DORA의 ICT 공급업체 의무
2025년 1월 발효되는 EU 디지털 운영 회복력 법안(DORA)은 금융 기관 — 은행, 보험 회사, 투자 회사, 결제 서비스 제공업체 — 에게 엄격한 ICT 제3자 위험 관리 프로그램을 구현하도록 요구합니다. 주요 요구 사항:
의무 계약 조항 (제30조): DORA는 ICT 제3자 서비스 제공업체와의 계약에 대한 의무 조항을 명시하며, 여기에는 전체 접근, 검사 및 감사 권리; 사고 통지 일정; 종료 전략; 및 성과 기준이 포함됩니다.
연간 평가 (제28조): 금융 기관은 모든 주요 ICT 제3자 서비스 제공업체에 대해 최소한 연간 실사를 수행해야 합니다. "주요"는 광범위하게 정의되며, 운영에 중대한 영향을 미칠 수 있는 모든 ICT 제공업체를 포함합니다. 여기에는 준수 워크플로우에서 사용되는 익명화 도구가 포함됩니다.
ICT 제3자 등록부 (제28조(3)): 금융 기관은 모든 주요 ICT 제3자 계약의 등록부를 유지하고 업데이트해야 하며, 보안 문서도 포함됩니다.
수십 개의 ICT 공급업체에 대한 연간 재평가를 관리하는 것은 운영 비용이 많이 듭니다. 비구조적 맞춤형 평가에 대한 일반적인 추정치는: 공급업체당 연간 40–80시간입니다. 50개의 주요 ICT 공급업체가 있는 네덜란드 은행의 경우, 연간 평가는 준수 팀의 시간으로 2,000–4,000시간을 차지하며, 이는 공급업체 평가에 전적으로 전념하는 1~2명의 정규직 직원에 해당합니다.
ISO 27001 연간 평가 단축키
ISO 27001 인증의 DORA 준수에 대한 가치는 연간 감시 구조에 있습니다. 인증 기관은 매년 감시 감사를 수행하고 3년마다 재인증 감사를 실시합니다. 감시 감사가 지속적인 준수를 확인하는 한 인증서는 유효합니다. 인증서 자체에는 만료일이 있습니다.
DORA의 연간 평가 요구 사항에 대해 금융 기관은 공급업체의 현재 ISO 27001 인증서를 매년 발급받고 그 유효성을 확인함으로써 "실시된 실사" 기준을 충족할 수 있습니다. 이 인증서는 독립 감사 기관이 지난 1년 이내에 공급업체의 93개 보안 통제를 평가했음을 보여줍니다. 이 증거는 ICT 제3자 등록부에 문서화됩니다.
DORA의 적용을 받는 네덜란드 은행은 인증서 유효성을 확인하여 ISO 27001 인증을 받은 익명화 공급업체를 평가할 수 있으며, 이는 주말이 아닌 몇 시간 내에 이루어집니다. 은행은 공급업체당 연간 60시간의 평가 시간을 절약합니다. 등록부에 20개의 ISO 27001 인증 공급업체가 있는 경우, 연간 절약 시간은 1,200시간에 해당하며, 이는 상당한 준수 자원을 재배치할 수 있는 충분한 시간입니다.
DORA의 개인 정보 도구와의 관련성
개인 정보 및 익명화 도구는 고객 데이터를 처리하거나 GDPR을 준수하거나 규제 제출을 준비하거나 KYC 문서를 처리하는 데 사용하는 금융 기관의 ICT 제공업체로 DORA의 범위에 포함됩니다. 고객 데이터를 처리하는 익명화 도구는 그 중단이 기관이 GDPR의 데이터 최소화 요구 사항을 준수하거나 GDPR 준수 규제 제출을 생성하는 것을 방해할 경우 주요 ICT 제공업체입니다.
출처: