Обязанности по ИКТ поставщикам DORA
Цифровой закон ЕС о операционной устойчивости (DORA), вступающий в силу в январе 2025 года, требует от финансовых учреждений — банков, страховых компаний, инвестиционных фирм, поставщиков платежных услуг — внедрения строгих программ управления рисками третьих сторон в области ИКТ. Ключевые требования:
Обязательные контрактные положения (Статья 30): DORA указывает обязательные положения для контрактов с поставщиками услуг ИКТ третьих сторон, включая положения о полном доступе, инспекции и правах на аудит; сроки уведомления о происшествиях; стратегии выхода; и стандарты производительности.
Ежегодные оценки (Статья 28): Финансовые учреждения должны проводить надлежащую осмотрительность по всем значимым поставщикам услуг ИКТ третьих сторон как минимум раз в год. "Значимый" определяется широко — любой поставщик ИКТ, сбой которого значительно повлияет на операции, включая инструменты анонимизации, используемые в рабочих процессах соблюдения.
Реестр третьих сторон ИКТ (Статья 28(3)): Финансовые учреждения должны вести и обновлять реестр всех значимых соглашений с третьими сторонами в области ИКТ, включая документацию по безопасности.
Управление ежегодными повторными оценками десятков поставщиков ИКТ является операционно затратным. Типичная оценка для неструктурированной индивидуальной оценки: 40–80 часов на поставщика в год. Для голландского банка с 50 значимыми поставщиками ИКТ ежегодные оценки составляют 2,000–4,000 часов времени команды по соблюдению — эквивалент одного-двух сотрудников на полную ставку, посвященных исключительно оценке поставщиков.
Упрощение ежегодной оценки ISO 27001
Ценность сертификации ISO 27001 для соблюдения DORA заключается в ее ежегодной структуре наблюдения. Сертификационный орган проводит ежегодные аудиты наблюдения и аудиты повторной сертификации каждые три года. Сертификация остается актуальной, пока аудиты наблюдения подтверждают продолжающееся соблюдение. Сам сертификат имеет дату истечения.
Для требования ежегодной оценки DORA финансовое учреждение может удовлетворить стандарт "проведенной надлежащей осмотрительности", получив текущий сертификат ISO 27001 поставщика ежегодно и проверив его актуальность. Сертификат демонстрирует, что независимый аудиторский орган оценил 93 контрольных механизма безопасности поставщика за последний год. Эти доказательства документируются в реестре третьих сторон ИКТ.
Голландский банк, подпадающий под действие DORA, может оценить сертифицированного по ISO 27001 поставщика анонимизации, проверив актуальность сертификата — это занимает часы, а не недели. Банк экономит 60 часов времени на оценку на каждого поставщика в год. В реестре из 20 сертифицированных по ISO 27001 поставщиков ежегодная экономия составляет 1,200 часов — достаточно, чтобы перераспределить значительные ресурсы на соблюдение.
Актуальность DORA для инструментов конфиденциальности
Инструменты конфиденциальности и анонимизации являются поставщиками ИКТ в рамках действия DORA для финансовых учреждений, которые используют их для обработки данных клиентов, соблюдения GDPR, подготовки регуляторных заявок или обработки документации KYC. Инструмент анонимизации, который обрабатывает данные клиентов, является значимым поставщиком ИКТ, если его сбой помешает учреждению соблюдать требования минимизации данных GDPR или производить регуляторные заявки, соответствующие GDPR.
Источники: