Cosa Richiede DORA
DORA è diventato legge UE nel gennaio 2025. Banche, assicurazioni, società di investimento e istituti di pagamento devono ora gestire il rischio derivante da ogni fornitore tecnologico che utilizzano. Tre requisiti sono particolarmente rilevanti.
Clausole contrattuali obbligatorie (Articolo 30). Ogni contratto con un fornitore tecnologico deve coprire quattro aspetti: diritti di audit, notifiche degli incidenti, piani di uscita e obiettivi di performance. Queste clausole non sono facoltative.
Revisioni annuali (Articolo 28). Le aziende devono verificare ogni fornitore critico almeno una volta l'anno. Un fornitore è "critico" se il suo malfunzionamento impedirebbe lo svolgimento delle attività ordinarie. Gli strumenti di anonimizzazione utilizzati in attività di conformità rientrano in questa categoria.
Registro dei fornitori (Articolo 28(3)). Le aziende devono tenere un elenco aggiornato di tutti i contratti con terze parti critiche. L'elenco deve includere i dati sulla sicurezza di ciascun fornitore.
Condurre revisioni annuali per decine di fornitori richiede un investimento di tempo considerevole. Una revisione personalizzata — effettuata da zero — richiede una stima di 40-80 ore per fornitore. Una banca olandese con 50 fornitori critici affronta fino a 4.000 ore di lavoro di revisione all'anno. L'equivalente di due dipendenti a tempo pieno dedicati esclusivamente alle revisioni.
ISO 27001 Riduce le Ore di Revisione
La certificazione ISO 27001 offre alle aziende un percorso più rapido per adempiere all'obbligo di revisione annuale previsto da DORA. L'ente di certificazione conduce un audit di sorveglianza ogni anno e un audit completo ogni tre anni. Il certificato ha una data di scadenza e rimane valido solo se le verifiche annuali vengono superate.
Ai sensi dell'obbligo di revisione annuale di DORA, un'azienda può ottenere una volta l'anno il certificato ISO 27001 aggiornato del fornitore e verificarne la data di validità. Una data valida significa che un ente di audit esterno ha verificato i 93 controlli di sicurezza del fornitore negli ultimi dodici mesi. L'azienda registra questo dato nel registro dei fornitori. La revisione è completata.
Il risparmio di tempo è concreto. Una banca olandese che verifica uno strumento di anonimizzazione certificato impiega poche ore per la revisione. La stessa verifica effettuata da zero richiede settimane. Su 20 terze parti certificate, il risparmio annuale può raggiungere 1.200 ore. Tempo che può essere dedicato ad altre attività.
Perché gli Strumenti Privacy Rientrano nell'Ambito
Gli strumenti di privacy e anonimizzazione rientrano nell'ambito DORA quando un'azienda li utilizza per gestire dati clienti, adempiere alle norme GDPR o elaborare file KYC. Se lo strumento non funziona e l'azienda non può produrre output conformi al GDPR, lo strumento è una terza parte critica ai sensi di DORA. Deve essere revisionato ogni anno.
La nostra guida alla conformità GDPR illustra le norme sulla minimizzazione dei dati. Consulta anche il valore downstream di ISO 27001 nella supply chain e i vantaggi della certificazione nelle valutazioni dei fornitori per approfondire come la certificazione riduca il carico di conformità.