Obowiązki dotyczące dostawców ICT DORA
Unijna Ustawa o Cyfrowej Odporności Operacyjnej (DORA), obowiązująca od stycznia 2025 roku, wymaga od instytucji finansowych — banków, firm ubezpieczeniowych, firm inwestycyjnych, dostawców usług płatniczych — wdrożenia rygorystycznych programów zarządzania ryzykiem związanym z dostawcami ICT. Kluczowe wymagania:
Obowiązkowe postanowienia umowne (Artykuł 30): DORA określa obowiązkowe klauzule dla umów z dostawcami usług ICT, w tym postanowienia dotyczące pełnego dostępu, inspekcji i praw audytowych; terminy powiadamiania o incydentach; strategie wyjścia; oraz standardy wydajności.
Coroczne oceny (Artykuł 28): Instytucje finansowe muszą przeprowadzać należyta staranność wobec wszystkich istotnych dostawców usług ICT przynajmniej raz w roku. "Istotny" jest szeroko definiowany — każdy dostawca ICT, którego zakłócenie znacząco wpłynęłoby na operacje, w tym narzędzia anonimizacji używane w procesach zgodności.
Rejestr dostawców ICT (Artykuł 28(3)): Instytucje finansowe muszą prowadzić i aktualizować rejestr wszystkich istotnych umów z dostawcami ICT, w tym dokumentacji bezpieczeństwa.
Zarządzanie corocznymi ponownymi ocenami dziesiątek dostawców ICT jest operacyjnie kosztowne. Typowy szacunek dla nieustrukturyzowanej oceny dostosowanej: 40–80 godzin na dostawcę rocznie. Dla holenderskiego banku z 50 istotnymi dostawcami ICT, coroczne oceny reprezentują 2,000–4,000 godzin czasu zespołu ds. zgodności — co odpowiada jednemu lub dwóm pracownikom etatowym poświęconym wyłącznie ocenie dostawców.
Skrót do corocznej oceny ISO 27001
Wartość certyfikacji ISO 27001 dla zgodności z DORA polega na jej corocznej strukturze nadzorczej. Organ certyfikujący przeprowadza audyty nadzorcze corocznie i audyty recertyfikacyjne co trzy lata. Certyfikat pozostaje aktualny, o ile audyty nadzorcze potwierdzają ciągłą zgodność. Sam certyfikat ma datę ważności.
Dla wymogu corocznej oceny DORA, instytucja finansowa może spełnić standard "przeprowadzonej należytej staranności" poprzez coroczne uzyskiwanie aktualnego certyfikatu ISO 27001 dostawcy i weryfikację jego aktualności. Certyfikat pokazuje, że niezależny organ audytowy ocenił 93 kontrole bezpieczeństwa dostawcy w ciągu ostatniego roku. Dowód ten jest dokumentowany w rejestrze dostawców ICT.
Holenderski bank podlegający DORA może ocenić dostawcę anonimizacji certyfikowanego według ISO 27001, weryfikując aktualność certyfikatu — zajmując godziny zamiast tygodni. Bank oszczędza 60 godzin czasu oceny na dostawcę rocznie. W przypadku 20 dostawców certyfikowanych według ISO 27001 w ich rejestrze, roczna oszczędność wynosi 1,200 godzin — wystarczająco, aby przekierować znaczne zasoby zgodności.
Znaczenie DORA dla narzędzi prywatności
Narzędzia prywatności i anonimizacji są dostawcami ICT w zakresie DORA dla instytucji finansowych, które używają ich do przetwarzania danych klientów, przestrzegania GDPR, przygotowywania zgłoszeń regulacyjnych lub obsługi dokumentacji KYC. Narzędzie anonimizacji, które przetwarza dane klientów, jest istotnym dostawcą ICT, jeśli jego zakłócenie uniemożliwiłoby instytucji przestrzeganie wymogów minimalizacji danych GDPR lub produkcję zgodnych z GDPR zgłoszeń regulacyjnych.
Źródła: