Ko reikalauja DORA
DORA tapo ES teisės aktu 2025 m. sausio mėnesį. Bankai, draudikai, investicinės įmonės ir mokėjimo įmonės dabar privalo valdyti kiekvienam naudojamam technologijų tiekėjui kylančią riziką. Išsiskiria trys taisyklės.
Privalomosios sutarties sąlygos (30 straipsnis). Kiekvienoje sutartyje su technologijų teikėju turi būti numatyti keturi punktai: audito teisės, incidentų pranešimai, išėjimo planai ir veiklos tikslai. Šios sąlygos nėra neprivalomosios.
Metinės peržiūros (28 straipsnis). Įmonės turi tikrinti kiekvieną pagrindinį tiekėją bent kartą per metus. Tiekėjas laikomas "pagrindiniu", jei jo gedimas sustabdytų įprastą darbą. Anoniminimo priemonės, naudojamos atitikties užduotims, patenka į šią grupę.
Tiekėjų registras (28(3) straipsnis). Įmonės turi tvarkyti visų pagrindinių trečiųjų šalių sutarčių gyvą sąrašą. Sąraše turi būti nurodyti kiekvieno tiekėjo saugumo duomenys.
Metinių peržiūrų atlikimas dešimtims tiekėjų užima daug laiko. Viena individuali peržiūra, atliekama nuo nulio, trunka apytikriai 40-80 valandų vienam tiekėjui. Olandų bankas su 50 pagrindinių tiekėjų kasmet susiduria su iki 4 000 valandų peržiūros darbo. Tai du visu etatu dirbantys darbuotojai, atliekantys tik peržiūras.
ISO 27001 sumažina peržiūros valandas
ISO 27001 sertifikavimas suteikia įmonėms greitesnį kelią per DORA metinės peržiūros taisyklę. Sertifikavimo įstaiga atlieka patikros auditą kasmet ir visišką auditą kas trejus metus. Sertifikatas turi galiojimo datą. Jis lieka galioti tik tada, kai metiniai patikrinimai išlaikomi.
Pagal DORA metinės peržiūros taisyklę įmonė kartą per metus gali gauti dabartinį tiekėjo ISO 27001 sertifikatą ir patikrinti datą. Galiojanti data reiškia, kad per pastaruosius dvylika mėnesių nepriklausoma audito įstaiga patikrino 93 tiekėjo saugumo kontrolės priemones. Įmonė tai fiksuoja tiekėjų registre. Peržiūra atlikta.
Laiko sutaupymas yra realus. Olandų bankas, tikrinantis sertifikuotą anoniminimo priemonę, peržiūrai skiria kelias valandas. Ta pati peržiūra, atlikta nuo nulio, užtrunka savaites. Per 20 sertifikuotų trečiųjų šalių metinis sutaupymas gali siekti 1 200 valandų. Tas laikas gali būti skirtas kitam darbui.
Kodėl privatumo priemonės yra taikymo srityje
Privatumo ir anoniminimo priemonės patenka į DORA taikymo sritį, kai įmonė jas naudoja klientų duomenims tvarkyti, BDAR taisyklėms laikytis arba KYC byloms apdoroti. Jei priemonė sugenda ir įmonė negali pateikti BDAR saugios išvesties, priemonė yra pagrindinė trečioji šalis pagal DORA. Ji turi būti peržiūrima kasmet.
Mūsų BDAR atitikties vadovas paaiškina duomenų mažinimo taisykles. Taip pat skaitykite apie ISO 27001 naudą tiekimo grandinės atitikčiai ir ISO 27001 tiekėjų vertinimo sparinimo būdus, kad sužinotumėte daugiau apie tai, kaip sertifikavimas mažina atitikties darbus.