A DORA ICT-szállítói Kötelezettségei
Az EU Digitális Operacionális Reziliencia Törvény (DORA), amely 2025 januárjától hatályos, kötelezi a pénzügyi intézményeket — bankokat, biztosítótársaságokat, befektetési cégeket, fizetési szolgáltatókat — hogy szigorú ICT harmadik feles kockázatkezelési programokat valósítsanak meg. Főbb követelmények:
Kötelező szerződéses rendelkezések (30. cikk): A DORA kötelező záradékokat határoz meg az ICT harmadik feles szolgáltatókkal kötött szerződésekre vonatkozóan, beleértve a teljes körű hozzáférési, ellenőrzési és audit jogokra, az incidensértesítési határidőkre, a kilépési stratégiákra és teljesítményszabványokra vonatkozó rendelkezéseket.
Éves értékelések (28. cikk): A pénzügyi intézményeknek évente legalább egyszer kellő gondossági vizsgálatot kell végezniük az összes material ICT harmadik feles szolgáltatóra vonatkozóan. A "material" fogalma tágan van meghatározva — minden olyan ICT-szállító, amelynek megszakadása jelentősen érintené a működést, beleértve a megfelelőségi munkafolyamatokban használt anonimizáló eszközöket is.
ICT harmadik feles regiszter (28(3). cikk): A pénzügyi intézményeknek fenn kell tartaniuk és frissíteniük kell az összes material ICT harmadik feles megállapodás regiszterét, beleértve a biztonsági dokumentációt.
Tucatnyi ICT-szállító éves újraértékelésének kezelése operatívan költséges. A strukturálatlan egyedi értékelések tipikus becslése: 40-80 óra szállítónként évente. 50 material ICT-szállítóval rendelkező holland bank számára az éves értékelések 2 000-4 000 munkaórát képviselnek a megfelelőségi csapat számára — ami egy-két teljes munkaidős munkatársnak felel meg, kizárólag szállítói értékelésre.
Az ISO 27001 Éves Értékelési Gyorsbillentyű
Az ISO 27001 tanúsítás értéke a DORA-megfelelőség szempontjából az éves felügyeleti struktúra. A tanúsítószerv évente felügyeleti auditokat, háromévente újratanúsítási auditokat végez. A tanúsítvány érvényes marad, amennyiben a felügyeleti auditok megerősítik a folyamatos megfelelőséget. Maga a tanúsítvány lejárati dátumot tartalmaz.
A DORA éves értékelési követelményéhez egy pénzügyi intézmény kielégítheti az "elvégezte a kellő gondossági vizsgálatot" standardot azzal, ha évente lehívja a szállító jelenlegi ISO 27001 tanúsítványát és ellenőrzi annak érvényességét. A tanúsítvány azt demonstrálja, hogy egy független audit szervezet az elmúlt éven belül értékelte a szállító 93 biztonsági kontrolját. Ez a bizonyíték dokumentálva kerül az ICT harmadik feles regiszterbe.
A DORA hatálya alá tartozó holland bank ISO 27001 tanúsított anonimizáló szállítót értékelhet a tanúsítvány érvényességének ellenőrzésével — ez órákat, nem heteket vesz igénybe. A bank szállítónként évente 60 munkaóra értékelési időt takarít meg. 20 ISO 27001 tanúsított szállítójukkal a regiszterben az éves megtakarítás 1 200 munkaórát jelent — elegendő a jelentős megfelelőségi erőforrások átcsoportosításához.
A DORA Relevanciája az Adatvédelmi Eszközökre
Az adatvédelmi és anonimizáló eszközök ICT-szállítók a DORA hatálya alatt azoknak a pénzügyi intézményeknek, amelyek ezeket ügyféladata feldolgozásához, GDPR-megfelelőséghez, szabályozói beadványok előkészítéséhez vagy KYC-dokumentáció kezeléséhez használják. Egy ügyféladata feldolgozó anonimizáló eszköz material ICT-szállító, ha megszakadása megakadályozná az intézményt a GDPR adatminimalizálási követelményeinek teljesítésében vagy GDPR-megfelelő szabályozói beadványok előállításában.
Források: