Clár Tástála DORA: tástálacha a mhapáil chuig ISO 27001

Tá Feabhra 2026 ann. Tá cruinniú boird ag Príomhoifigeach Slándála Faisnéise institiúide íocaíochta meánmhéide i gceann dhá lá, iniúchadh faireachais ISO/IEC 27001:2022 i gceann sé seachtaine, agus iarratas maoirseachta DORA ina luí i mbosca isteach na foirne comhlíonta.

Níl straitéis chibearshlándála shnasta á lorg ag an rialálaí. Tá an t-iarratas praiticiúil:

• Cuir do chlár tástála 2026 don athléimneacht oibríochtúil dhigiteach ar fáil.
• Taispeáin cé na tástálacha a chlúdaíonn feidhmeanna criticiúla nó tábhachtacha.
• Léirigh conas a dhéantar fionnachtana a leigheas agus a atástáil.
• Cuir fianaise ar fáil maidir le maoirseacht an chomhlachta bainistíochta.
• Mínigh conas a áirítear soláthraithe tríú páirtí TFC.
• Cuir taifid ar fáil do mheasúnuithe leochaileachta, do thástálacha cásbhunaithe, do thástáil feidhmíochta agus acmhainne, agus do thástáil treáite.

Osclaíonn an Príomhoifigeach Slándála Faisnéise ceithre fhillteán. Tá scananna leochaileachta i gcóras ticéadaithe an SOC. Tá nótaí ó chleachtaí boird i dtiomántán comhroinnte. Is leis an bhfoireann innealtóireachta torthaí na dtástálacha ualaigh. Tá tuarascálacha tástála treáite i stór srianta na foirne dlí. Tá rianú leigheasaithe roinnte idir Jira, ríomhphost agus scarbhileog a cruthaíodh d’iniúchadh ISO na bliana seo caite.

Níl aon rud bréagach ann. Tá cuid mhór den obair go maith. Ach ní clár tástála rialaithe é fós don athléimneacht oibríochtúil dhigiteach faoi DORA. Is bailiúchán tástálacha é.

Tá tábhacht leis an difríocht sin in 2026. Tá feidhm ag DORA ón 17 Eanáir 2025 agus bunaíonn sé creat aonfhoirmeach AE don athléimneacht oibríochtúil dhigiteach ar fud bainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta, comhroinnt faisnéise faoi chibearbhagairtí agus leochaileachtaí, bainistíocht riosca tríú páirtí TFC, ceanglais chonarthacha agus maoirseacht ar sholáthraithe tríú páirtí TFC criticiúla. Clúdaíonn sé réimse leathan eintiteas airgeadais, lena n-áirítear institiúidí creidmheasa, institiúidí íocaíochta, gnólachtaí infheistíochta, soláthraithe seirbhísí criptea-shócmhainní, gnóthais árachais agus eintitis rialáilte eile. Feidhmíonn DORA freisin mar ghníomh dlí Aontais earnáilsonrach d’eintitis airgeadais a bheadh, murach sin, faoi oibleagáidí cibearshlándála coibhéiseacha NIS2.

Ní hé an cheist phraiticiúil do bhoird, do Phríomhoifigigh Slándála Faisnéise, do bhainisteoirí comhlíonta agus do sholáthraithe TFC a thuilleadh an dtarlaíonn tástáil. Is í an cheist an bhfuil an tástáil pleanáilte, rioscabhunaithe, tacaithe le fianaise, leigheasta, athbhreithnithe agus in-athúsáidte ar fud DORA agus ISO/IEC 27001:2022.

Tá samhail oibriúcháin Clarysec tógtha don fhadhb bheacht seo. Trí úsáid a bhaint as Zenith Blueprint: Treochlár 30 céim an iniúchóra, sraith bheartas Clarysec atá ailínithe le ISO agus Zenith Controls: An Treoir Thraschomhlíonta, is féidir le heagraíochtaí gníomhaíochtaí athléimneachta scaipthe a thiontú ina gcatalóg tástála bhliantúil rialaithe a shásaíonn maoirseoirí, iniúchóirí, cliaint agus boird.

Cén fáth a ndéanann DORA saincheist rialachais den tástáil

Tá DORA soiléir faoi chuntasacht feidhmiúcháin. Cuireann Article 5 freagracht as bainistíocht riosca TFC ar an gcomhlacht bainistíochta. Éilíonn Article 6 creat bainistíochta riosca TFC atá fónta, cuimsitheach agus doiciméadaithe go maith, agus atá comhtháite i gcóras foriomlán bainistíochta riosca na heagraíochta. Cuireann Article 4 prionsabal na comhréireachta leis sin, rud a chiallaíonn gur cheart ceanglais a chur i bhfeidhm bunaithe ar mhéid, ar phróifíl riosca fhoriomlán agus ar chineál, scála agus castacht seirbhísí, gníomhaíochtaí agus oibríochtaí.

Dá bhrí sin, is mó tástáil na hathléimneachta oibríochtúla digití ná tasc teicniúil. Éiríonn sí ina fianaise go dtuigeann an comhlacht bainistíochta an riosca, gur cheadaigh sé straitéis, go bhfaigheann sé tuairisciú fiúntach agus go spreagann sé leigheasú.

Úsáideann ISO/IEC 27001:2022 loighic chomhchosúil chórais bhainistíochta. Éilíonn clásail 4.1 go 4.4 ar an eagraíocht comhthéacs, páirtithe leasmhara, oibleagáidí dlíthiúla agus conarthacha, raon feidhme, comhéadain agus spleáchais a thuiscint. Éilíonn clásail 5.1 go 5.3 ceannaireacht, ailíniú beartais, acmhainní, cumarsáid, freagrachtaí sannta agus tuairisciú don ardbhainistíocht. Éilíonn clásal 6.1 measúnú riosca slándála faisnéise agus cóireáil riosca.

Ba cheart do chlár tástála DORA na nithe seo a nascadh:

• Seirbhísí gnó agus feidhmeanna criticiúla nó tábhachtacha
• Sócmhainní TFC, sonraí agus spleáchais tríú páirtí
• Measúnú riosca, úinéirí riosca agus pleananna cóireála
• Cineálacha tástála, minicíocht agus truicir
• Údarú, neamhspleáchas agus rialacha rannpháirtíochta
• Fionnachtana, spriocdhátaí leigheasaithe agus atástáil
• Coinneáil fianaise agus rialú rochtana
• Tuairisciú bainistíochta agus feabhsú leanúnach

I gcás eintiteas airgeadais níos lú nó ísealriosca, soláthraíonn Article 16 creat simplithe bainistíochta riosca TFC, ach ní hionann simplithe agus neamhfhoirmiúil. Fiú i gcláir scálaithe, tá gá fós le bainistíocht riosca TFC dhoiciméadaithe, faireachán, córais athléimneacha, sainaithint foinsí riosca TFC agus aimhrialtachtaí, príomhspleáchais tríú páirtí TFC, bearta leanúnachais agus athshlánaithe, tástáil rialta agus ceachtanna foghlamtha.

I bhfocail eile, ní thugann DORA luach saothair do líon na dtástálacha. Tugann sé luach saothair do thástáil rialaithe, rioscabhunaithe a chruthaíonn athléimneacht do na seirbhísí is tábhachtaí.

Cad ba cheart a bheith i gclár tástála DORA 2026?

Ba cheart do chlár tástála DORA aibí feidhmiú mar chatalóg tástála bhliantúil. Níor cheart é a theorannú do thástáil treáite bhliantúil amháin ná do chairn easpórtálacha ó scananna leochaileachta. Ba cheart dó tástálacha bunúsacha agus ardleibhéil a áireamh, pleanáilte de réir riosca, criticiúlacht seirbhíse, oibleagáidí rialála, spleáchais soláthraithe, mórathruithe agus fionnachtana roimhe seo.

Bunaíonn DORA Article 24 an clár tástála don athléimneacht oibríochtúil dhigiteach. Déanann Article 25 cur síos ar réimse tástálacha, lena n-áirítear measúnuithe agus scananna leochaileachta, anailísí foinse oscailte, measúnuithe slándála líonra, anailísí bearna, athbhreithnithe slándála fisiciúla, ceistneoirí, réitigh bhogearraí scanadh, athbhreithnithe ar chód foinse nuair is indéanta, tástálacha cásbhunaithe, tástáil chomhoiriúnachta, tástáil feidhmíochta, tástáil ó cheann ceann agus tástáil treáite. Cuireann Article 26 tástáil treáite faoi threoir bagairtí leis sin d’eintitis airgeadais a shainaithníonn údaráis inniúla.

I bhformhór na n-eagraíochtaí, tógtar an chatalóg phraiticiúil timpeall ar cheithre theaghlach tástála.

Soláthraíonn Beartas Tástála Slándála agus Cleachtaí Foirne Deirge Clarysec ancaire láidir beartais don chatalóg seo:

“Cineálacha tástálacha: Ní mór a áireamh sa chlár tástála slándála, ar a laghad: (a) scanadh leochaileachta, arb éard atá ann scananna uathoibrithe seachtainiúla nó míosúla ar líonraí agus ar fheidhmchláir chun leochaileachtaí aitheanta a shainaithint; (b) tástáil treáite, arb éard atá ann tástáil láimhe dhomhain ar chórais nó ar fheidhmchláir shonracha ag tástálaithe oilte chun laigí casta a shainaithint; agus (c) cleachtaí foirne deirge, arb éard atá iontu ionsaithe fíora a insamhladh de réir cásanna, lena n-áirítear innealtóireacht shóisialta agus bearta eile, chun cumais bhrath agus freagartha na heagraíochta ina hiomláine a thástáil.”

Éilíonn an beartas céanna sceidealú rialta:

“Sceideal tástála: Ní mór don eagraíocht tástáil slándála a dhéanamh de réir sceidil rialta. Ní mór do phríomhchórais atá os comhair an idirlín agus d’fheidhmchláir inmheánacha chriticiúla dul faoi thástáil treáite ar a laghad uair sa bhliain. Éilíonn athruithe ardriosca, amhail córas criticiúil nua a imscaradh nó uasghráduithe móra, tástáil ad hoc roimh chur beo sa timpeallacht táirgthe agus/nó go gairid ina dhiaidh.”

Tá sé seo ríthábhachtach do DORA. Ní leor plean bliantúil statach má imscarann an t-eintiteas geata íocaíochta nua, má aistríonn sé croíchóras chuig an néal, má athraíonn sé Soláthraí Seirbhíse Bainistithe nó má eisíonn sé sreabhadh nua fíordheimhnithe custaiméara. Ní mór d’athrú ardriosca tástáil bhreise a spreagadh.

Tóg an chatalóg tástála bhliantúil mar an t-aon fhoinse fírinne

Is é an bealach is éifeachtaí chun DORA agus ISO/IEC 27001:2022 a shásamh ná catalóg tástála bhliantúil rialaithe amháin a chruthú. Is féidir léi a bheith in ardán GRC, i sreabhadh oibre ticéadaithe nó i scarbhileog rialaithe. Is lú tábhacht atá leis an bhformáid ná leis an inrianaitheacht.

Ba cheart do gach tástáil cúig cheist iniúchta a fhreagairt:

1. Cén tseirbhís, sócmhainn, soláthraí, feidhmchlár nó próiseas a tástáladh?
2. Cén riosca, oibleagáid nó ceanglas rialaithe a spreag an tástáil?
3. Cé a d’údaraigh an tástáil agus cé a rinne í?
4. Cad iad na fionnachtana a sainaithníodh, a glacadh, a leigheasadh nó a cuireadh siar?
5. Cén fhianaise a chruthaíonn gur tharla an tástáil agus gur athbhreithníodh an toradh?

Áirítear na réimsí seo a leanas i gcatalóg phraiticiúil ar stíl Clarysec.

Tugann Beartas Faireacháin Iniúchta agus Comhlíonta - SME Clarysec riail ghonta rialachais a oireann don struchtúr seo:

“Ní mór raon feidhme sainithe, cuspóirí, pearsanra freagrach agus fianaise riachtanach a bheith san áireamh i ngach iniúchadh.”

Cé gur scríobhadh é d’iniúchtaí, ní mór an riail chéanna a chur i bhfeidhm ar thástálacha athléimneachta. Mura bhfuil raon feidhme, cuspóir, úinéir agus fianaise riachtanach sainithe ag scanadh leochaileachta, cleachtadh boird, aistriú teipe ionsamhlaithe nó tástáil treáite, beidh sé lag faoi scrúdú DORA agus faoi scrúdú iniúchta ISO araon.

Deir an beartas céanna:

“Ní mór fianaise a choinneáil ar feadh dhá bhliain ar a laghad, nó níos faide nuair a éilítear sin le deimhniúchán nó le comhaontuithe cliant.”

I gcás eintiteas airgeadais agus soláthraithe TFC atá rialáilte faoi DORA, ba cheart déileáil le dhá bhliain mar bhunurlár. D’fhéadfadh oibleagáidí conarthacha, ionchais mhaoirseachta, timthriallta deimhniúcháin agus imscrúduithe teagmhas coinneáil níos faide a éileamh.

Cineálacha tástála DORA a mhapáil chuig fianaise ISO 27001

Is é cumhacht cláir chomhtháite gur féidir le tástáil amháin oibleagáidí éagsúla a shásamh. Is é an rud is tábhachtaí fianaise a chlibeáil i gceart agus í a nascadh leis an ISMS.

Míníonn Zenith Blueprint é seo sa chéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 24:

“Ba cheart do do Ráiteas Infheidhmeachta a bheith comhsheasmhach le do chlár rioscaí agus le do Phlean Cóireála Riosca. Seiceáil faoi dhó go bhfuil gach rialú a roghnaigh tú mar chóireáil riosca marcáilte ‘Infheidhme’ sa Ráiteas Infheidhmeachta.”

I gcás clár tástála DORA, is í an chatalóg tástála an droichead idir cóireáil riosca agus fianaise oibríochtúil. Níor cheart don Ráiteas Infheidhmeachta a rá go bhfuil rialú infheidhme agus fianaise na tástála ina suí áit éigin eile, gan mhapáil agus gan bhainistiú.

Cabhraíonn an tábla seo leis an bPríomhoifigeach Slándála Faisnéise ceist choitianta ón bPríomhfheidhmeannach a fhreagairt: “An leor ár dtástálacha treáite ISO agus ár scananna leochaileachta do DORA?”

Is é an freagra: is féidir leo a bheith mar chuid de chomhlíonadh DORA, ach amháin má tá siad rioscabhunaithe, nasctha le feidhmeanna criticiúla nó tábhachtacha, rialaithe le beartas, rianaithe tríd an leigheasú agus tuairiscithe don bhainistíocht.

Measúnuithe leochaileachta: fianaise leanúnach, ní hamháin aschur scanadh

Is minic gurb é measúnú leochaileachta an ghníomhaíocht tástála is éasca le rith agus an ceann is éasca le míbhainistiú. Is féidir le go leor eagraíochtaí tuarascálacha scanadh a tháirgeadh. Is lú iad siúd atá in ann a chruthú go gclúdaíonn na scananna na sócmhainní cearta, go dtugann siad tosaíocht do sheirbhísí criticiúla, go ngineann siad leigheasú tráthúil agus go gcothaíonn siad cinntí cóireála riosca.

Tosaíonn Beartas um Bainistíocht Leochaileachtaí agus Paistí - SME Clarysec leis an gcuspóir ceart:

“Leochaileachtaí aitheanta a shainaithint agus a mheasúnú ar fud gach sócmhainn TF ar bhealach tráthúil agus comhsheasmhach”

Do DORA, tacaíonn sé seo le sainaithint foinsí riosca TFC, córais athléimneacha agus nuashonraithe, faireachán, brath aimhrialtachtaí agus feabhsú leanúnach. Do ISO/IEC 27001:2022, mapálann sé go díreach chuig 8.8 Bainistíocht leochaileachtaí teicniúla, agus braitheann sé freisin ar 5.9 Fardal faisnéise agus sócmhainní gaolmhara eile, 8.16 Gníomhaíochtaí faireacháin agus 8.32 Bainistíocht athruithe.

Ba cheart na nithe seo a bheith san áireamh i dtaifead láidir measúnaithe leochaileachta:

• Seat d’fhardal sócmhainní a úsáideadh don raon feidhme
• Dáta scanadh, uirlis agus modh fíordheimhnithe nó neamhfhíordheimhnithe
• Eisiaimh agus údar gnó
• Fionnachtana de réir déine, insaothraitheachta agus seirbhíse gnó
• Mapáil chuig feidhmeanna criticiúla nó tábhachtacha agus cineálacha sonraí
• Tagairtí ticéad agus úinéir riosca
• Comhaontú leibhéal seirbhíse leigheasaithe agus dáta dlite
• Toradh atástála
• Eisceachtaí le faomhadh riosca iarmharaigh

Cuireann Zenith Controls 8.8 Bainistíocht leochaileachtaí teicniúla mar chroíréimse fianaise le haghaidh sainaithint, measúnú, tosaíochtú agus rianú leigheasaithe. Taispeánann sé freisin cén fáth a ndéanfaidh iniúchóirí tástáil ar phróisis ghaolmhara. Má tá an fardal sócmhainní neamhiomlán, tá clúdach leochaileachta neamhiomlán. Má sheachnaítear bainistíocht athruithe, d’fhéadfadh imscaradh paiste riosca oibríochtúil nua a chruthú. Má tá faireachán lag, b’fhéidir nach mbraithfear iarrachtaí saothraithe.

Tástálacha cásbhunaithe: cruthaigh cinnteoireacht roimh an bhfíortheagmhas

Is sna tástálacha cásbhunaithe a éiríonn athléimneacht oibríochtúil infheicthe d’fheidhmeannaigh. Nochtfaidh cleachtadh boird ar bhogearraí fuascailte, insamhalta ar bhriseadh réigiúin néalríomhaireachta, cleachtadh ar chomhréiteach rochtana pribhléidí nó cás teipe soláthraí TFC criticiúil laigí nach féidir le scanadh a nochtadh.

Éilíonn DORA Articles 17 go 20 saolré fhoirmiúil teagmhas a bhaineann le TFC: brath, bainistiú, fógairt, taifeadadh, faireachán, láimhseáil, obair leantach, doiciméadú bunchúise, leigheasú, aicmiú déine, sannadh róil, uaschéimniú mórtheagmhas agus tuairisciú trí na céimeanna riachtanacha. Nuair a dhéantar difear do leasanna airgeadais cliant, ní mór cliaint a chur ar an eolas gan mhoill mhíchuí.

Tá práinn chomhchosúil ag NIS2 d’eintitis laistigh dá raon feidhme, lena n-áirítear luathrabhadh, fógra, tuairisciú idirmheánach agus tuairisciú críochnaitheach. I gcás eintiteas airgeadais atá laistigh den raon feidhme, is é DORA an gníomh dlí earnáilsonrach maidir le dualgais choibhéiseacha bainistíochta riosca cibearshlándála agus tuairiscithe. Ní mór do sholáthraithe TFC, ardáin SaaS, MSPanna agus MSSPanna fós a sheiceáil an bhfuil siad go díreach laistigh de raon feidhme NIS2 nó an bhfuil siad á dtarraingt go conarthach isteach i ndearbhú DORA ag cliaint rialáilte.

Tugann Zenith Blueprint, céim Rialuithe i nGníomh, Céim 23, an tsamhail phraiticiúil fianaise:

“Roghnaigh teagmhas le déanaí nó déan cleachtadh boird chun do phlean a bhailíochtú. Gabh agus logáil gach cinneadh, ról agus cumarsáid (5.26), agus nuashonraigh an plean leis na ceachtanna foghlamtha (5.27).”

Ba cheart do thástáil cásbhunaithe DORA taifid in-iniúchta a tháirgeadh, ní hamháin nótaí cruinnithe:

• Achoimre agus cuspóirí an cháis
• Rannpháirtithe agus róil, lena n-áirítear dlí, cumarsáid, TF, SOC, úinéir gnó agus teagmhálaithe soláthraithe
• Amlíne instealltaí agus cinntí
• Cinneadh aicmithe agus anailís ar thairseacha tuairiscithe
• Dréacht-chumarsáidí inmheánacha agus seachtracha
• Gníomhartha caomhnaithe fianaise
• Ceachtanna foghlamtha
• Úinéirí gníomhartha agus dátaí dlite
• Nósanna imeachta teagmhas, leanúnachais nó cumarsáide nuashonraithe

Daingníonn Beartas Leanúnachais Gnó agus Beartas Athshlánaithe ó Thubaiste - SME Clarysec an t-ionchas tástála bliantúil:

“Ní mór don eagraíocht a cumais BCP agus DR araon a thástáil ar a laghad uair sa bhliain. Ní mór a áireamh sna tástálacha:”

Ba cheart don chatalóg tástála an oibleagáid sin a aistriú ina cleachtaí sonracha, amhail cleachtadh boird bainistíochta géarchéime, tástáil athshlánaithe cúltaca, tástáil aistrithe teipe néalríomhaireachta, tástáil crainn teagmhála agus insamhalta ar chur isteach soláthraí.

Tástálacha feidhmíochta, acmhainne agus athshlánaithe: an fhianaise athléimneachta a ndéantar faillí inti

Is minic a chaitear le tástáil feidhmíochta mar cheist innealtóireachta. Faoi DORA, éiríonn sí ina fianaise athléimneachta.

Ní gá cibearionsaí chun ardán trádála, seirbhís íocaíochta, córas éileamh, ardán aitheantais nó tairseach custaiméirí a chur ó mhaith. Is féidir le hídiú acmhainne, sáithiú ciú, scrogaill bhunachar sonraí, uathscálú míchumraithe nó aistriú teipe briste an cur isteach oibríochtúil céanna a chruthú le teagmhas slándála.

Is é ISO/IEC 27001:2022 Iarscríbhinn A 8.6 Bainistíocht acmhainne an príomhancaire. D’fhéadfadh tástáil ualaigh, tástáil struis, tástáil díghrádaithe seirbhíse, bailíochtú tairseach bonneagair, tástálacha athshlánaithe cúltaca agus aistriú teipe ionsamhlaithe a bheith san fhianaise.

Ba cheart do thaifead maith tástála feidhmíochta agus acmhainne na nithe seo a ghabháil:

• Toimhdí bunlíne gnáthualaigh agus buaicualaigh
• Turais idirbhirt chriticiúla a tástáladh
• Teorainneacha bonneagair agus néalríomhaireachta a tástáladh
• Deais faireacháin agus tairseacha foláirimh
• Móid teipe, amhail sáithiú ciú nó scrogaill bhunachar sonraí
• Ábharthacht RTO agus RPO nuair a thástáiltear aistriú teipe nó téarnamh
• Tionchar gnó má sháraítear tairseacha
• Bearta leigheasacha, cinntí scálaithe nó athruithe ailtireachta
• Glacadh bainistíochta le riosca iarmharach acmhainne

Nascann Zenith Blueprint, Céim 23, ionchais athshlánaithe le fianaise:

“Fíoraigh go bhfuil Cuspóirí Ama Athshlánaithe (RTO) agus Cuspóirí Pointe Athshlánaithe (RPO) do chórais chriticiúla ailínithe le hionchais leanúnachais gnó (5.30). Déan tástáil theicniúil athshlánaithe amháin ar a laghad nó aistriú teipe ionsamhlaithe agus doiciméadaigh na torthaí.”

Sin í an difríocht idir a rá “tá cúltacaí againn” agus a chruthú gur athshlánaíodh seirbhís chriticiúil laistigh den lamháltas comhaontaithe, le torthaí doiciméadaithe agus infheictheacht bainistíochta.

Tástáil treáite agus cleachtaí foirne deirge: teastaíonn rialú láidir ó fhianaise láidir

Is fianaise an-luachmhar í tástáil treáite, ach tá riosca oibríochtúil ag baint léi freisin. Is féidir le tástáil nach bhfuil rialaithe go maith dul i bhfeidhm ar chórais táirgthe, sonraí íogaire a nochtadh, foláirimh neamhrialaithe a spreagadh, saincheisteanna dlí a chruthú nó cur isteach ar chustaiméirí.

Socraíonn Beartas um Cheanglais Slándála Feidhmchlár - SME geata soiléir eisiúna:

“Roimh imscaradh, ní mór do gach feidhmchlár dul faoi thástáil slándála chun na gnéithe bunlíne atá liostaithe thuas a fhíorú.”

I gcás feidhmchlár criticiúil, ba cheart dó seo an chatalóg DORA a chothú mar thástáil slándála réamhtháirgthe, bailíochtú iar-chur beo d’athruithe ardriosca agus tástáil treáite thréimhsiúil bunaithe ar nochtadh agus criticiúlacht.

Neartaíonn an Beartas Tástála Slándála agus Cleachtaí Foirne Deirge an slabhra leigheasaithe:

“Leigheasú fionnachtana: Ní mór gach leochaileacht nó laige a shainaithnítear a dhoiciméadú i dtuarascáil fionnachtana le rátálacha déine. Ar an tuarascáil a fháil, tá úinéirí córais freagrach as plean leigheasaithe a chruthú le dátaí dlite; mar shampla, ní mór fionnachtana criticiúla a leigheas laistigh de 30 lá agus fionnachtana ard-déine laistigh de 60 lá, de réir Bheartas um Bainistíocht Leochaileachtaí agus Paistí na heagraíochta. Ní mór don STC dul chun cinn leigheasaithe a rianú. Ní mór atástáil a dhéanamh chun a dheimhniú go bhfuil saincheisteanna criticiúla réitithe nó maolaithe go leordhóthanach.”

Sainmhíníonn an beartas céanna ionchais tuairiscithe:

“Tuairisciú: Ní mór tuarascáil fhoirmiúil a eisiúint ag deireadh gach tástála. I gcás tástála treáite, ní mór achoimre fheidhmiúcháin, modheolaíocht agus fionnachtana mionsonraithe le fianaise tacaíochta agus moltaí a bheith sa tuarascáil.”

Leagann Zenith Blueprint, Céim 21, béim freisin ar chosaint le linn iniúchta agus tástála:

“Níor cheart aon tástáil ná iniúchadh a chur ar aghaidh gan formheas doiciméadaithe ó úinéirí córais nó ó pháirtithe leasmhara ábhartha.”

Ní maorlathas iad rialacha rannpháirtíochta, fuinneoga tástála, teagmhálaithe éigeandála, rochtain shealadach, láimhseáil sonraí, logáil, nósanna imeachta aischurtha agus formheasanna dlí. Is coimircí athléimneachta iad.

Áirigh soláthraithe tríú páirtí TFC sula dteipeann ar an tástáil

Déanann DORA saincheist lárnach athléimneachta de riosca tríú páirtí TFC. Éilíonn Article 28 ar eintitis airgeadais riosca tríú páirtí TFC a bhainistiú laistigh den chreat bainistíochta riosca TFC, fanacht freagrach agus seirbhísí TFC á n-úsáid acu, clár faisnéise a choinneáil, socruithe áirithe a thuairisciú, measúnuithe réamhchonartha a dhéanamh agus soláthraithe a úsáid a chomhlíonann caighdeáin chuí slándála faisnéise. Pléann Articles 29 agus 30 riosca comhchruinnithe, fochonraitheoireacht, athshlánú sonraí, cosaintí conarthacha, leibhéil seirbhíse, cúnamh teagmhais, cearta iniúchta, tástáil theagmhasach soláthraithe, rannpháirtíocht i dtástáil nuair is ábhartha agus socruithe imeachta.

Soláthraíonn ISO/IEC 27001:2022 Iarscríbhinn A rialuithe tacaíochta soláthraithe, lena n-áirítear 5.19 Slándáil faisnéise i gcaidrimh le soláthraithe, 5.20 Slándáil faisnéise a chumhdach i gcomhaontuithe soláthraithe, 5.21 Slándáil faisnéise a bhainistiú sa slabhra soláthair TFC, 5.22 Faireachán, athbhreithniú agus bainistíocht athraithe ar sheirbhísí soláthraithe agus 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta.

Ba cheart do chatalóg tástála DORA a shainaithint cé na tástálacha a éilíonn rannpháirtíocht soláthraithe nó fianaise soláthraithe. I measc na samplaí tá:

• Toimhdí aistrithe teipe soláthraí néalríomhaireachta
• Uaschéimniú SOC bainistithe agus caomhnú fianaise
• Cumarsáid teagmhais ardáin chroíbhaincéireachta
• Cás briste próiseálaí íocaíochta
• Tástáil athshlánaithe soláthraí aitheantais
• Dearbhuithe tástála treáite ó dhíoltóir SaaS
• Measúnú tionchair ar shlabhra fochonraitheora chriticiúil

Teipfidh clár a fhágann soláthraithe criticiúla TFC ar lár sa tástáil réaltachta. B’fhéidir gur leatsa an tseirbhís os comhair custaiméirí, ach d’fhéadfadh an spleáchas athléimneachta a bheith i réigiún néalríomhaireachta, SOC seachfhoinsithe, soláthraí aitheantais, díoltóir bogearraí, próiseálaí íocaíochta nó ionad sonraí.

Mapáil traschomhlíonta: tacar fianaise amháin, go leor oibleagáidí

Laghdaíonn clár tástála DORA dea-dheartha tuirse iniúchta. Is féidir leis an bhfianaise chéanna tacú le DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 agus athbhreithnithe rialachais COBIT 2019 má dhéantar í a chlibeáil, a choinneáil agus a thuairisciú i gceart.

Níor cheart dearmad a dhéanamh ar GDPR. Má bhaineann tástálacha athléimneachta le sonraí pearsanta, logaí, taifid chustaiméirí, sonraí aitheantais, taifid acmhainní daonna, bithmhéadracht nó sonraí catagóire speisialta, ní mór don eagraíocht prionsabail GDPR a urramú, lena n-áirítear dleathacht, cothroime, trédhearcacht, íoslaghdú sonraí, teorannú stórála, sláine, rúndacht agus cuntasacht. Is féidir le cóipeanna sonraí tástála, logaí easpórtáilte agus fianaise tástála treáite éirí ina stórtha sonraí rialáilte. Ba cheart don chlár tástála a shainiú cé atá ceadaithe rochtain a fháil orthu, cá fhad a choinnítear iad agus conas a dhiúscraítear iad go slán.

Conas a dhéanfaidh iniúchóirí an clár céanna a thástáil

Féadfaidh maoirseoir DORA, iniúchóir ISO, measúnóir bunaithe ar NIST, athbhreithneoir COBIT agus iniúchóir cliaint an fhianaise chéanna a scrúdú trí lionsaí éagsúla.

Tá Zenith Controls úsáideach anseo mar chompás traschomhlíonta. Maidir le tástáil DORA, leagann Clarysec béim ar 5.35 Athbhreithniú neamhspleách ar shlándáil faisnéise, 8.8 Bainistíocht leochaileachtaí teicniúla agus 8.6 Bainistíocht acmhainne mar ancairí thar a bheith tábhachtach in Iarscríbhinn A ISO/IEC 27001:2022. Cabhraíonn siad le húinéirí rialaithe tástáil a nascadh le dearbhú neamhspleách, láimhseáil leochaileachtaí agus acmhainn oibríochtúil.

Tacaíonn Beartas Slándála Faisnéise Clarysec leis an rian iniúchta freisin:

“Ní mór d’Úinéirí Rialaithe torthaí tástála, logaí agus taifid athbhreithnithe a choinneáil chun tacú le hiniúchtaí tréimhsiúla.”

Ba cheart don abairt sin éirí ina riail oibríochtúil. Ba cheart go mbeadh a fhios ag gach úinéir tástála cad is gá a choinneáil, cá háit a gcoinneofar é, conas é a chosaint agus conas a nascann sé le riosca agus le fianaise rialaithe.

Tóg pacáiste fianaise DORA go ISO in aon seachtain amháin

Is féidir le heintiteas airgeadais nó le soláthraí TFC dul chun cinn suntasach a dhéanamh i gcúig lá oibre.

Lá 1: Sainigh raon feidhme agus criticiúlacht

Úsáid smaointeoireacht chlásail 4.1 go 4.4 ISO/IEC 27001:2022. Sainaithin páirtithe leasmhara, oibleagáidí rialála, oibleagáidí conarthacha, comhéadain agus spleáchais. Liostaigh seirbhísí gnó, feidhmeanna criticiúla nó tábhachtacha, príomhshócmhainní, cineálacha sonraí agus soláthraithe TFC.

Aschur: clár raon feidhme tástála DORA.

Lá 2: Cruthaigh an chatalóg tástála bhliantúil

Úsáid na ceithre theaghlach tástála: leochaileacht, cás, feidhmíocht agus treá. I gcás gach seirbhíse, sainigh cé na tástálacha atá infheidhme, minicíocht, úinéir, leibhéal neamhspleáchais agus truicear. Áirigh truicir athraithe ardriosca.

Aschur: catalóg tástála 2026 don athléimneacht oibríochtúil dhigiteach.

Lá 3: Mapáil rialuithe agus oibleagáidí

Mapáil gach tástáil chuig Iarscríbhinn A ISO/IEC 27001:2022, an clár rioscaí, an Ráiteas Infheidhmeachta, airteagail DORA, oibleagáidí soláthraithe agus iontrálacha ábhartha Zenith Controls. Mar shampla, mapálann scananna leochaileachta seachtracha míosúla chuig 8.8 Bainistíocht leochaileachtaí teicniúla, cóireáil riosca, faireachán, bainistíocht riosca TFC DORA agus torthaí leochaileachta NIST CSF.

Aschur: maitrís mapála rialuithe.

Lá 4: Caighdeánaigh fillteáin fianaise

Cruthaigh struchtúr fianaise rialaithe:

• 01 Plean agus údarú
• 02 Raon feidhme agus rialacha rannpháirtíochta
• 03 Torthaí amh
• 04 Tuarascáil chríochnaitheach
• 05 Clár fionnachtana
• 06 Ticéid leigheasaithe
• 07 Fianaise atástála
• 08 Tuairisciú bainistíochta
• 09 Ceachtanna foghlamtha agus nuashonruithe beartais

Aschur: stór fianaise le rialacha coinneála.

Lá 5: Athbhreithnigh fionnachtana agus tuairisciú

Comhdhlúthaigh fionnachtana oscailte de réir déine, seirbhíse, úinéara riosca agus dáta dlite. Sainaithin leigheasú thar téarma, rioscaí glactha agus bearnaí atástála. Ullmhaigh painéal don chomhlacht bainistíochta a thaispeánann clúdach tástála, mórfhionnachtana, gníomhartha thar téarma, saincheisteanna tríú páirtí agus riosca iarmharach.

Aschur: painéal tástála DORA agus ISO atá réidh don bhord.

Gaistí coitianta i gclár tástála DORA

Ní easpa tástála an teip is coitianta. Easpa rialachais atá ann.

Bí ag faire amach do na saincheisteanna seo:

• Tástálacha treáite á ndéanamh go bliantúil, ach fionnachtana gan rianú go dúnadh
• Scananna leochaileachta á rith go minic, ach sócmhainní criticiúla in easnamh ón raon feidhme
• Cleachtaí boird á reáchtáil, ach gan loga cinntí ná plean gníomhaíochta do cheachtanna foghlamtha
• Tástálacha athshlánaithe cúltaca críochnaithe, ach gan mhapáil chuig RTO agus RPO
• Tástálacha ualaigh á rith ag an innealtóireacht, ach gan tuairisciú don riosca ná don chomhlíonadh
• Soláthraithe TFC fágtha as tástálacha cásbhunaithe agus athshlánaithe
• Fianaise stóráilte i bhfillteáin phearsanta, snáitheanna comhrá nó tiomántáin neamhbhainistithe
• Tuairiscí boird dírithe ar chomhaireamh gníomhaíochta seachas ar riosca athléimneachta gan réiteach
• Ráiteas Infheidhmeachta ag rá go bhfuil rialú infheidhme, ach gan aon fhianaise tástála ann
• Tástáil ag cruthú riosca táirgthe toisc go bhfuil údarú agus teorainneacha doiléir

Is féidir gach bearna a réiteach. Ní tuilleadh tástála randamaí an leigheas. Is é an leigheas clár rialaithe amháin a nascann riosca, gníomhaíocht tástála, leigheasú, fianaise agus maoirseacht bainistíochta.

Cad ba cheart don bhord a fheiceáil i ndáiríre

Déanann DORA freagracht an chomhlachta bainistíochta d’athléimneacht TFC. Níor cheart do thuarascáil úsáideach don bhord gach fionnachtain theicniúil a áireamh. Ba cheart di a fhreagairt an bhfuil an eagraíocht sách hathléimneach i gcoinne a goile riosca agus a lamháltais cur isteach.

Áirítear i dtuarascáil láidir ráithiúil nó leathbhliantúil:

• Clúdach tástála i gcoinne feidhmeanna criticiúla nó tábhachtacha
• Tástálacha críochnaithe i gcomparáid le tástálacha pleanáilte
• Fionnachtana criticiúla agus arda de réir seirbhíse
• Leigheasú thar téarma de réir úinéara
• Ráta pasála atástála
• Fionnachtana a bhaineann le soláthraithe agus imní faoi chomhchruinniú
• Ceachtanna ó thástálacha cásbhunaithe a théann i bhfeidhm ar phleananna géarchéime nó teagmhais
• Rioscaí acmhainne i gcoinne fáis ghnó agus buaicthréimhsí
• Rioscaí iarmharacha a éilíonn glacadh bainistíochta
• Srianta buiséid, acmhainní nó uirlisí

Éiríonn an tuarascáil seo ina hionchur athbhreithnithe bainistíochta ISO, ina fianaise rialachais DORA agus ina huirlis phraiticiúil cinnteoireachta.

Ó thástálacha scaipthe go hathléimneacht straitéiseach

Níorbh í fadhb bhunaidh an Phríomhoifigigh Slándála Faisnéise easpa tástála. Bhí scananna, cleachtaí boird, tuarascálacha ualaigh agus PDFanna tástála treáite ag an eagraíocht. Ba í an fhadhb nach raibh na gníomhaíochtaí sin fós ag insint scéal fianaise comhleanúnach amháin.

Athraíonn clár tástála aontaithe DORA agus ISO/IEC 27001:2022 é sin. Tiomáineann an measúnú riosca an chatalóg. Tiomáineann an chatalóg tástáil údaraithe. Táirgeann tástáil fionnachtana. Tiomáineann fionnachtana leigheasú agus atástáil. Cothaíonn torthaí tuairisciú bainistíochta. Nuashonraíonn ceachtanna foghlamtha beartais, nósanna imeachta, conarthaí agus rialuithe.

Sin mar a éiríonn ualach comhlíonta ina chumas straitéiseach.

Cabhraíonn Clarysec le heagraíochtaí cláir chomhlíonta chomhthreomhara a sheachaint. Ní gá do DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 agus COBIT 2019 cruinne fianaise ar leith a bheith acu. Teastaíonn samhail oibriúcháin aonair, rialaithe uathu is féidir a chur i láthair trí lionsaí éagsúla iniúchta.

Comhcheanglaíonn ár gcur chuige:

• An Zenith Blueprint le haghaidh cur chun feidhme ISO céimnithe agus ullmhacht iniúchta
• Zenith Controls le haghaidh mapáil traschomhlíonta ar fud rialuithe, creataí agus ionchais iniúchta
• Beartais fiontair agus SME le haghaidh tástála slándála, faireachán iniúchta, bainistíocht leochaileachtaí, slándáil feidhmchlár, leanúnachas agus slándáil faisnéise
• Cláir phraiticiúla, struchtúir fianaise agus teimpléid tuairiscithe bainistíochta

Má tá d’fhianaise tástála DORA 2026 scaipthe ar fud uirlisí scanadh, fillteáin innealtóireachta, nótaí cleachtaí boird agus PDFanna tástála treáite, is anois an t-am í a chomhdhlúthú.

Tosaigh le catalóg tástála bhliantúil amháin atá mapáilte chuig cóireáil riosca ISO/IEC 27001:2022, do Ráiteas Infheidhmeachta, feidhmeanna criticiúla nó tábhachtacha, tríú páirtithe TFC agus tuairisciú bainistíochta. Ansin úsáid Zenith Blueprint, Zenith Controls agus foireann uirlisí beartais Clarysec chun an chatalóg sin a thiontú ina fianaise iniúchta inchosanta.

Is féidir le Clarysec cabhrú leat an clár a dhearadh, na rialuithe a mhapáil, an pacáiste fianaise a struchtúrú agus an tuarascáil athléimneachta ar leibhéal an bhoird a ullmhú sula dtagann an chéad iarratas maoirseachta eile isteach.