DORA & Manajemen Vendor ICT: Mengapa ISO 27001...

DORA: Regulasi Ketahanan Digital EU

Digital Operational Resilience Act (DORA) adalah peraturan EU baru yang mulai berlaku pada Januari 2025. DORA mensyaratkan bahwa institusi keuangan (bank, perusahaan investasi, penyedia pembayaran, asurans) harus:

1. Pemetaan Ketergantungan ICT — Identifikasi semua sistem IT yang penting untuk operasi bisnis
2. Audit Vendor ICT — Menilai vendor yang menyediakan sistem penting untuk risiko keamanan siber
3. Pengujian Ketahanan — Melakukan simulasi serangan siber ("stress test digital") untuk memverifikasi bahwa sistem dapat bertahan kegagalan
4. Pelaporan Insiden — Laporkan gangguan ICT kritis kepada regulator dalam jam-jam (bukan hari-hari)

Peraturan ini berlaku secara langsung — tidak ada periode ketenangan atau pengecualian untuk organisasi kecil.

Apa yang Dianggap "ICT Kritis" di Bawah DORA?

DORA mendefinisikan "ICT kritis" sebagai sistem IT yang, jika gagal:

• Mengganggu layanan keuangan (pembayaran tidak dapat diproses)
• Mengungkapkan data pelanggan (informasi rekening, transaksi keuangan)
• Melanggar kepatuhan regulasi

Alat penanoniman yang memproses data pelanggan keuangan dianggap ICT kritis karena:

1. Jika gagal, pengungkapan data pelanggan
2. Jika salah konfigurasi, pelanggaran GDPR
3. Jika disusupi, akses ke data akun pelanggan sensitif

Persyaratan DORA untuk Vendor ICT

Institusi keuangan sekarang memerlukan vendor untuk:

1. Keselamatan Teknis — Enkripsi TLS, pembaruan keamanan, penetration testing
2. Dukungan Teknis 24/7 — Respons insiden dalam 4 jam
3. Kepatuhan Regulasi — ISO 27001, SOC 2 Type II, atau audit keamanan independen
4. Transparansi Keandalan — Tingkat ketersediaan 99.9%+, RTO 1 jam, RPO 15 menit
5. Rencana Kontinuitas Bisnis — Prosedur failover, backup lokasi terpisah, pengujian bulanan

Persyaratan Audit DORA untuk Penyedia Layanan ICT

Bankir Italia, Spanyol, dan Swedia telah mengeluarkan panduan 2025 yang menetapkan:

Untuk vendor dengan data pelanggan < EUR 1 miliar: ISO 27001 + laporan audit keamanan independen (tahunan) Untuk vendor dengan data pelanggan > EUR 1 miliar: ISO 27001 + SOC 2 Type II + DORA stress test hasil + simulasi incident response

Vendor yang tidak memiliki ISO 27001 mungkin masih dapat menjual ke institusi keuangan kecil (< EUR 10 miliar aset), tetapi sebagian besar bank besar akan menolak selama fase kepatuhan DORA (2025-2026).

Implikasi untuk Vendor Penanoniman

Vendor penanoniman yang menargetkan sektor keuangan sekarang harus menunjukkan:

1. ISO 27001 (bukti sertifikat)
2. Laporan SOC 2 Type II (keselamatan, ketersediaan, integritas proses)
3. DORA Readiness — dokumentasi yang menunjukkan bagaimana alat memenuhi:
   • Keamanan teknis Lampiran C DORA
   • Rencana kontinuitas bisnis
   • Prosedur notifikasi insiden
4. Hasil Stress Test — simulasi yang menunjukkan bahwa alat dapat bertahan lama pengalihan kegagalan/failover

Sector keuangan adalah salah satu pasar paling menguntungkan untuk vendor penanoniman (organisasi besar, budget besar), tetapi akses sekarang gated oleh sertifikasi DORA dan ISO 27001. Vendor tanpa sertifikasi ini secara efektif terkunci keluar dari sektor keuangan pada 2025.