DORA'nın ICT Tedarikçi Yükümlülükleri
AB Dijital Operasyonel Dayanıklılık Yasası (DORA), Ocak 2025'te yürürlüğe girecek olan, finansal kuruluşların — bankalar, sigorta şirketleri, yatırım firmaları, ödeme hizmeti sağlayıcıları — titiz ICT üçüncü taraf risk yönetim programları uygulamasını gerektirir. Ana gereklilikler:
Zorunlu sözleşme hükümleri (Madde 30): DORA, ICT üçüncü taraf hizmet sağlayıcıları ile yapılan sözleşmeler için zorunlu maddeler belirler; tam erişim, denetim ve inceleme hakları; olay bildirim zaman çizelgeleri; çıkış stratejileri; ve performans standartları gibi hükümler içerir.
Yıllık değerlendirmeler (Madde 28): Finansal kuruluşlar, tüm önemli ICT üçüncü taraf hizmet sağlayıcıları üzerinde en az yılda bir kez gerekli özeni göstermelidir. "Önemli" geniş bir şekilde tanımlanmıştır — operasyonları önemli ölçüde etkileyecek herhangi bir ICT sağlayıcısı, uyum iş akışlarında kullanılan anonimleştirme araçları dahil.
ICT üçüncü taraf kaydı (Madde 28(3)): Finansal kuruluşlar, tüm önemli ICT üçüncü taraf anlaşmalarının, güvenlik belgeleri dahil, bir kaydını tutmalı ve güncellemelidir.
Onlarca ICT tedarikçisinin yıllık yeniden değerlendirmelerini yönetmek operasyonel olarak pahalıdır. Yapılandırılmamış özel bir değerlendirmenin tipik tahmini: Yılda her tedarikçi için 40–80 saat. 50 önemli ICT tedarikçisine sahip bir Hollanda bankası için, yıllık değerlendirmeler uyum ekibi zamanının 2,000–4,000 saatini temsil eder — bu, yalnızca tedarikçi değerlendirmesine adanmış bir veya iki tam zamanlı personelin eşdeğeridir.
ISO 27001 Yıllık Değerlendirme Kısayolu
ISO 27001 sertifikasının DORA uyumluluğu için değeri yıllık gözetim yapısıdır. Sertifikasyon kuruluşu, yıllık gözetim denetimleri ve her üç yılda bir yeniden sertifikasyon denetimleri gerçekleştirir. Sertifika, gözetim denetimleri sürekli uyumu doğruladığı sürece geçerliliğini korur. Sertifikanın kendisi bir son kullanma tarihi taşır.
DORA'nın yıllık değerlendirme gerekliliği için, bir finansal kuruluş, tedarikçinin mevcut ISO 27001 sertifikasını yıllık olarak çekerek ve geçerliliğini doğrulayarak "gerekli özeni gösterdi" standardını karşılayabilir. Sertifika, bağımsız bir denetim kuruluşunun, tedarikçinin son bir yıl içinde 93 güvenlik kontrolünü değerlendirdiğini gösterir. Bu kanıt, ICT üçüncü taraf kaydında belgelenir.
DORA'ya tabi bir Hollanda bankası, sertifika geçerliliğini doğrulayarak ISO 27001 sertifikalı bir anonimleştirme tedarikçisini değerlendirebilir — bu, haftalar yerine saatler alır. Banka, her tedarikçi için yılda 60 saat değerlendirme süresinden tasarruf eder. Kayıtlarındaki 20 ISO 27001 sertifikalı tedarikçi arasında, yıllık tasarruf 1,200 saat temsil eder — önemli uyum kaynaklarını yeniden tahsis etmek için yeterli.
DORA'nın Gizlilik Araçları ile İlgisi
Gizlilik ve anonimleştirme araçları, DORA'nın kapsamı altında, müşteri verilerini işlemek, GDPR'ya uymak, düzenleyici başvurular hazırlamak veya KYC belgelerini yönetmek için kullanan finansal kuruluşlar için ICT sağlayıcılarıdır. Müşteri verilerini işleyen bir anonimleştirme aracı, eğer kesintisi, kurumun GDPR'nın veri minimize etme gerekliliklerine uymasını veya GDPR uyumlu düzenleyici başvurular üretmesini engelleyecekse, önemli bir ICT sağlayıcısıdır.
Kaynaklar: