DORA Yêu Cầu Gì
DORA trở thành luật EU vào tháng 1 năm 2025. Ngân hàng, công ty bảo hiểm, công ty đầu tư và tổ chức thanh toán giờ đây phải quản lý rủi ro từ mỗi nhà cung cấp công nghệ mà họ sử dụng. Ba yêu cầu đặc biệt quan trọng.
Điều khoản hợp đồng bắt buộc (Điều 30). Mọi hợp đồng với nhà cung cấp công nghệ phải bao gồm bốn nội dung: quyền kiểm toán, thông báo sự cố, kế hoạch thoát và mục tiêu hiệu suất. Các điều khoản này không phải tùy chọn.
Đánh giá hàng năm (Điều 28). Các doanh nghiệp phải xác minh mỗi nhà cung cấp quan trọng ít nhất một lần mỗi năm. Nhà cung cấp được coi là "quan trọng" nếu sự cố của họ có thể ngăn cản hoạt động bình thường. Các công cụ ẩn danh hóa được sử dụng trong hoạt động tuân thủ thuộc loại này.
Sổ đăng ký nhà cung cấp (Điều 28(3)). Các doanh nghiệp phải duy trì danh sách cập nhật tất cả hợp đồng với bên thứ ba quan trọng. Danh sách phải bao gồm dữ liệu bảo mật của từng nhà cung cấp.
Thực hiện đánh giá hàng năm cho hàng chục nhà cung cấp đòi hỏi đầu tư thời gian đáng kể. Một đánh giá tùy chỉnh — thực hiện từ đầu — ước tính mất 40-80 giờ mỗi nhà cung cấp. Một ngân hàng Hà Lan với 50 nhà cung cấp quan trọng đối mặt với tới 4.000 giờ công việc đánh giá mỗi năm. Tương đương hai nhân viên toàn thời gian chỉ dành riêng cho việc đánh giá.
ISO 27001 Giảm Giờ Đánh Giá
Chứng nhận ISO 27001 cung cấp cho các doanh nghiệp con đường nhanh hơn để thực hiện nghĩa vụ đánh giá hàng năm theo DORA. Tổ chức chứng nhận tiến hành kiểm toán giám sát hàng năm và kiểm toán đầy đủ ba năm một lần. Chứng nhận có ngày hết hạn và chỉ còn hiệu lực nếu các xác minh hàng năm được thông qua.
Theo nghĩa vụ đánh giá hàng năm của DORA, một doanh nghiệp có thể lấy chứng nhận ISO 27001 cập nhật của nhà cung cấp một lần mỗi năm và xác minh ngày hiệu lực. Ngày hiệu lực đồng nghĩa với việc một tổ chức kiểm toán bên ngoài đã xác minh 93 kiểm soát bảo mật của nhà cung cấp trong mười hai tháng qua. Doanh nghiệp ghi nhận điều này vào sổ đăng ký nhà cung cấp. Quá trình đánh giá hoàn tất.
Khoản tiết kiệm thời gian là thực chất. Một ngân hàng Hà Lan xác minh công cụ ẩn danh hóa được chứng nhận chỉ mất vài giờ để đánh giá. Cùng quá trình thực hiện từ đầu mất nhiều tuần. Với 20 bên thứ ba được chứng nhận, khoản tiết kiệm hàng năm có thể đạt 1.200 giờ. Thời gian có thể dùng cho các hoạt động khác.
Tại Sao Công Cụ Bảo Mật Thuộc Phạm Vi Điều Chỉnh
Các công cụ bảo mật và ẩn danh hóa thuộc phạm vi DORA khi một doanh nghiệp sử dụng chúng để quản lý dữ liệu khách hàng, tuân thủ quy định GDPR hoặc xử lý hồ sơ KYC. Nếu công cụ bị lỗi và doanh nghiệp không thể tạo ra kết quả tuân thủ GDPR, công cụ đó là bên thứ ba quan trọng theo DORA. Nó phải được đánh giá hàng năm.
Hướng dẫn tuân thủ GDPR của chúng tôi giải thích các quy tắc về tối thiểu hóa dữ liệu. Xem thêm giá trị hạ nguồn của ISO 27001 trong chuỗi cung ứng và lợi ích của chứng nhận trong đánh giá nhà cung cấp để hiểu sâu hơn về cách chứng nhận giảm gánh nặng tuân thủ.