाप्ति तिथि रखता है।
DORA के वार्षिक मूल्यांकन की आवश्यकता के लिए, एक वित्तीय संस्थान विक्रेता के वर्तमान ISO 27001 प्रमाण पत्र को वार्षिक रूप से खींचकर और इसकी वर्तमानता की पुष्टि करके "किए गए उचित परिश्रम" मानक को संतुष्ट कर सकता है। प्रमाण पत्र यह दर्शाता है कि एक स्वतंत्र ऑडिट निकाय ने पिछले वर्ष के भीतर विक्रेता के 93 सुरक्षा नियंत्रणों का आकलन किया। यह प्रमाण ICT तृतीय-पक्ष रजिस्टर में प्रलेखित है।
DORA के अधीन एक डच बैंक ISO 27001 प्रमाणित एनोनिमाइजेशन विक्रेता का आकलन प्रमाण पत्र की वर्तमानता की पुष्टि करके कर सकता है — घंटों में, न कि हफ्तों में। बैंक प्रति विक्रेता प्रति वर्ष 60 घंटे के मूल्यांकन समय की बचत करता है। उनके रजिस्ट्रियों में 20 ISO 27001 प्रमाणित विक्रेताओं के बीच, वार्षिक बचत 1,200 घंटे का प्रतिनिधित्व करती है — जो महत्वपूर्ण अनुपालन संसाधनों को पुनः आवंटित करने के लिए पर्याप्त है।
DORA का गोपनीयता उपकरणों से संबंध
गोपनीयता और एनोनिमाइजेशन उपकरण DORA के दायरे में ICT प्रदाता हैं जो वित्तीय संस्थान उन्हें ग्राहक डेटा संसाधित करने, GDPR का अनुपालन करने, नियामक प्रस्तुतियों की तैयारी करने, या KYC दस्तावेज़ों को संभालने के लिए उपयोग करते हैं। एक एनोनिमाइजेशन उपकरण जो ग्राहक डेटा संसाधित करता है, एक महत्वपूर्ण ICT प्रदाता है यदि इसकी विफलता संस्थान को GDPR के डेटा न्यूनतम आवश्यकताओं का अनुपालन करने या GDPR-अनुपालन नियामक प्रस्तुतियाँ तैयार करने से रोकती है।
स्रोत: