Kaj zahteva DORA
DORA je postala zakon EU januarja 2025. Banke, zavarovalnice, investicijska podjetja in placilne institucije morajo zdaj upravljati tveganja vsakega tehnolskega dobavitelja, ki ga uporabljajo. Izstopajo tri pravila.
Obvezne pogodbene dolocbe (clanek 30). Vsaka pogodba s ponudnikom tehnologije mora obsegati stiri tocke: pravice do revizije, opozorila o incidentih, nacrti izhoda in ciljni kazalniki ucinkovitosti. Te klavzule niso neobvezne.
Letni pregledi (clanek 28). Podjetja morajo pregledati vsakega kljucnega dobavitelja vsaj enkrat letno. Ponudnik je "kljucen", ce bi njegova odpoved ustavila normalno delovanje. Orodja za anonimizacijo, ki se uporabljajo pri nalogah skladnosti, sodijo v to skupino.
Register dobaviteljev (clanek 28(3)). Podjetja morajo voditi azuren seznam vseh kljucnih pogodb s tretjimi stranmi. Seznam mora vsebovati varnostne evidence za vsako od njih.
Letni pregledi za ducate ponudnikov zahtevajo cas. En prilagojen pregled - narejen od zacetka - vzame po ocenah 40-80 ur na ponudnika. Nizozemska banka s 50 kljucnimi dobavitelji se sooci z do 4.000 urami pregleda letno. To sta dve polni delovni mesti, ki se ukvarjata samo s pregledi.
ISO 27001 zmanjsa stevilo ur pregledov
Certifikacija ISO 27001 podjetjem da hitrejso pot skozi DORA-jevo pravilo letnega pregleda. Certifikacijski organ izvede pregled enkrat letno in polni pregled vsake tri leta. Certifikat ima datum poteka. Velja le, dokler letna preverjanja uspesno potekajo.
V skladu z DORA-jevim pravilom letnega pregleda lahko podjetje enkrat letno pridobi ponudnikov trenutni certifikat ISO 27001 in preveri datum. Veljaven datum pomeni, da je zunanje revizijsko telo v zadnjih dvanajstih mesecih preverilo vseh 93 varnostnih kontrol ponudnika. Podjetje to vnese v register dobaviteljev. Pregled je opravljen.
Dobitek pri casu je resnicen. Nizozemska banka, ki preverja certificirano orodje za anonimizacijo, porabi za pregled nekaj ur. Isti pregled narejen od zacetka traja tedne. Pri 20 certificiranih tretjih straneh lahko letni prihranak doseze 1.200 ur. Ta cas je mozno nameniti drugim nalogam.
Zakaj so orodja za zasebnost v obsegu
Orodja za zasebnost in anonimizacijo sodijo pod DORO, ko jih podjetje uporablja za obdelavo podatkov strank, izpolnjevanje pravil GDPR ali obdelavo KYC datotek. Ce orodje odpove in podjetje ne more ustvariti varnega izhoda v skladu z GDPR, je orodje kljucna tretja stranka po DORI. Pregledano mora biti vsako leto.
Nas vodnik za skladnost z GDPR pojasnjuje pravila minimizacije podatkov. Preberite tudi vrednost ISO 27001 za vzdolzno skladnost in bljiznjice pri ocenjevanju prodajalcev z ISO 27001 za vec informacij o tem, kako certifikacija zmanjsa breme skladnosti.