DORA的ICT供应商义务
欧盟数字运营弹性法(DORA)于2025年1月生效,要求金融机构——银行、保险公司、投资公司、支付服务提供商——实施严格的ICT第三方风险管理程序。主要要求:
强制性合同条款(第30条): DORA规定了与ICT第三方服务提供商合同的强制性条款,包括完全访问、检查和审计权利;事件通知时间表;退出策略;和绩效标准。
年度评估(第28条): 金融机构必须至少每年对所有重要的ICT第三方服务提供商进行尽职调查。“重要”被广泛定义——任何其中断将显著影响运营的ICT提供商,包括在合规工作流中使用的匿名化工具。
ICT第三方登记(第28条第3款): 金融机构必须维护和更新所有重要ICT第三方协议的登记,包括安全文档。
管理数十个ICT供应商的年度重新评估在运营上是昂贵的。对一个非结构化定制评估的典型估计:每个供应商每年40-80小时。对于一家拥有50个重要ICT供应商的荷兰银行,年度评估代表了2000-4000小时的合规团队时间——相当于一到两名全职员工专门负责供应商评估。
ISO 27001年度评估捷径
ISO 27001认证对DORA合规的价值在于其年度监视结构。认证机构每年进行监视审计,每三年进行再认证审计。只要监视审计确认持续合规,认证就保持有效。证书本身有到期日期。
对于DORA的年度评估要求,金融机构可以通过每年提取供应商当前的ISO 27001证书并验证其有效性来满足“进行尽职调查”的标准。该证书证明独立审计机构在过去一年内评估了供应商的93项安全控制。这一证据记录在ICT第三方登记中。
一家受DORA约束的荷兰银行可以通过验证证书的有效性来评估一个ISO 27001认证的匿名化供应商——这只需数小时而不是数周。该银行每年为每个供应商节省60小时的评估时间。在其登记的20个ISO 27001认证供应商中,年度节省代表1200小时——足以重新分配大量合规资源。
DORA与隐私工具的相关性
隐私和匿名化工具是DORA范围内的ICT提供商,金融机构使用这些工具处理客户数据、遵守GDPR、准备监管提交或处理KYC文档。如果一个处理客户数据的匿名化工具的中断将阻止机构遵守GDPR的数据最小化要求或产生符合GDPR的监管提交,则它是一个重要的ICT提供商。
来源: