Obligatiile DORA privind Furnizorii ICT
Legea UE privind Rezilienta Operationala Digitala (DORA), efectiva din ianuarie 2025, solicita institutiilor financiare — banci, companii de asigurari, firme de investitii, furnizori de servicii de plata — sa implementeze programe riguroase de gestionare a riscurilor ICT de la terti. Cerinte cheie:
Evaluari anuale (Articolul 28): Institutiile financiare trebuie sa efectueze due diligence pentru toti furnizorii materiali de servicii ICT terte cel putin anual. 'Material' este definit in mod larg — orice furnizor ICT a carui perturbatie ar afecta semnificativ operatiunile, inclusiv instrumentele de anonimizare utilizate in fluxurile de lucru de conformitate.
Registrul ICT al tertilor (Articolul 28(3)): Institutiile financiare trebuie sa mentina si sa actualizeze un registru al tuturor acordurilor materiale ICT ale tertilor, inclusiv documentatia de securitate.
Cum ISO 27001 Satisface Cerintele DORA
In loc de o evaluare personalizata de 60 de ore per furnizor, institutia financiara poate:
- Solicitati certificatul ISO 27001 al furnizorului
- Revizuiti domeniul certificarii (asigurati-va ca acopera serviciul relevant)
- Verificati data auditului de supraveghere (anual, ceea ce inseamna evaluarea din ultimul an este disponibila)
- Documentati in registrul ICT al tertilor
Economia: 2-4 ore in loc de 60 de ore per furnizor ICT material.
Surse: Regulamentul DORA (UE) 2022/2554; ABE Orientarile tehnice privind Contractele ICT ale Tertilor 2024; Ghidul de Conformitate DORA ISACA 2025