DORAs ICT Leverandørforpliktelser
EU Digital Operational Resilience Act (DORA), som trer i kraft i januar 2025, krever at finansinstitusjoner — banker, forsikringsselskaper, investeringsselskaper, betalingstjenesteleverandører — implementerer strenge programmer for risikostyring av ICT-tredjepart. Nøkkelkrav:
Obligatoriske kontraktsbestemmelser (Artikkel 30): DORA spesifiserer obligatoriske klausuler for kontrakter med ICT-tredjepartstjenesteleverandører, inkludert bestemmelser for full tilgang, inspeksjon og revisjonsrettigheter; tidslinjer for hendelsesvarsling; exit-strategier; og ytelsesstandarder.
Årlige vurderinger (Artikkel 28): Finansinstitusjoner må utføre aktsomhet på alle materielle ICT-tredjepartstjenesteleverandører minst årlig. "Materiell" er bredt definert — enhver ICT-leverandør hvis forstyrrelse betydelig ville påvirke driften, inkludert anonymiseringverktøy brukt i samsvarsarbeid.
ICT tredjepartsregister (Artikkel 28(3)): Finansinstitusjoner må opprettholde og oppdatere et register over alle materielle ICT-tredjepartsavtaler, inkludert sikkerhetsdokumentasjon.
Å håndtere årlige revurderinger av dusinvis av ICT-leverandører er driftsmessig kostbart. Den typiske estimatet for en ustrukturert tilpasset vurdering: 40–80 timer per leverandør per år. For en nederlandsk bank med 50 materielle ICT-leverandører representerer årlige vurderinger 2,000–4,000 timer av samsvarsteamets tid — tilsvarende en til to heltidsansatte dedikert utelukkende til leverandørvurdering.
ISO 27001 Årlig Vurderingsgenvei
Verdien av ISO 27001-sertifisering for DORA-samsvar er dens årlige overvåkningsstruktur. Sertifiseringsorganet utfører overvåkningsrevisjoner årlig og resertifiseringsrevisjoner hvert tredje år. Sertifiseringen forblir gjeldende så lenge overvåkningsrevisjonene bekrefter kontinuerlig samsvar. Sertifikatet i seg selv har en utløpsdato.
For DORAs krav til årlig vurdering kan en finansinstitusjon tilfredsstille standarden for "utført aktsomhet" ved å hente leverandørens nåværende ISO 27001-sertifikat årlig og verifisere dets gyldighet. Sertifikatet viser at et uavhengig revisjonsorgan vurderte leverandørens 93 sikkerhetskontroller det siste året. Dette beviset er dokumentert i ICT tredjepartsregisteret.
En nederlandsk bank som er underlagt DORA kan vurdere en ISO 27001-sertifisert anonymiseringleverandør ved å verifisere sertifikatets gyldighet — noe som tar timer i stedet for uker. Banken sparer 60 timer med vurderingstid per leverandør per år. På tvers av 20 ISO 27001-sertifiserte leverandører i deres register, representerer den årlige besparelsen 1,200 timer — nok til å omfordele betydelige samsvarsressurser.
DORAs Relevans for Personvernverktøy
Personvern- og anonymiseringverktøy er ICT-leverandører under DORAs omfang for finansinstitusjoner som bruker dem til å behandle kundedata, overholde GDPR, forberede regulatoriske innleveringer, eller håndtere KYC-dokumentasjon. Et anonymiseringsverktøy som behandler kundedata er en materiell ICT-leverandør hvis forstyrrelse ville hindre institusjonen fra å overholde GDPRs krav til dataminimering eller produsere GDPR-kompatible regulatoriske innleveringer.
Kilder: