Що вимагає DORA
DORA набув чинності як закон ЄС у січні 2025 року. Банки, страховики, інвестиційні компанії та платіжні фірми тепер зобов'язані управляти ризиками від кожного технологічного постачальника, якого вони використовують. Три правила заслуговують особливої уваги.
Обов'язкові умови договору (стаття 30). Кожен договір із технологічним провайдером повинен охоплювати чотири пункти: права на аудит, сповіщення про інциденти, плани виходу та цільові показники ефективності. Ці положення не є необов'язковими.
Щорічні перевірки (стаття 28). Фірми зобов'язані перевіряти кожного ключового постачальника принаймні раз на рік. Провайдер вважається «ключовим», якщо його збій зупинить нормальну роботу. Інструменти анонімізації, що використовуються для задач відповідності, потрапляють у цю категорію.
Реєстр постачальників (стаття 28(3)). Фірми повинні вести актуальний перелік усіх ключових договорів із третіми сторонами. Перелік має включати записи безпеки для кожного з них.
Щорічні перевірки десятків провайдерів потребують значного часу. Одна спеціальна перевірка — з нуля — займає орієнтовно 40–80 годин на провайдера. Нідерландський банк із 50 ключовими постачальниками стикається з обсягом до 4 000 годин перевірочної роботи щороку. Це два штатних співробітники, зайнятих виключно перевірками.
ISO 27001 скорочує години перевірок
Сертифікація ISO 27001 надає фірмам швидший шлях через щорічне правило перевірки DORA. Орган сертифікації проводить наглядовий аудит щороку та повний аудит кожні три роки. Сертифікат має дату закінчення. Він залишається дійсним лише доти, доки щорічні перевірки успішно проходять.
Відповідно до щорічного правила перевірки DORA, фірма може отримати чинний сертифікат ISO 27001 провайдера раз на рік та перевірити дату. Дійсна дата означає, що зовнішній аудиторський орган перевірив 93 засоби контролю безпеки провайдера протягом останніх дванадцяти місяців. Фірма фіксує це в реєстрі постачальників. Перевірку завершено.
Вигода у часі є реальною. Нідерландський банк, що перевіряє сертифіковану систему анонімізації, витрачає кілька годин на перевірку. Та сама перевірка з нуля займає тижні. При 20 сертифікованих третіх сторонах щорічна економія може досягати 1 200 годин. Цей час можна витратити на інші завдання.
Чому інструменти конфіденційності потрапляють у сферу дії
Інструменти конфіденційності та анонімізації підпадають під DORA, коли фірма використовує їх для обробки клієнтських даних, виконання правил GDPR або обробки файлів KYC. Якщо інструмент виходить із ладу і фірма не може сформувати безпечний для GDPR результат, цей інструмент є ключовою третьою стороною за DORA. Його необхідно перевіряти щороку.
Наш посібник з відповідності GDPR пояснює правила мінімізації даних. Дивіться також цінність ISO 27001 для відповідності в ланцюгах постачання та скорочення обсягу оцінки постачальників завдяки ISO 27001 для отримання додаткової інформації про те, як сертифікація скорочує навантаження з відповідності.