Sta DORA zahteva
DORA je postala pravo EU u januaru 2025. Banke, osiguravajuca drustva, investicione firme i platne firme sada moraju upravljati rizikom od svakog tehnickog dobavljaca koji koriste. Tri pravila se isticu.
Obavezne ugovorne odredbe (clan 30). Svaki ugovor sa tehnolojkim provajderom mora pokrivati cetiri tacke: pravo na reviziju, upozorenja o incidentima, planove izlaska i ciljeve performansi. Ove klauzule nisu opcionalne.
Godisnje revizije (clan 28). Firme moraju proveravati svakog kljucnog dobavljaca najmanje jednom godisnje. Provajder je 'kljucan' ako bi njegov kvar zaustavio normalan rad. Alati za anonimizaciju koji se koriste u zadacima uskladjenosti spadaju u ovu grupu.
Registar dobavljaca (clan 28(3)). Firme moraju voditi azurnu listu svih kljucnih ugovora sa trecim stranama. Lista mora ukljucivati bezbednosne zapise za svaki ugovor.
Sprovvodjenje godisnje revizije za desetine provajdera oduzima vreme. Jedna prilagodjena revizija - uradjena od pocetka - procenjuje se na 40 do 80 sati po provajderu. Holandska banka sa 50 kljucnih dobavljaca suocava se sa do 4.000 sati revizijskog posla godisnje. To su dva stalno zaposlena radnika koji rade samo na revizijama.
ISO 27001 smanjuje sate revizije
ISO 27001 sertifikacija daje firmama brzi put kroz DORA pravilo o godisnjoj reviziji. Sertifikaciono telo sprovodi proveru revizije svake godine i potpunu reviziju svake tri godine. Sertifikat ima datum isteka. Ostaje vazecan samo dok godisnje provere prolaze.
Prema DORA pravilu o godisnjoj reviziji, firma moze jednom godisnje povuci trenutni ISO 27001 sertifikat provajdera i proveriti datum. Vazecan datum znaci da je spoljno revizorsko telo proverilo 93 bezbednosne kontrole provajdera u poslednjih dvanaest meseci. Firma biljezi ovo u registar dobavljaca. Revizija je zavrsena.
Vremenska usteda je stvarna. Holandska banka koja proverava sertifikovani alat za anonimizaciju trosico nekoliko sati na reviziju. Ista revizija uradjena od pocetka traje nedeljama. Kod 20 sertifikovanih trece strana, godisnja usteda moze dostici 1.200 sati. To vreme moze ici na drugi posao.
Zasto su alati za privatnost u okviru primene
Alati za privatnost i anonimizaciju potpadaju pod DORA kada ih firma koristi za rukovanje podacima klijenata, ispunjavanje GDPR pravila ili obradu KYC datoteka. Ako alat prestane da radi i firma ne moze da proizvede GDPR-bezbedne izlaze, alat je kljucna treca strana prema DORA. Mora biti revidiran svake godine.
Nas vodic za GDPR uskladjenost objasnjava pravila minimizacije podataka. Pogledajte takodje vrednost ISO 27001 za uskladjenost u lancu snabdevanja i precice za procenu ISO 27001 dobavljaca za vise informacija o tome kako sertifikacija smanjuje uskladjenost.