DORAs ICT Leverantörsskyldigheter
EU:s Digital Operational Resilience Act (DORA), som träder i kraft i januari 2025, kräver att finansiella institutioner — banker, försäkringsbolag, investeringsföretag, betalningstjänstleverantörer — implementerar rigorösa riskhanteringsprogram för tredje part inom ICT. Nyckelkrav:
Obligatoriska avtalsbestämmelser (Artikel 30): DORA specificerar obligatoriska klausuler för avtal med ICT-tredje parts tjänsteleverantörer, inklusive bestämmelser för full tillgång, inspektion och revisionsrättigheter; tidslinjer för incidentanmälan; exitstrategier; och prestationsstandarder.
Årliga bedömningar (Artikel 28): Finansiella institutioner måste utföra due diligence på alla materiella ICT-tredje parts tjänsteleverantörer minst årligen. "Materiell" definieras brett — vilken ICT-leverantör som helst vars störning skulle påverka verksamheten avsevärt, inklusive anonymiseringverktyg som används i efterlevnadsarbetsflöden.
ICT-tredje parts register (Artikel 28(3)): Finansiella institutioner måste upprätthålla och uppdatera ett register över alla materiella ICT-tredje parts avtal, inklusive säkerhetsdokumentation.
Att hantera årliga omvärderingar av dussintals ICT-leverantörer är operativt kostsamt. Den typiska uppskattningen för en ostrukturerad anpassad bedömning: 40–80 timmar per leverantör per år. För en nederländsk bank med 50 materiella ICT-leverantörer representerar årliga bedömningar 2 000–4 000 timmar av efterlevnadsteamets tid — motsvarande en till två heltidsanställda som är helt dedikerade till leverantörsbedömning.
ISO 27001 Årlig Bedömningsgenväg
Värdet av ISO 27001-certifiering för DORA-efterlevnad är dess årliga övervakningsstruktur. Certifieringsorganet utför övervakningsrevisioner årligen och recertifieringsrevisioner vart tredje år. Certifieringen förblir aktuell så länge som övervakningsrevisionerna bekräftar pågående efterlevnad. Själva certifikatet har ett utgångsdatum.
För DORAs krav på årlig bedömning kan en finansiell institution uppfylla standarden för "utförd due diligence" genom att dra det aktuella ISO 27001-certifikatet för leverantören årligen och verifiera dess giltighet. Certifikatet visar att en oberoende revisionsbyrå har bedömt leverantörens 93 säkerhetskontroller under det senaste året. Denna bevisning dokumenteras i ICT-tredje parts registret.
En nederländsk bank som omfattas av DORA kan bedöma en ISO 27001-certifierad anonymiseringleverantör genom att verifiera certifikatets giltighet — vilket tar timmar snarare än veckor. Banken sparar 60 timmar av bedömningstid per leverantör per år. Över 20 ISO 27001-certifierade leverantörer i deras register representerar den årliga besparingen 1 200 timmar — tillräckligt för att omfördela betydande efterlevnadsresurser.
DORAs Relevans för Integritetsverktyg
Integritets- och anonymiseringverktyg är ICT-leverantörer under DORAs räckvidd för finansiella institutioner som använder dem för att bearbeta kunddata, följa GDPR, förbereda regulatoriska inlämningar eller hantera KYC-dokumentation. Ett anonymiseringverktyg som bearbetar kunddata är en materiell ICT-leverantör om dess störning skulle förhindra institutionen från att följa GDPR:s krav på dataminimering eller producera GDPR-kompatibla regulatoriska inlämningar.
Källor: