DORA információs nyilvántartás: ISO 27001 útmutató

Kedd reggel 09:15 van. Sarah, egy gyorsan növekvő fintech vállalat információbiztonsági vezetője felkészültségi értékelésen vesz részt a megfelelőségi vezetővel, a jogi tanácsadóval, a beszerzési vezetővel és a felhőbiztonsági architekttel. A külső tanácsadó egy DORA felügyeleti vizsgáló szerepét játssza.

„Köszönöm a prezentációt” – mondja. „Kérem, bocsássák rendelkezésre a DORA Article 28 által előírt információs nyilvántartást, beleértve a kritikus vagy fontos funkciókat támogató IKT-szerződéses megállapodásokat, az alvállalkozói átláthatóságot, az eszköztulajdonosi felelősséget, valamint annak bizonyítékait, hogy a nyilvántartást az IKT-kockázatkezelési keretrendszerük szerint tartják karban.”

Az első válasz magabiztosnak hangzik: „Van beszállítói listánk.”

Ezután megkezdődnek a kérdések.

Mely beszállítók támogatják a fizetési engedélyezést? Mely szerződések tartalmaznak auditálási jogot, incidenskezelési támogatást, adatkezelési helyszínekre vonatkozó kötelezettségvállalásokat, felmondási jogokat és kilépési támogatást? Mely SaaS platformok kezelnek ügyfelekhez kapcsolódó személyes adatokat? Mely felhőszolgáltatások támogatnak kritikus vagy fontos funkciókat? Mely alvállalkozók állnak a menedzselt biztonsági szolgáltató mögött? Mely belső eszközfelelős hagyta jóvá a függőséget? Az ISO/IEC 27001:2022 szerinti kockázatkezelési terv mely kockázatai kapcsolódnak ezekhez a szolgáltatókhoz? Az alkalmazhatósági nyilatkozat mely bejegyzései indokolják a kontrollokat?

10:30-ra a csapat négy táblázatot, egy CMDB-exportot, PDF-szerződéseket tartalmazó SharePoint mappát, adatvédelmi adatfeldolgozói listát, felhőszámlázási jelentést és manuálisan vezetett SaaS-nyilvántartást nyitott meg. Egyik sem egyezik a másikkal.

Ez a DORA információs nyilvántartás gyakorlati kihívása 2026-ban. A DORA bevezetése a „szükségünk van ütemtervre” állapotból eljutott oda, hogy „mutassák be a bizonyítékokat”. A pénzügyi szervezetek, harmadik fél IKT-szolgáltatók, információbiztonsági vezetők, belső auditorok és megfelelőségi csapatok számára a nyilvántartás már nem adminisztratív sablon. Ez az összekötő réteg az IKT-szerződések, a beszállítói kockázat, az alvállalkozói láncok, a felhőszolgáltatások, az IKT-vagyonelemek, a kritikus funkciók, az irányítási felelősség és az ISO/IEC 27001:2022 szerinti bizonyítékok között.

A Clarysec megközelítése egyszerű: a DORA információs nyilvántartást ne különálló megfelelési artefaktumként építse fel. Élő bizonyítékrétegként kell beépíteni az IBIR-be, amelyet az eszközkezelés, a beszállítói biztonság, a felhőhasználat irányítása, a jogi és szabályozási kötelezettségek leképezése, az auditmetaadatok és a kockázatkezelés visszakövethetősége támogat.

A Clarysec Zenith Controls: keresztmegfelelési útmutató Zenith Controls három ISO/IEC 27001:2022 Annex A kontrollt azonosít különösen releváns horgonykontrollként ebben a témában: A.5.9, az információk és egyéb kapcsolódó vagyonelemek leltára; A.5.19, információbiztonság a beszállítói kapcsolatokban; valamint A.5.20, az információbiztonság kezelése a beszállítói megállapodásokban. Ezek a kontrollok nem többletadminisztrációt jelentenek. Operatív alapot adnak annak igazolására, hogy a nyilvántartás teljes, felelőssel rendelkező, naprakész és auditálható.

Mit vár el a DORA az információs nyilvántartástól

A DORA 2025. január 17-től alkalmazandó, és a pénzügyi szektorra vonatkozó IKT-reziliencia szabálykönyvet hoz létre az IKT-kockázatkezelésre, az incidensjelentésre, a rezilienciatesztelésre, a harmadik fél kockázatra, a szerződéses megállapodásokra, a kritikus harmadik fél IKT-szolgáltatók felügyeletére és a felügyeleti betartatásra. Azoknál a pénzügyi szervezeteknél, amelyeket a nemzeti NIS2 átültetés alapján is azonosítanak, a DORA az ágazatspecifikus uniós jogi aktus a megfelelő kiberbiztonsági kockázatkezelési és incidensjelentési követelmények tekintetében.

A nyilvántartási kötelezettség a DORA harmadik fél IKT-kockázatkezelési rendszerébe illeszkedik. A DORA Article 28 előírja, hogy a pénzügyi szervezetek a harmadik fél IKT-kockázatot az IKT-kockázatkezelési keretrendszer részeként kezeljék, IKT-szolgáltatók igénybevétele esetén is teljes felelősséggel tartozzanak a megfelelésért, vezessenek információs nyilvántartást az IKT-szolgáltatásokra vonatkozó szerződéses megállapodásokról, és különböztessék meg a kritikus vagy fontos funkciókat támogató megállapodásokat.

A DORA Article 29 koncentrációs és alvállalkozói kockázati szempontokat ad hozzá. Ide tartozik a helyettesíthetőség, az ugyanazon vagy kapcsolt szolgáltatóktól való többszörös függőség, a harmadik országbeli alvállalkozás, a fizetésképtelenségi korlátok, az adat-helyreállítás, az adatvédelmi megfelelés, valamint a hosszú vagy összetett alvállalkozói láncok.

A DORA Article 30 meghatározza azt a szerződéses tartalmat, amelyet az auditorok látni fognak. Ide tartoznak a szolgáltatásleírások, az alvállalkozási feltételek, az adatkezelési helyszínek, az adatvédelmi kötelezettségvállalások, a hozzáférési és helyreállítási kötelezettségek, a szolgáltatási szintek, az incidenskezelési támogatás, a hatóságokkal való együttműködés, a felmondási jogok, a képzésben való részvétel, az auditálási jogok és a kritikus vagy fontos funkciókat támogató megállapodások kilépési stratégiái.

Egy érett DORA információs nyilvántartásnak négy gyakorlati kérdésre kell választ adnia.

A gyenge nyilvántartás egy évente egyszer, a beszerzés által frissített táblázat. Az erős nyilvántartás olyan irányított adatkészlet, amely összekapcsolja a beszállítói portfóliót, az eszköznyilvántartást, a felhőszolgáltatási nyilvántartást, a szerződéstárat, az adatvédelmi nyilvántartásokat, az üzletmenet-folytonossági terveket, az incidenskezelési forgatókönyveket, a kockázati nyilvántartást és az ISO/IEC 27001:2022 szerinti bizonyítékokat.

Miért az ISO 27001 a leggyorsabb út egy igazolható DORA nyilvántartáshoz

Az ISO/IEC 27001:2022 azt az irányítási rendszerstruktúrát adja meg, amely a DORA bizonyítékaiból gyakran hiányzik. A 4.1–4.4 pontok előírják, hogy a szervezet határozza meg a kontextust, az érdekelt feleket, a jogi, szabályozási és szerződéses kötelezettségeket, az alkalmazási területet, az interfészeket és a függőségeket. Pontosan itt van a DORA helye az IBIR-ben, mert a nyilvántartás attól függ, hogy ismert-e, mely pénzügyi szolgáltatások, IKT-szolgáltatók, ügyfelek, hatóságok, felhőplatformok és kiszervezett folyamatok tartoznak az alkalmazási területbe.

Az 5.1–5.3 pontok vezetői elkötelezettséget, szabályzati összhangot, erőforrásokat, felelősségeket és felső vezetés felé történő jelentéstételt írnak elő. Ez azért lényeges, mert a DORA Article 5 az irányító testület felelősségévé teszi az IKT-kockázatkezelési keretrendszer meghatározását, jóváhagyását, felügyeletét és elszámoltathatóságát, beleértve a harmadik fél IKT-szolgáltatásokra vonatkozó szabályzatokat és jelentési csatornákat.

A 6.1.1–6.1.3 pontoknál válik a nyilvántartás kockázatalapúvá. Az ISO/IEC 27001:2022 ismételhető kockázatértékelési folyamatot, kockázattulajdonosokat, valószínűség- és következményelemzést, kockázatkezelést, kontrollkiválasztást, alkalmazhatósági nyilatkozatot és a maradványkockázat kockázattulajdonos általi jóváhagyását követeli meg. Az a DORA nyilvántartás, amely nem kapcsolódik a kockázatkezeléshez, statikus listává válik. Az a nyilvántartás, amely kockázati forgatókönyvekhez, kontrollokhoz és felelősökhöz kapcsolódik, auditbizonyítékká válik.

A 8.1–8.3 pontok a tervezést szabályozott működéssé alakítják. Támogatják a dokumentált információt, a működéstervezést és -szabályozást, a változások kezelését, a külső fél által biztosított folyamatok kontrollját, a tervezett kockázat-újraértékeléseket, a kockázatkezelés végrehajtását és a bizonyítékok megőrzését. Ez 2026-ban kritikus, mert a felügyeletek már nem csak azt kérdezik, hogy létezett-e a nyilvántartás egy adott időpontban. Azt kérdezik, hogy az új szerződések, a módosított szolgáltatások, az új alvállalkozók, a felhőmigrációk és a kilépési események bekerülnek-e az irányítási ciklusba.

Az Annex A kontrollréteg ugyanezt erősíti meg. A beszállítói kapcsolatok, a beszállítói megállapodások, az IKT ellátási lánc kockázata, a beszállítói szolgáltatások nyomon követése, a felhőszolgáltatások beszerzése és kilépése, az incidenskezelés, az üzletmenet-folytonosság, a jogi és szabályozási kötelezettségek, az adatvédelem, a biztonsági mentések, a naplózás, a monitorozás, a kriptográfia és a sérülékenységkezelés mind hozzájárulnak a nyilvántartás minőségéhez.

A Clarysec Zenith Blueprint: auditori 30 lépéses ütemterv Zenith Blueprint a Controls in Action szakasz 22. lépésében magyarázza el az eszközalap fontosságát:

Stratégiai értelemben az eszköznyilvántartás az IBIR központi idegrendszereként működik. Meghatározza, hogyan történik a hozzáférés-kiosztás (8.2), hol kell titkosítást alkalmazni (8.24), mely rendszerekről kell biztonsági mentést készíteni (8.13), milyen naplókat kell gyűjteni (8.15), sőt azt is, hogyan kell érvényesíteni az osztályozási és megőrzési szabályzatokat (5.10, 8.10).

Ez az idézet a gyakorlati lényeget ragadja meg. Megbízható DORA információs nyilvántartás nem tartható fenn, ha az alatta lévő eszköznyilvántartás nem megbízható. Ha a nyilvántartásban az szerepel, hogy „Core Banking SaaS”, de az eszköznyilvántartás nem mutatja az alkalmazásprogramozási interfészeket, a szolgáltatásfiókokat, az adatkészleteket, a naplóforrásokat, a titkosítási kulcsokat, a biztonsági mentési függőségeket és a felelősöket, akkor a nyilvántartás audit szempontból hiányos.

A Clarysec adatmodellje: egy nyilvántartás, több bizonyítéknézet

A DORA információs nyilvántartásnak nem kell leváltania a beszállítói nyilvántartást, az eszköznyilvántartást vagy a felhőszolgáltatási nyilvántartást. Össze kell kapcsolnia őket. A Clarysec a nyilvántartást általában központi bizonyítékrétegként tervezi meg, amely szabályozott kapcsolatokat tart fenn a meglévő IBIR-nyilvántartásokkal.

A minimálisan működőképes modell hét összekapcsolt objektumból áll.

Ez a struktúra lehetővé teszi, hogy egyetlen nyilvántartás többféle bizonyítékkérésnek is megfeleljen. Egy DORA felügyeleti vizsgáló megtekintheti a kritikus vagy fontos funkciókat támogató szerződéses megállapodásokat. Egy ISO auditor visszakövetheti a beszállítói kontrollokat az Annex A hivatkozásokhoz és a kockázatkezeléshez. Egy GDPR felülvizsgáló láthatja az adatfeldolgozókat, az adatkategóriákat, a helyszíneket és az adatvédelmi kötelezettségvállalásokat. Egy NIST szemléletű értékelő áttekintheti az ellátási lánc irányítását, a beszállítói kritikusságot, a szerződéses követelményeket és az életciklus-alapú nyomon követést.

A nyilvántartás így több lesz annál a kérdésnél, hogy „kik a beszállítóink?” Függőségi gráffá válik.

Szabályzati alapok, amelyek auditálhatóvá teszik a nyilvántartást

A Clarysec szabályzatkészlete működési keretet ad a nyilvántartásnak. KKV-k számára a Harmadik fél és beszállítói biztonsági szabályzat – KKV Harmadik fél és beszállítói biztonsági szabályzat – KKV egyértelmű nyilvántartási követelménnyel indul:

Beszállítói nyilvántartást kell fenntartani, és azt az adminisztratív vagy beszerzési kapcsolattartónak frissítenie kell. Ennek tartalmaznia kell:

Ugyanez a KKV-szabályzat rögzíti, hogy a szerződéseknek meghatározott biztonsági kötelezettségeket kell tartalmazniuk:

A szerződéseknek kötelező záradékokat kell tartalmazniuk az alábbiakra vonatkozóan:

Bár az idézett záradékok magában a szabályzatban mezőlistákat és kötelező záradékkategóriákat vezetnek be, a megvalósítási üzenet egyértelmű: a beszállítói irányítást dokumentálni kell, felelőshöz kell rendelni, és szerződésesen érvényesíteni kell.

Nagyvállalati környezetben a Clarysec Beszállítói függőségi kockázatok kezelésére vonatkozó szabályzata Beszállítói függőségi kockázatok kezelésére vonatkozó szabályzat még közelebb áll a DORA felügyeleti elvárásaihoz:

Beszállítói függőségi nyilvántartás: a VMO köteles naprakész nyilvántartást vezetni valamennyi kritikus beszállítóról, beleértve többek között a nyújtott szolgáltatások/termékek adatait; azt, hogy a beszállító egyforrásos-e; a rendelkezésre álló alternatív beszállítókat vagy helyettesíthetőséget; az aktuális szerződéses feltételeket; valamint annak hatásértékelését, ha a beszállító kiesne vagy kompromittálódna. A nyilvántartásnak egyértelműen azonosítania kell a magas függőségi kockázatú beszállítókat, például azokat, amelyekre nincs gyorsan bevonható alternatíva.

Ez pontosan illeszkedik a DORA Article 29 koncentrációs és helyettesíthetőségi kockázataihoz. Ha egy beszállító egyforrásos, kritikus funkciót támogat, harmadik országban működik, hosszú alvállalkozói láncot használ, és nincs tesztelt kilépési útvonala, a nyilvántartásnak nem szabad ezt a kockázatot szabad szöveges megjegyzésben elrejtenie. Jelölnie kell, felelőst kell hozzárendelnie, és össze kell kapcsolnia a kockázatkezeléssel.

A Clarysec nagyvállalati Harmadik fél és beszállítói biztonsági szabályzata Harmadik fél és beszállítói biztonsági szabályzat egyértelművé teszi az alkalmazási területet:

Kiterjed mind a közvetlen beszállítókra, mind – ahol alkalmazható – azok alvállalkozóira, továbbá magában foglalja a harmadik féltől származó szoftvereket, infrastruktúrát, támogatást és menedzselt szolgáltatásokat.

Ez a mondat gyakori DORA-hiányosságra mutat rá. Sok szervezet rögzíti a közvetlen IKT-szolgáltatókat, de nem dokumentálja az alvállalkozókat, al-adatfeldolgozókat, menedzselt szolgáltatási eszközöket, támogatási platformokat vagy a szolgáltatásba beépített harmadik féltől származó szoftvereket.

A szerződéses bizonyítékok is számítanak. Ugyanez a nagyvállalati szabályzat tartalmazza:

Auditálási, ellenőrzési és biztonsági bizonyítékok bekérésére vonatkozó jogok

Ennek a kifejezésnek meg kell jelennie a szerződés-felülvizsgálati ellenőrzőlistában. Ha egy kritikus IKT-szolgáltatói szerződésből hiányzik az auditálási vagy bizonyítékkérési jog, a nyilvántartásnak korrekciós intézkedést kell jelölnie.

Az eszközbizonyíték ugyanilyen fontos. A Clarysec KKV Eszközkezelési szabályzata Eszközkezelési szabályzat – KKV kimondja:

Az informatikai vezetőnek strukturált eszköznyilvántartást kell fenntartania, amely legalább az alábbi mezőket tartalmazza:

A nagyvállalati Eszközkezelési szabályzat Eszközkezelési szabályzat hasonlóan fogalmaz:

Az eszköznyilvántartásnak legalább az alábbiakat kell tartalmaznia:

A nyilvántartásnak nem kell minden eszközmezőt megismételnie, de hivatkoznia kell az eszköznyilvántartásra. Ha egy fizetésmonitorozási SaaS csalásdetektálást támogat, a DORA nyilvántartásnak kapcsolódnia kell az alkalmazásvagyonhoz, az adatkészlethez, a szolgáltatásfiókokhoz, az alkalmazásprogramozási interfész integrációkhoz, a naplóforrásokhoz és az üzlettulajdonoshoz.

A felhőszolgáltatások külön nézetet érdemelnek. A Clarysec KKV Felhőszolgáltatások használatára vonatkozó szabályzata Felhőszolgáltatások használatára vonatkozó szabályzat – KKV előírja:

Felhőszolgáltatások nyilvántartását kell fenntartani, amelyért az IT-szolgáltató vagy az ügyvezető felelős. Ennek rögzítenie kell:

Ez különösen értékes a shadow IT feltárásához. Az a DORA nyilvántartás, amely kizárja a beszerzésen kívül vásárolt felhőszolgáltatásokat, elbukik a gyakorlati teljességi teszten.

Végül a Clarysec Jogi és szabályozói megfelelési szabályzata Jogi és szabályozói megfelelési szabályzat a keresztmegfelelést IBIR-követelménnyé alakítja:

Minden jogi és szabályozási kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és felelősökhöz kell rendelni az információbiztonság-irányítási rendszerben (IBIR).

Ez a híd a DORA nyilvántartás és az ISO 27001 bizonyítékai között. A nyilvántartásnak nemcsak a beszállítókat kell megmutatnia, hanem azt is, hogy mely szabályzatok, kontrollok és felelősök teljesítik a szabályozási kötelezettséget.

A DORA követelmények leképezése ISO 27001 és Clarysec bizonyítékokra

Az alábbi táblázat összekapcsolja a legfontosabb nyilvántartási elvárásokat az ISO/IEC 27001:2022 Annex A kontrolljaival és a gyakorlati Clarysec bizonyítékokkal.

Ezen a ponton szűnik meg a nyilvántartás egyszerű táblázatként működni, és válik bizonyítékmodellé. Minden sornak rendelkeznie kell szerződésfelelőssel, beszállítói felelőssel, szolgáltatásgazdával, üzlettulajdonossal és megfelelőségi felelőssel. Minden kritikus kapcsolatnak rendelkeznie kell kockázati bejegyzéssel, szerződéses záradékok ellenőrzőlistájával, eszközkapcsolattal és monitorozási ütemezéssel.

Gyakorlati példa: egy IKT-szerződés leképezése ISO 27001 bizonyítékokra

Tegyük fel, hogy egy pénzügyi szervezet felhőalapú csaláselemzési platformot használ. A szolgáltatás tranzakciós metaadatokat vesz át, valós idejű csalási pontozást támogat, integrálódik a fizetési platformmal, álnevesített ügyfélazonosítókat tárol, felhőalapú tárhelyszolgáltató alvállalkozót használ, és menedzselt támogatást nyújt jóváhagyott harmadik országbeli helyszínről.

Egy gyenge nyilvántartási sor így néz ki: „Beszállító: FraudCloud. Szolgáltatás: csaláselemzés. Szerződés aláírva. Kritikus: igen.”

Egy felügyeleti szintű nyilvántartási sor egészen más.

Így a megfelelőségi csapat koherens bizonyítékcsomagot tud előállítani. A beszállítói nyilvántartás igazolja, hogy a szolgáltató létezik és van felelőse. Az eszköznyilvántartás igazolja, hogy a belső rendszerek, alkalmazásprogramozási interfészek, adatkészletek és naplók ismertek. A szerződéses ellenőrzőlista igazolja, hogy a kötelező DORA-záradékokat felülvizsgálták. A kockázatértékelés igazolja, hogy a koncentrációs, alvállalkozói, adatvédelmi és operatív reziliencia szempontokat mérlegelték. Az alkalmazhatósági nyilatkozat megmutatja, mely kontrollokat választották ki. A monitorozási felülvizsgálat bizonyítja, hogy a megállapodás nem merült feledésbe a beléptetés után.

A Zenith Blueprint a Risk Management szakasz 13. lépésében pontosan ezt a visszakövethetőséget javasolja:

Szabályozások kereszthivatkozása: ha bizonyos kontrollokat kifejezetten a GDPR, NIS2 vagy DORA szerinti megfelelés érdekében vezettek be, ezt rögzítheti akár a kockázati nyilvántartásban, a kockázati hatás indoklásának részeként, akár a SoA megjegyzéseiben.

Így válik a DORA nyilvántartás ISO 27001 bizonyítékká, nem pedig párhuzamos bürokráciává.

A beszállítói és alvállalkozói láncnál bukik el a nyilvántartás minősége

A legnagyobb nyilvántartási hibákat nem a felső szintű beszállítók hiánya okozza. A rejtett függőségi láncok okozzák őket.

Egy menedzselt biztonsági szolgáltató használhat SIEM platformot, végponti telemetriai ügynököt, jegykezelő rendszert és offshore triage csapatot. Egy fizetési szolgáltató függhet felhőalapú tárhelytől, identitásszolgáltatásoktól, csalási adatbázisoktól és elszámolási kapcsolatoktól. Egy SaaS szolgáltató több al-adatfeldolgozóra támaszkodhat analitika, e-mail, megfigyelhetőség, ügyféltámogatás és biztonsági mentések tekintetében.

A DORA Article 29 a figyelmet a koncentrációs és alvállalkozói kockázatra irányítja. A NIS2 Article 21 szintén ellátásilánc-biztonságot ír elő a közvetlen beszállítók és szolgáltatók esetében, és elvárja, hogy a szervezetek figyelembe vegyék az egyes közvetlen beszállítók sajátos sérülékenységeit, az általános termékminőséget, a beszállítók kiberbiztonsági gyakorlatait és a biztonságos fejlesztési eljárásokat. A DORA hatálya alá tartozó pénzügyi szervezetek esetében a DORA az átfedő NIS2 kiberbiztonsági kockázatkezelési és incidensjelentési követelmények ágazatspecifikus szabálykönyve, de az ellátási lánc logikája összhangban van.

A Clarysec Zenith Blueprint a Controls in Action szakasz 23. lépésében gyakorlati utasítást ad:

Minden kritikus beszállító esetében azonosítsa, hogy használ-e olyan alvállalkozókat vagy al-adatfeldolgozókat, akik hozzáférhetnek az Ön adataihoz vagy rendszereihez. Dokumentálja, hogyan hárulnak tovább az információbiztonsági követelmények ezekre a felekre, akár a beszállító szerződéses feltételein, akár az Ön közvetlen záradékain keresztül.

Sok szervezetnél éppen itt van szükség korrekciós intézkedésre 2026-ban. A DORA-felkészültség előtt aláírt szerződések nem feltétlenül tartalmaznak alvállalkozói átláthatóságot, auditbizonyítékokhoz való jogot, hatósági együttműködést, incidenskezelési támogatást, kilépési támogatást vagy helyszínre vonatkozó kötelezettségvállalásokat. A nyilvántartásnak ezért tartalmaznia kell szerződéses korrekciós státuszt, például: teljes, hiányosság elfogadva, újratárgyalás folyamatban vagy kilépési opció szükséges.

Keresztmegfelelés: a DORA, NIS2, GDPR és NIST ugyanazt a függőségi valóságot igényli

Egy jól megtervezett DORA információs nyilvántartás nemcsak a DORA-t támogatja.

A NIS2 Article 20 a kiberbiztonságot az irányító testület felelősségévé teszi jóváhagyás, felügyelet és képzés révén. A Article 21 kockázatelemzést, szabályzatokat, incidenskezelést, folytonosságot, ellátásilánc-biztonságot, biztonságos beszerzést és karbantartást, eredményességértékelést, kiberhigiéniát, kriptográfiát, HR-biztonságot, hozzáférés-szabályozást, eszközkezelést és adott esetben többtényezős hitelesítést ír elő. Ezek a területek erősen átfednek az ISO/IEC 27001:2022-vel és a nyilvántartási bizonyítékmodellel.

A GDPR hozzáadja az adatvédelmi elszámoltathatóságot. Területi hatálya kiterjedhet EU-s és nem EU-s szervezetekre is, amelyek személyes adatokat kezelnek EU-s letelepedéssel összefüggésben, árukat vagy szolgáltatásokat kínálnak az EU-ban tartózkodó személyeknek, vagy megfigyelik viselkedésüket. A GDPR adatkezelőre, adatfeldolgozóra, adatkezelésre, álnevesítésre és személyesadat-sértésre vonatkozó fogalmai közvetlenül relevánsak az IKT-beszállítók leképezéséhez. Ha a DORA nyilvántartás azonosítja az IKT-szolgáltatókat és alvállalkozókat, de nem azonosítja a személyes adatok kezelésében betöltött szerepeket, az adatkategóriákat, a helyszíneket és a védelmi intézkedéseket, nem fogja támogatni a GDPR szerinti bizonyítékokat.

A NIST CSF 2.0 egy másik hasznos nézőpontot ad. GOVERN funkciója megköveteli, hogy a szervezetek értsék küldetésüket, az érdekelt felek elvárásait, a függőségeket, a jogi és szerződéses követelményeket, a mások által igénybe vett szolgáltatásokat, valamint azokat a szolgáltatásokat, amelyekre maga a szervezet támaszkodik. GV.SC ellátási lánc eredményei ellátásilánc-kockázatkezelési programot, meghatározott beszállítói szerepeket, vállalati kockázatkezelésbe való integrációt, beszállítói kritikusságot, szerződéses követelményeket, kellő gondosságot, életciklus-alapú monitorozást, incidenskoordinációt és kapcsolat lezárását követő tervezést várnak el.

Egy gyakorlati keresztmegfelelési nézet így néz ki.

A cél nem öt külön megfelelési munkafolyamat létrehozása. A cél egy olyan bizonyítékmodell kialakítása, amely minden keretrendszerre szűrhető.

Az auditor szemével

Egy DORA felügyeleti vizsgáló a teljességre, a kritikus vagy fontos funkciókra, a szerződéses megállapodásokra, az alvállalkozásra, a koncentrációs kockázatra, az irányításra, a jelentéstételre és arra fog fókuszálni, hogy a nyilvántartást karbantartják-e. Mintát kérhet kritikus szolgáltatókból, és elvárhatja a szerződéses záradékokat, kockázatértékeléseket, kilépési stratégiákat, incidenskezelési támogatási feltételeket és a vezetői felügyelet bizonyítékait.

Egy ISO/IEC 27001:2022 auditor az IBIR alkalmazási területéből, az érdekelt felekből, a szabályozási kötelezettségekből, a kockázatértékelésből, az alkalmazhatósági nyilatkozatból, az operatív kontrollból és a dokumentált információból indul ki. Tesztelni fogja, hogy karbantartják-e a beszállítói kapcsolatokat és az eszköznyilvántartásokat, a külső fél által biztosított folyamatok kontroll alatt állnak-e, a változások kiváltanak-e újraértékelést, és a bizonyítékok alátámasztják-e az állított kontrollbevezetést.

Egy NIST CSF 2.0 értékelő gyakran kér aktuális és célprofilokat, irányítási elvárásokat, függőség-leképezést, beszállítói kritikusságot, szerződéses integrációt, életciklus-alapú monitorozást és priorizált fejlesztési intézkedéseket.

Egy COBIT 2019 szemléletű auditor jellemzően az irányítási felelősséget, a folyamati elszámoltathatóságot, a döntési jogokat, a teljesítményfelügyeletet, a kockázati jelentéstételt és a bizonyosságot vizsgálja. Meg fogja kérdezni, hogy a nyilvántartás beépült-e a vállalatirányításba, vagy csak a megfelelőségi funkció tartja karban.

A Zenith Controls azzal segít lefordítani ezeket a nézőpontokat, hogy a témát az ISO/IEC 27001:2022 Annex A A.5.9, A.5.19 és A.5.20 kontrolljaiba horgonyozza, majd keresztmegfelelési értelmezéssel kapcsolja össze a vagyonelemeket, a beszállítói kapcsolatokat és a beszállítói megállapodásokat a szabályozási, irányítási és audit elvárásokkal. Ez a különbség aközött, hogy „van nyilvántartásunk”, és aközött, hogy „meg tudjuk védeni a nyilvántartást”.

A Clarysec KKV Audit- és megfelelésfelügyeleti szabályzata Audit- és megfelelésfelügyeleti szabályzat – KKV a bizonyítékminőséggel is foglalkozik:

A metaadatokat, például azt, hogy ki gyűjtötte azokat, mikor és mely rendszerből, dokumentálni kell.

Ez a követelmény kicsi, de erős. Egy 2026-os bizonyítékkérésnél a gyűjtési metaadat nélküli táblázat gyenge bizonyíték. Egy olyan nyilvántartásexport, amely megmutatja a forrásrendszert, a kinyerés dátumát, a felelős tulajdonost, a jóváhagyási státuszt és a felülvizsgálati ütemezést, sokkal erősebb.

Gyakori DORA információs nyilvántartási megállapítások 2026-ban

A leggyakoribb megállapítások gyakorlati jellegűek.

Először: hiányos nyilvántartás. A felhőszolgáltatások, támogatási eszközök, monitorozási platformok, fejlesztői eszközök, jegykezelő rendszerek és adatelemzési platformok gyakran hiányoznak, mert a beszerzés nem minősítette őket IKT-szolgáltatásnak.

Másodszor: gyenge kritikussági logika. Egyes csapatok a költés alapján jelölik kritikusnak a beszállítókat, nem az üzleti hatás alapján. A DORA számára az számít, hogy az IKT-szolgáltatás támogat-e kritikus vagy fontos funkciót.

Harmadszor: szerződéses bizonyítékhiányok. A régebbi beszállítói megállapodásokból gyakran hiányoznak a DORA-ra felkészített záradékok az auditálási jogokra, az incidenskezelési támogatásra, az alvállalkozásra, a hatósági együttműködésre, a szolgáltatási helyszínekre, az adatok visszaadására, a felmondásra és a kilépési támogatásra vonatkozóan.

Negyedszer: gyenge eszközkapcsolat. A nyilvántartások beszállítókat sorolnak fel, de nem kapcsolódnak alkalmazásokhoz, adatkészletekhez, alkalmazásprogramozási interfészekhez, identitásokhoz, naplókhoz, infrastruktúrához vagy üzleti szolgáltatásokhoz. Ez incidensek és beszállítói kiesések idején megnehezíti a hatáselemzést.

Ötödször: alvállalkozói átláthatatlanság. A szervezet ismeri a fő szolgáltatót, de nem tudja megmagyarázni, mely al-adatfeldolgozók vagy technikai szolgáltatók támogatják a szolgáltatást.

Hatodszor: nincsenek változási kiváltó események. Egy szolgáltató új al-adatfeldolgozót vesz fel, tárhelyrégiót módosít, architektúrát migrál vagy támogatási hozzáférést változtat, de senki nem frissíti a nyilvántartást, és nem értékeli újra a kockázatot.

Hetedszer: nincs bizonyítékütemezés. Nincs meghatározott gyakoriság a beszállítói felülvizsgálatra, szerződés-felülvizsgálatra, eszközellenőrzésre, felhőnyilvántartás egyeztetésére vagy vezetői jelentéstételre.

Ezek megoldható problémák, de csak akkor, ha a nyilvántartásnak vannak felelősei és munkafolyamatai.

Gyakorlati 30 napos fejlesztési terv

Kezdje az alkalmazási területtel. Azonosítsa az összes olyan üzleti funkciót, amely a DORA szerint kritikus vagy fontos lehet. Minden funkcióhoz sorolja fel azokat az IKT-szolgáltatásokat, amelyektől függ. Ne a beszerzési költéssel kezdje. Az operatív függőséggel kezdje.

Egyeztesse a fő adatforrásokat: beszállítói nyilvántartás, szerződéstár, eszköznyilvántartás és felhőszolgáltatási nyilvántartás. Adja hozzá az adatvédelmi adatfeldolgozói nyilvántartásokat és az incidensreagálási függőségeket, ahol relevánsak. Az első napon nem a tökéletesség a cél. A cél egyetlen nyilvántartási gerinc létrehozása, amelyben az ismeretlenek egyértelműen jelölve vannak.

Osztályozza a beszállítókat és szolgáltatásokat olyan szempontok alapján, mint a támogatott funkció, az adatok érzékenysége, az operatív helyettesíthetőség, a koncentráció, az alvállalkozás, a helyszínek, az incidenshatás, a helyreállítási idő és a szabályozási relevancia.

Vizsgálja felül minden kritikus vagy fontos IKT-megállapodás szerződését. Ellenőrizze, hogy a szerződés tartalmazza-e a szolgáltatásleírásokat, az alvállalkozási feltételeket, a helyszíneket, az adatvédelmi kötelezettségvállalásokat, a hozzáférést és helyreállítást, a szolgáltatási szinteket, az incidenskezelési támogatást, az auditálási jogokat, a hatósági együttműködést, a felmondást, a képzésben való részvételt és a kilépési támogatást.

Minden kritikus megállapodáshoz képezze le az ISO bizonyítékokat. Kapcsolja össze az eszköznyilvántartási bejegyzésekkel, kockázatértékelési bejegyzésekkel, SoA-kontrollokkal, beszállítói kellő gondossággal, monitorozási felülvizsgálatokkal, folytonossági tervekkel, incidenskezelési forgatókönyvekkel és kilépési stratégiai bizonyítékokkal.

Rendeljen hozzá ütemezést. A kritikus szolgáltatók negyedéves felülvizsgálatot, éves bizonyosságot, megújítás előtti szerződés-felülvizsgálatot és lényeges változás esetén azonnali újraértékelést igényelhetnek. A nem kritikus szolgáltatók évente vagy kiváltó események alapján vizsgálhatók felül.

Használja ezt az ellenőrzőlistát, hogy a nyilvántartás működő folyamattá váljon:

• Jelöljön ki DORA nyilvántartásgazdát és helyettes felelőst.
• Kapcsoljon minden nyilvántartási sort szerződésazonosítóhoz és beszállítói felelőshöz.
• Kapcsoljon minden kritikus vagy fontos IKT-szolgáltatást üzleti funkcióhoz és eszköznyilvántartási bejegyzésekhez.
• Adjon hozzá alvállalkozói és al-adatfeldolgozói mezőket, még akkor is, ha kezdetben ismeretlenként vannak jelölve.
• Adjon hozzá szerződéses záradék státuszt a DORA szempontjából kritikus feltételekhez.
• Adjon hozzá ISO/IEC 27001:2022 kockázati és SoA-hivatkozásokat.
• Adjon hozzá GDPR-szerepkört, személyes adatokat és helyszínmezőket, ahol alkalmazható.
• Adjon hozzá felülvizsgálati ütemezést és utolsó felülvizsgálati metaadatokat.
• Hozzon létre eszkalációs szabályokat a hiányzó záradékokra, ismeretlen alvállalkozókra és magas koncentrációs kockázatra.
• Jelentse a nyilvántartás minőségi mutatóit a vezetésnek.

Itt dolgozik együtt a Clarysec 30 lépéses bevezetési módszere, szabályzatkészlete és a Zenith Controls. A Zenith Blueprint biztosítja a bevezetési útvonalat, a 13. lépés kockázatkezelési és SoA-visszakövethetőségétől a 22. lépés eszköznyilvántartásán át a 23. lépés beszállítói kontrolljaiig. A szabályzatok meghatározzák, kinek kell fenntartania a nyilvántartásokat, milyen szerződéses és eszközbizonyítékoknak kell létezniük, és hogyan kell rögzíteni a megfelelési metaadatokat. A Zenith Controls keresztmegfelelési iránytűt ad ugyanazon bizonyítékok leképezéséhez a DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST és COBIT 19 audit elvárásai szerint.

Alakítsa bizonyítékká a nyilvántartást, mielőtt a felügyelet kéri

Ha a DORA információs nyilvántartása még mindig egy, a szerződésektől, vagyonelemektől, beszállítóktól, alvállalkozóktól és ISO 27001 bizonyítékoktól elszakadt táblázat, 2026 az az év, amikor ezt rendezni kell.

Kezdje a Zenith Blueprint Zenith Blueprint használatával, hogy összekapcsolja a kockázatkezelést, az eszköznyilvántartást és a beszállítói irányítást. Használja a Zenith Controls Zenith Controls anyagot az ISO/IEC 27001:2022 Annex A A.5.9, A.5.19 és A.5.20 kontrolljainak keresztmegfelelési bizonyítékokra való leképezéséhez. Ezután tegye működőképessé a követelményeket a Clarysec beszállítói, eszköz-, felhő-, jogi megfelelési és auditmonitorozási szabályzatain keresztül, beleértve a Harmadik fél és beszállítói biztonsági szabályzat – KKV, Beszállítói függőségi kockázatok kezelésére vonatkozó szabályzat, Harmadik fél és beszállítói biztonsági szabályzat, Eszközkezelési szabályzat – KKV, Eszközkezelési szabályzat, Felhőszolgáltatások használatára vonatkozó szabályzat – KKV, Jogi és szabályozói megfelelési szabályzat és Audit- és megfelelésfelügyeleti szabályzat – KKV dokumentumokat.

A nyilvántartás minőségének javítására a legjobb időpont a hatósági megkeresés, belső audit, beszállítói kiesés vagy szerződésmegújítás előtt van. A második legjobb időpont most van. Töltse le a releváns Clarysec szabályzatokat, vesse össze jelenlegi nyilvántartását a fenti bizonyítékmodellel, és foglaljon DORA nyilvántartási értékelést, hogy a szétszórt beszállítói adatokat felügyeleti szintű bizonyítékká alakítsa.