DORA Обврски за ICT Добавувачи
The EU Digital Operational Resilience Act (DORA), ефективна јануари 2025 година, бара од финансијските институции — банки, осигурителни компании, инвестициски фирми, добавувачи на услуги за плаќање — да имплементираат ригорозни програми за управување на ризик од трети страни. Клучни барања:
Задолжителни уговорни одредби (член 30): DORA наведува задолжителни клаузули за уговори со добавувачи на услуги на ICT трети страни, вклучувајќи одредби за полн пристап, инспекција и права на аудит; времиња за известување на инцидент; стратегии за излез; и стандарди за напредување.
Годишни евалуации (член 28): Финансијските институции мораат да вршат должност за мајсторство на сите значајни добавувачи на услуги на ICT трети страни барем годишно. "Значајни" е широко дефинирано — секој добавувач на ICT чиј прекин би значајно влијаел на операциите, вклучувајќи алатки за анонимизирање користени во работните текови за усогласеност.
Регистар на ICT трети страни (член 28(3)): Финансијските институции морат да одржуваат и ажурираат регистар на сите значајни договори со ICT трети страни, вклучувајќи документирање на безбедност.
Управување на годишни повторни евалуации на десетици ICT добавувачи е оперативно скупо. Типичната проценка за неструктурирана прилагодена евалуација: 40–80 часа по добавувач по година. За холандска банка со 50 значајни ICT добавувачи, годишните евалуации претставуваат 2.000–4.000 часа време на тимот за усогласеност — еквивалентно на еден до два полниво вработени посветени исклучително на евалуација на добавувачи.