Sto DORA zahtijeva
DORA je postala europski zakon u sijecnju 2025. Banke, osiguravatelji, investicijski fondovi i platne institucije sada moraju upravljati rizicima svakog tehnologijskog dobavljaca kojeg koriste. Tri pravila posebno se isticu.
Obvezne ugovorne odredbe (clanak 30). Svaki ugovor s tehnologijskim davateljem mora sadrzavati cetiri tocke: pravo na reviziju, upozorenja o incidentima, planove izlaska i ciljeve ucinka. Te klauzule nisu neobavezne.
Godisnji pregledi (clanak 28). Tvrtke moraju provjeravati svakog kljucnog dobavljaca najmanje jednom godisnje. Davatelj je "kljucan" ako bi njegov kvar zaustavio normalno poslovanje. Alati za anonimizaciju koji se koriste u zadacima sukladnosti ulaze u ovu skupinu.
Registar dobavljaca (clanak 28(3)). Tvrtke moraju voditi azuriran popis svih kljucnih ugovora s trecim stranama. Popis mora sadrzavati sigurnosne zapise za svakoga.
Provodjenje godisnjnih pregleda za desetke davatelja usluga oduzima mnogo vremena. Jedan prilagoddjeni pregled - napravljen od nule - procjenjuje se na 40 do 80 sati po davatelju. Nizozemska banka s 50 kljucnih dobavljaca suocava se s do 4.000 sati preglednog rada godisnje. To su dva zaposlena s punim radnim vremenom koja se bave iskljucivo pregledima.
ISO 27001 smanjuje sate pregleda
ISO 27001 certifikacija pruza tvrtkama brzi put kroz godisnje pravilo pregleda prema DORA-i. Certifikacijsko tijelo provodi kontrolnu reviziju svake godine i potpunu reviziju svake tri godine. Certifikat ima datum isteka. Ostaje valjan samo dok godisnje provjere prolaze.
Prema godisnjnjem pravilu pregleda iz DORA-e, tvrtka moze jednom godisnje pribaviti trenutni ISO 27001 certifikat davatelja i provjeriti datum. Valjani datum znaci da je vanjsko revizijsko tijelo provjerilo 93 sigurnosne kontrole davatelja u posljednjih dvanaest meseci. Tvrtka to evidentira u registru dobavljaca. Pregled je gotov.
Vremenska ustedja je stvarna. Nizozemska banka koja provjerava certificirani alat za anonimizaciju provede nekoliko sati na pregledu. Isti pregled napravljen od nule traje tjednima. Uz 20 certificiranih trecih strana, godisnja ustedja moze doci do 1.200 sati. To se vrijeme moze usmjeriti na drugi rad.
Zasto su alati za privatnost u opsegu
Alati za privatnost i anonimizaciju ulaze u opseg DORA-e kad ih tvrtka koristi za rukovanje podacima klijenata, ispunjavanje GDPR pravila ili obradu KYC datoteka. Ako alat prestane raditi i tvrtka ne moze izraditi GDPR sukladan rezultat, alat je kljucna treca strana prema DORA-i. Mora se pregledavati svake godine.
Nas vodic za GDPR sukladnost objasnjava pravila minimizacije podataka. Pogledajte i ISO 27001 vrijednost za nizvodnu sukladnost te precice za procjenu dobavljaca prema ISO 27001 za vise o tome kako certifikacija smanjuje opseg posla sukladnosti.