DORA informacijos registro vadovas pagal ISO 27001

Antradienis, 09:15. Sarah, sparčiai augančios fintech bendrovės informacijos saugumo vadovė (CISO), dalyvauja pasirengimo vertinime kartu su atitikties vadovu, teisininku, pirkimų vadovu ir debesijos architektu. Išorės konsultantas imituoja DORA priežiūros institucijos vaidmenį.

„Dėkoju už pristatymą“, – sako jis. „Prašome pateikti jūsų informacijos registrą, kaip reikalaujama pagal DORA Article 28, įskaitant IRT sutartinius susitarimus, palaikančius kritines arba svarbias funkcijas, subtiekimo matomumą, turto savininkystę ir įrodymus, kad registras tvarkomas pagal jūsų IRT rizikos valdymo sistemą.“

Pirmasis atsakymas skamba užtikrintai: „Turime tiekėjų sąrašą.“

Tada prasideda klausimai.

Kurie tiekėjai palaiko mokėjimų autorizavimą? Kuriose sutartyse numatytos audito teisės, pagalba incidentų atveju, įsipareigojimai dėl duomenų vietos, nutraukimo teisės ir pasitraukimo pagalba? Kurios SaaS platformos tvarko klientų asmens duomenis? Kurios debesijos paslaugos palaiko kritines arba svarbias funkcijas? Kurie subtiekėjai veikia už valdomo saugumo paslaugų teikėjo? Kuris vidinis turto savininkas patvirtino priklausomybę? Kurios ISO/IEC 27001:2022 rizikos tvarkymo plano rizikos susietos su šiais teikėjais? Kurie Taikomumo pareiškimo įrašai pagrindžia kontrolės priemones?

10:30 komanda jau atsidariusi keturias skaičiuokles, CMDB eksportą, SharePoint aplanką su PDF sutartimis, privatumo tvarkytojų sąrašą, debesijos atsiskaitymų ataskaitą ir rankiniu būdu tvarkomą SaaS stebėjimo failą. Nė vienas šaltinis nesutampa.

Tai praktinis DORA informacijos registro iššūkis 2026 m. DORA įgyvendinimas perėjo nuo „mums reikia veiksmų plano“ prie „parodykite įrodymus“. Finansų sektoriaus subjektams, IRT trečiųjų šalių paslaugų teikėjams, CISO, vidaus auditoriams ir atitikties komandoms registras nebėra administracinis šablonas. Tai jungiamasis sluoksnis tarp IRT sutarčių, tiekėjų rizikos, subtiekimo grandinių, debesijos paslaugų, IRT turto, kritinių funkcijų, valdysenos atsakomybės ir ISO/IEC 27001:2022 įrodymų.

Clarysec požiūris paprastas: nekurkite DORA informacijos registro kaip atskiro atitikties artefakto. Kurkite jį kaip gyvą įrodymų sluoksnį savo ISVS viduje, paremtą turto valdymu, tiekėjų saugumu, debesijos naudojimo valdysena, teisinių ir reglamentavimo įpareigojimų susiejimu, audito metaduomenimis ir rizikos tvarkymo atsekamumu.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls išskiria tris ISO/IEC 27001:2022 A priedo atramines kontrolės priemones, kurios šiai temai ypač aktualios: A.5.9 – informacijos ir kito susijusio turto apskaita; A.5.19 – informacijos saugumas tiekėjų santykiuose; ir A.5.20 – informacijos saugumo įtraukimas į tiekėjų susitarimus. Šios kontrolės priemonės nėra papildoma biurokratija. Jos yra operacinis pagrindas įrodyti, kad registras yra išsamus, turi savininkus, yra aktualus ir tinkamas auditui.

Ko DORA tikisi iš informacijos registro

DORA taikomas nuo 2025 m. sausio 17 d. ir nustato finansų sektoriaus IRT atsparumo taisyklių rinkinį, apimantį IRT rizikos valdymą, pranešimą apie incidentus, atsparumo testavimą, trečiųjų šalių riziką, sutartinius susitarimus, kritinių IRT trečiųjų šalių teikėjų priežiūrą ir priežiūros institucijų taikomas poveikio priemones. Finansų sektoriaus subjektams, kurie taip pat identifikuoti pagal nacionalinį NIS2 perkėlimą, DORA veikia kaip sektoriui skirtas Sąjungos teisės aktas, taikomas atitinkamiems kibernetinio saugumo rizikos valdymo ir pranešimo apie incidentus reikalavimams.

Registro pareiga yra DORA IRT trečiųjų šalių rizikos valdymo disciplinos dalis. DORA Article 28 reikalauja, kad finansų sektoriaus subjektai valdytų IRT trečiųjų šalių riziką kaip IRT rizikos valdymo sistemos dalį, išliktų visiškai atsakingi už atitiktį net naudodamiesi IRT teikėjais, tvarkytų IRT paslaugų sutartinių susitarimų informacijos registrą ir atskirtų susitarimus, palaikančius kritines arba svarbias funkcijas.

DORA Article 29 papildo koncentracijos ir subtiekimo rizikos aspektus. Tai apima pakeičiamumą, kelias priklausomybes nuo to paties ar susijusių teikėjų, subtiekimą trečiosiose šalyse, nemokumo apribojimus, duomenų atkūrimą, duomenų apsaugos atitiktį ir ilgas arba sudėtingas subtiekimo grandines.

DORA Article 30 apibrėžia sutarčių turinį, kurio tikėsis auditoriai. Tai apima paslaugų aprašymus, subtiekimo sąlygas, duomenų tvarkymo vietas, duomenų apsaugos įsipareigojimus, prieigos ir atkūrimo pareigas, paslaugų lygius, pagalbą incidentų atveju, bendradarbiavimą su institucijomis, nutraukimo teises, dalyvavimą mokymuose, audito teises ir pasitraukimo strategijas susitarimams, palaikantiems kritines arba svarbias funkcijas.

Brandus DORA informacijos registras turi atsakyti į keturis praktinius klausimus.

Silpnas registras yra skaičiuoklė, kurią pirkimų komanda atnaujina kartą per metus. Stiprus registras yra valdysenos valdomas duomenų rinkinys, jungiantis tiekėjų portfelį, turto apskaitą, debesijos registrą, sutarčių saugyklą, privatumo įrašus, veiklos tęstinumo planus, reagavimo į incidentus veiksmų planus, rizikų registrą ir ISO/IEC 27001:2022 įrodymus.

Kodėl ISO 27001 yra greičiausias kelias į pagrindžiamą DORA registrą

ISO/IEC 27001:2022 organizacijoms suteikia vadybos sistemos struktūrą, kurios DORA įrodymams dažnai trūksta. 4.1–4.4 punktai reikalauja, kad organizacija apibrėžtų kontekstą, suinteresuotąsias šalis, teisinius, reglamentavimo ir sutartinius įpareigojimus, taikymo sritį, sąsajas ir priklausomybes. Būtent čia DORA turi būti įtraukta į ISVS, nes registras priklauso nuo žinojimo, kurios finansinės paslaugos, IRT teikėjai, klientai, institucijos, debesijos platformos ir išorės procesai patenka į taikymo sritį.

5.1–5.3 punktai reikalauja lyderystės, politikų suderinimo, išteklių, atsakomybių ir ataskaitų aukščiausiajai vadovybei. Tai svarbu, nes DORA Article 5 atsakomybę už IRT rizikos valdymo sistemos apibrėžimą, patvirtinimą, priežiūrą ir atskaitomybę priskiria valdymo organui, įskaitant IRT trečiųjų šalių paslaugų politikas ir ataskaitų teikimo kanalus.

6.1.1–6.1.3 punktuose registras tampa grindžiamas rizika. ISO/IEC 27001:2022 reikalauja kartotinio rizikos vertinimo proceso, rizikos savininkų, tikimybės ir pasekmių analizės, rizikos tvarkymo, kontrolės priemonių parinkimo, Taikomumo pareiškimo ir rizikos savininko patvirtinto liekamosios rizikos priėmimo. DORA registras, nesusietas su rizikos tvarkymu, tampa statiniu sąrašu. Registras, susietas su rizikos scenarijais, kontrolės priemonėmis ir savininkais, tampa audito įrodymu.

8.1–8.3 punktai planavimą paverčia kontroliuojamomis operacijomis. Jie palaiko dokumentuotą informaciją, operacinį planavimą ir kontrolę, pakeitimų kontrolę, išorėje teikiamų procesų kontrolę, planuotus rizikos pakartotinius vertinimus, rizikos tvarkymo įgyvendinimą ir įrodymų saugojimą. Tai kritiškai svarbu 2026 m., nes priežiūros institucijos klausia ne tik, ar registras egzistavo konkrečiu momentu. Jos klausia, ar naujos sutartys, pakeistos paslaugos, nauji subtiekėjai, debesijos migracijos ir pasitraukimo įvykiai įtraukiami į valdysenos ciklą.

A priedo kontrolės priemonių sluoksnis sustiprina tą pačią mintį. Tiekėjų santykiai, tiekėjų susitarimai, IRT tiekimo grandinės rizika, tiekėjų paslaugų stebėsena, debesijos paslaugų įsigijimas ir pasitraukimas, incidentų valdymas, veiklos tęstinumas, teisiniai ir reglamentavimo įpareigojimai, privatumas, atsarginės kopijos, žurnalų tvarkymas, stebėsena, kriptografija ir pažeidžiamumų valdymas – visa tai lemia registro kokybę.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint Controls in Action fazės 22 žingsnyje paaiškina turto pagrindą:

Strateginiu požiūriu turto apskaita yra centrinė jūsų ISVS nervų sistema. Ji nurodo, kaip suteikiama prieiga (8.2), kur turi būti taikomas šifravimas (8.24), kurioms sistemoms reikalingos atsarginės kopijos (8.13), kokie žurnalai renkami (8.15), ir net kaip įgyvendinamos klasifikavimo ir saugojimo politikos (5.10, 8.10).

Ši citata perteikia praktinę esmę. Patikimo DORA informacijos registro neįmanoma tvarkyti, jei pagrindinė turto apskaita nepatikima. Jei registre nurodyta „Core Banking SaaS“, bet turto apskaita nerodo taikomųjų programų sąsajų, paslaugų paskyrų, duomenų rinkinių, žurnalų šaltinių, šifravimo raktų, atsarginių kopijų priklausomybių ir savininkų, audito požiūriu registras yra neišsamus.

Clarysec duomenų modelis: vienas registras, daug įrodymų pjūvių

DORA informacijos registras neturėtų pakeisti tiekėjų registro, turto registro ar debesijos registro. Jis turi juos sujungti. Clarysec paprastai projektuoja registrą kaip pagrindinį įrodymų sluoksnį su kontroliuojamais ryšiais į esamus ISVS įrašus.

Minimalus gyvybingas modelis turi septynis susietus objektus.

Tokia struktūra leidžia vienam registrui aptarnauti kelias įrodymų užklausas. DORA priežiūros institucija gali matyti sutartinius susitarimus, palaikančius kritines arba svarbias funkcijas. ISO auditorius gali atsekti tiekėjų kontrolės priemones iki A priedo nuorodų ir rizikos tvarkymo. GDPR peržiūrą atliekantis asmuo gali matyti tvarkytojus, duomenų kategorijas, vietas ir duomenų apsaugos įsipareigojimus. NIST orientuotas vertintojas gali peržiūrėti tiekimo grandinės valdyseną, tiekėjų kritiškumą, sutartinius reikalavimus ir gyvavimo ciklo stebėseną.

Registras tampa daugiau nei atsakymu į klausimą „kas yra mūsų tiekėjai?“ Jis tampa priklausomybių grafu.

Politikos pagrindai, dėl kurių registras tampa tinkamas auditui

Clarysec politikų rinkinys suteikia registrui operacinę vietą. MVĮ atveju Trečiųjų šalių ir tiekėjų saugumo politika - SME Trečiųjų šalių ir tiekėjų saugumo politika - SME prasideda aiškiu registro reikalavimu:

Tiekėjų registrą turi prižiūrėti ir atnaujinti administracinis arba pirkimų kontaktinis asmuo. Jame turi būti nurodyta:

Ta pati SME politika nustato, kad sutartyse turi būti apibrėžti saugumo įpareigojimai:

Sutartyse turi būti privalomos nuostatos, apimančios:

Nors cituojamos nuostatos pačioje politikoje įveda laukų sąrašus ir privalomų nuostatų kategorijas, įgyvendinimo žinutė tiesioginė: tiekėjų valdysena turi būti dokumentuota, priskirta ir įtvirtinta sutartyse.

Įmonių aplinkoms Clarysec Tiekėjų priklausomybės rizikos valdymo politika Tiekėjų priklausomybės rizikos valdymo politika dar geriau atitinka DORA priežiūros institucijų lūkesčius:

Tiekėjų priklausomybės registras: VMO turi tvarkyti aktualų visų kritinių tiekėjų registrą, įskaitant tokią informaciją kaip teikiamos paslaugos / produktai; ar tiekėjas yra vienintelis šaltinis; galimi alternatyvūs tiekėjai arba pakeičiamumas; galiojančios sutarties sąlygos; ir poveikio vertinimas, jei tiekėjas sutriktų arba būtų kompromituotas. Registre turi būti aiškiai identifikuoti didelės priklausomybės tiekėjai (pvz., tie, kuriems nėra greitos alternatyvos).

Tai tiesiogiai siejasi su DORA Article 29 koncentracijos ir pakeičiamumo rizika. Jei tiekėjas yra vienintelis šaltinis, palaiko kritinę funkciją, veikia trečiojoje šalyje, naudoja ilgą subtiekimo grandinę ir neturi patikrinto pasitraukimo kelio, registras neturi slėpti šios rizikos laisvo teksto pastaboje. Jis turi ją pažymėti, priskirti savininką ir susieti su rizikos tvarkymu.

Clarysec įmonių Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika aiškiai apibrėžia taikymo sritį:

Ji apima tiek tiesioginius tiekėjus, tiek, kai taikoma, jų subtiekėjus, taip pat trečiųjų šalių programinę įrangą, infrastruktūrą, palaikymą ir valdomas paslaugas.

Šis sakinys atspindi dažną DORA spragą. Daugelis organizacijų fiksuoja tiesioginius IRT teikėjus, tačiau nedokumentuoja subtiekėjų, subtvarkytojų, valdomų paslaugų įrankių, palaikymo platformų ar trečiųjų šalių programinės įrangos, įterptos į paslaugą.

Sutarčių įrodymai taip pat svarbūs. Ta pati įmonių politika apima:

Teises atlikti auditą, patikrinimą ir prašyti saugumo įrodymų

Ši frazė turi būti matoma sutarties peržiūros kontroliniame sąraše. Jei kritinio IRT teikėjo sutartyje trūksta audito ar įrodymų teisių, registre turi būti pažymėtas taisomasis veiksmas.

Turto įrodymai ne mažiau svarbūs. Clarysec SME Turto valdymo politika Turto valdymo politika - SME nustato:

IT vadovas turi tvarkyti struktūrizuotą turto apskaitą, kurioje bent jau būtų šie laukai:

Įmonių Turto valdymo politika Turto valdymo politika panašiai nustato:

Turto apskaitoje turi būti bent jau:

Registrui nereikia dubliuoti kiekvieno turto lauko, tačiau jis turi remtis turto apskaita. Jei mokėjimų stebėsenos SaaS palaiko sukčiavimo aptikimą, DORA registras turi būti susietas su taikomosios programos turtu, duomenų rinkinio turtu, paslaugų paskyromis, API integracijomis, žurnalų šaltiniais ir verslo savininku.

Debesijos paslaugoms reikalingas atskiras pjūvis. Clarysec SME Debesijos paslaugų naudojimo politika Debesijos paslaugų naudojimo politika - SME reikalauja:

Debesijos paslaugų registrą turi prižiūrėti IT teikėjas arba GM. Jame turi būti registruojama:

Tai ypač vertinga šešėlinės IT aptikimui. DORA registras, neįtraukiantis debesijos paslaugų, įsigytų apeinant pirkimus, neišlaikys praktinio išsamumo testo.

Galiausiai Clarysec Teisinės ir reglamentavimo atitikties politika Teisinės ir reglamentavimo atitikties politika kryžminę atitiktį paverčia ISVS reikalavimu:

Visi teisiniai ir reglamentavimo įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais informacijos saugumo valdymo sistemoje (ISVS).

Tai tiltas nuo DORA registro prie ISO 27001 įrodymų. Registras turi rodyti ne tik tiekėjus. Jis turi rodyti, kurios politikos, kontrolės priemonės ir savininkai tenkina reglamentavimo įpareigojimą.

DORA reikalavimų susiejimas su ISO 27001 ir Clarysec įrodymais

Toliau pateikta lentelė sujungia pagrindinius registro lūkesčius su ISO/IEC 27001:2022 A priedo kontrolės priemonėmis ir praktiniais Clarysec įrodymų artefaktais.

Šiame susiejime registras nustoja būti skaičiuokle ir tampa įrodymų modeliu. Kiekviena eilutė turi turėti sutarties savininką, tiekėjo savininką, paslaugos savininką, verslo savininką ir atitikties savininką. Kiekvienas kritinis ryšys turi turėti rizikos įrašą, sutarties nuostatų kontrolinį sąrašą, turto nuorodą ir stebėsenos periodiškumą.

Praktinis pavyzdys: vienos IRT sutarties susiejimas su ISO 27001 įrodymais

Įsivaizduokite, kad finansų sektoriaus subjektas naudoja debesijos aplinkoje veikiančią sukčiavimo analitikos platformą. Paslauga įtraukia operacijų metaduomenis, palaiko realiojo laiko sukčiavimo balų skaičiavimą, integruojasi su mokėjimų platforma, saugo pseudonimizuotus klientų identifikatorius, naudoja debesijos prieglobos subtiekėją ir teikia valdomą palaikymą iš patvirtintos trečiosios šalies vietos.

Silpna registro eilutė sako: „Tiekėjas: FraudCloud. Paslauga: sukčiavimo analitika. Sutartis pasirašyta. Kritinė: taip.“

Priežiūros institucijų lygio registro eilutė atrodo visiškai kitaip.

Dabar atitikties komanda gali parengti nuoseklų įrodymų paketą. Tiekėjų registras įrodo, kad teikėjas egzistuoja ir turi savininką. Turto apskaita įrodo, kad vidinės sistemos, API, duomenų rinkiniai ir žurnalai yra žinomi. Sutarties kontrolinis sąrašas įrodo, kad privalomos DORA nuostatos buvo peržiūrėtos. Rizikos vertinimas įrodo, kad koncentracija, subtiekimas, duomenų apsauga ir operacinis atsparumas buvo įvertinti. Taikomumo pareiškimas parodo, kurios kontrolės priemonės buvo pasirinktos. Stebėsenos peržiūra įrodo, kad susitarimas nėra pamirštas po tiekėjo įtraukimo.

Zenith Blueprint Rizikos valdymo fazės 13 žingsnyje rekomenduoja būtent tokį atsekamumą:

Kryžmiškai susiekite reglamentus: jei tam tikros kontrolės priemonės įgyvendintos konkrečiai siekiant atitikti GDPR, NIS2 arba DORA, tai galite pažymėti arba Rizikų registre (kaip rizikos poveikio pagrindimo dalį), arba SoA pastabose.

Taip DORA registras tampa ISO 27001 įrodymu, o ne lygiagrečia biurokratija.

Tiekėjų ir subtiekėjų grandinė yra vieta, kur registro kokybė dažniausiai žlunga

Didžiausios registro nesėkmės kyla ne dėl trūkstamų aukščiausio lygio tiekėjų. Jas lemia paslėptos priklausomybių grandinės.

Valdomo saugumo paslaugų teikėjas gali naudoti SIEM platformą, galinių įrenginių telemetrijos agentą, užklausų sistemą ir užsienyje veikiančią pirminio incidentų įvertinimo komandą. Mokėjimų tvarkytojas gali priklausyti nuo debesijos prieglobos, tapatybės paslaugų, sukčiavimo duomenų bazių ir atsiskaitymų junglumo. SaaS teikėjas gali remtis keliais subtvarkytojais analitikai, el. paštui, stebimumui, klientų aptarnavimui ir atsarginėms kopijoms.

DORA Article 29 nukreipia dėmesį į koncentracijos ir subtiekimo riziką. NIS2 Article 21 taip pat reikalauja tiekimo grandinės saugumo tiesioginiams tiekėjams ir paslaugų teikėjams ir tikisi, kad subjektai atsižvelgs į kiekvienam tiesioginiam tiekėjui būdingus pažeidžiamumus, bendrą produkto kokybę, tiekėjų kibernetinio saugumo praktikas ir saugaus kūrimo procedūras. Finansų sektoriaus subjektams, kuriems taikoma DORA, DORA veikia kaip sektoriui skirtas taisyklių rinkinys persidengiantiems NIS2 kibernetinio saugumo rizikos valdymo ir pranešimo apie incidentus reikalavimams, tačiau tiekimo grandinės logika yra suderinta.

Clarysec Zenith Blueprint Controls in Action fazės 23 žingsnyje pateikia praktinę instrukciją:

Kiekvienam kritiniam tiekėjui nustatykite, ar jis naudoja subtiekėjus (subtvarkytojus), kurie gali turėti prieigą prie jūsų duomenų ar sistemų. Dokumentuokite, kaip jūsų informacijos saugumo reikalavimai perduodami šioms šalims – per tiekėjo sutarties sąlygas arba per jūsų tiesiogines nuostatas.

Būtent čia daugeliui organizacijų 2026 m. reikės trūkumų šalinimo. Sutartyse, pasirašytose iki pasirengimo DORA, gali nebūti subtiekėjų skaidrumo, teisių gauti audito įrodymus, bendradarbiavimo su institucijomis, pagalbos incidentų atveju, pasitraukimo pagalbos ar įsipareigojimų dėl vietos. Todėl registre turi būti sutarties trūkumų šalinimo būsena, pavyzdžiui: užbaigta, spraga priimta, vyksta persiderėjimas arba reikalinga pasitraukimo galimybė.

Kryžminė atitiktis: DORA, NIS2, GDPR ir NIST reikia tos pačios priklausomybių tiesos

Gerai suprojektuotas DORA informacijos registras palaiko daugiau nei DORA.

NIS2 Article 20 kibernetinį saugumą paverčia valdymo organo atsakomybe per patvirtinimą, priežiūrą ir mokymus. Article 21 reikalauja rizikos analizės, politikų, incidentų tvarkymo, tęstinumo, tiekimo grandinės saugumo, saugaus įsigijimo ir priežiūros, veiksmingumo vertinimo, kibernetinės higienos, kriptografijos, HR saugumo, prieigos kontrolės, turto valdymo ir MFA, kai taikoma. Šios sritys stipriai persidengia su ISO/IEC 27001:2022 ir registro įrodymų modeliu.

GDPR prideda privatumo atskaitomybę. Jo teritorinė taikymo sritis gali būti taikoma ES ir ne ES organizacijoms, kurios tvarko asmens duomenis ES įsisteigusių subjektų kontekste, siūlo prekes ar paslaugas asmenims ES arba stebi jų elgesį. GDPR valdytojo, tvarkytojo, tvarkymo, pseudonimizavimo ir asmens duomenų saugumo pažeidimo apibrėžtys tiesiogiai svarbios IRT tiekėjų susiejimui. Jei DORA registras identifikuoja IRT teikėjus ir subtiekėjus, bet neidentifikuoja asmens duomenų tvarkymo vaidmenų, duomenų kategorijų, vietų ir apsaugos priemonių, jis nepalaikys GDPR įrodymų.

NIST CSF 2.0 suteikia dar vieną naudingą perspektyvą. Jo GOVERN funkcija reikalauja, kad organizacijos suprastų misiją, suinteresuotųjų šalių lūkesčius, priklausomybes, teisinius ir sutartinius reikalavimus, paslaugas, nuo kurių priklauso kiti, ir paslaugas, nuo kurių priklauso pati organizacija. GV.SC tiekimo grandinės rezultatai reikalauja tiekimo grandinės rizikos valdymo programos, apibrėžtų tiekėjų vaidmenų, integracijos į įmonės rizikos valdymą, tiekėjų kritiškumo, sutartinių reikalavimų, deramo patikrinimo, gyvavimo ciklo stebėsenos, incidentų koordinavimo ir planavimo pasibaigus santykiams.

Praktinis kryžminės atitikties vaizdas atrodo taip.

Tikslas nėra sukurti penkias atitikties darbo kryptis. Tikslas – sukurti vieną įrodymų modelį, kurį būtų galima filtruoti pagal kiekvieną sistemą.

Auditoriaus akimis

DORA priežiūros institucija daugiausia dėmesio skirs išsamumui, kritinėms arba svarbioms funkcijoms, sutartiniams susitarimams, subtiekimui, koncentracijos rizikai, valdysenai, ataskaitų teikimui ir tam, ar registras tvarkomas. Ji gali paprašyti kritinių teikėjų imties ir tikėtis pamatyti sutarties nuostatas, rizikos vertinimus, pasitraukimo strategijas, pagalbos incidentų atveju sąlygas ir vadovybės priežiūros įrodymus.

ISO/IEC 27001:2022 auditorius pradės nuo ISVS taikymo srities, suinteresuotųjų šalių, reglamentavimo įpareigojimų, rizikos vertinimo, Taikomumo pareiškimo, operacinės kontrolės ir dokumentuotos informacijos. Jis tikrins, ar tiekėjų santykiai ir turto apskaita tvarkomi, ar išorėje teikiami procesai kontroliuojami, ar pakeitimai inicijuoja pakartotinį vertinimą ir ar įrodymai pagrindžia deklaruojamą kontrolės priemonių įgyvendinimą.

NIST CSF 2.0 vertintojas dažnai prašys esamų ir tikslinių profilių, valdysenos lūkesčių, priklausomybių žemėlapio, tiekėjų kritiškumo, sutarčių integracijos, gyvavimo ciklo stebėsenos ir prioritetizuotų tobulinimo veiksmų.

Į COBIT 2019 orientuotas auditorius paprastai nagrinės valdysenos savininkystę, procesų atskaitomybę, sprendimų teises, veiklos stebėseną, rizikos ataskaitas ir patikinimą. Jis klaus, ar registras įtvirtintas įmonės valdysenoje, o ne tik tvarkomas atitikties funkcijos.

Zenith Controls padeda šias perspektyvas paversti praktika, temą įtvirtindamas ISO/IEC 27001:2022 A priedo kontrolės priemonėse A.5.9, A.5.19 ir A.5.20, o tada naudodamas kryžminės atitikties interpretaciją turto, tiekėjų santykių ir tiekėjų susitarimų susiejimui su reglamentavimo, valdysenos ir audito lūkesčiais. Tai skirtumas tarp „turime registrą“ ir „galime pagrįsti registrą“.

Clarysec SME Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika - SME taip pat nagrinėja įrodymų kokybę:

Metaduomenys (pvz., kas juos surinko, kada ir iš kurios sistemos) turi būti dokumentuoti.

Šis reikalavimas mažas, bet reikšmingas. 2026 m. įrodymų užklausoje skaičiuoklė be surinkimo metaduomenų yra silpna. Registro eksportas, rodantis šaltinio sistemą, išgavimo datą, atsakingą savininką, patvirtinimo būseną ir peržiūros periodiškumą, yra stipresnis.

Dažnos DORA informacijos registro išvados 2026 m.

Dažniausios išvados yra praktinės.

Pirma – registro neišsamumas. Debesijos paslaugos, palaikymo priemonės, stebėsenos platformos, kūrėjų įrankiai, užklausų sistemos ir duomenų analitikos platformos dažnai praleidžiamos, nes pirkimai jų nepriskyrė IRT paslaugoms.

Antra – silpna kritiškumo logika. Kai kurios komandos tiekėjus žymi kaip kritinius pagal išlaidas, o ne pagal poveikį verslui. DORA rūpi, ar IRT paslauga palaiko kritinę arba svarbią funkciją.

Trečia – sutarčių įrodymų spragos. Senesniuose tiekėjų susitarimuose dažnai trūksta DORA tinkamų nuostatų dėl audito teisių, pagalbos incidentų atveju, subtiekimo, bendradarbiavimo su institucijomis, paslaugų vietų, duomenų grąžinimo, nutraukimo ir pasitraukimo pagalbos.

Ketvirta – silpnas susiejimas su turtu. Registruose nurodomi tiekėjai, bet jie nesusiejami su taikomosiomis programomis, duomenų rinkiniais, API, tapatybėmis, žurnalais, infrastruktūra ar verslo paslaugomis. Tai apsunkina poveikio analizę incidentų ir tiekėjų sutrikimų metu.

Penkta – subtiekėjų neskaidrumas. Organizacija žino pagrindinį teikėją, bet negali paaiškinti, kurie subtvarkytojai ar techniniai teikėjai palaiko paslaugą.

Šešta – nėra pakeitimų inicijuojančių įvykių. Teikėjas prideda naują subtvarkytoją, pakeičia prieglobos regioną, migruoja architektūrą arba pakeičia palaikymo prieigą, bet niekas neatnaujina registro ir iš naujo neįvertina rizikos.

Septinta – nėra įrodymų periodiškumo. Nenustatytas tiekėjo peržiūros, sutarties peržiūros, turto tikrinimo, debesijos registro suderinimo ar vadovybės ataskaitų teikimo dažnis.

Šias problemas galima išspręsti, bet tik tada, kai registras turi savininkus ir darbo eigas.

Praktinis 30 dienų tobulinimo planas

Pradėkite nuo taikymo srities. Identifikuokite visas verslo funkcijas, kurios pagal DORA gali būti kritinės arba svarbios. Kiekvienai funkcijai išvardykite IRT paslaugas, nuo kurių ji priklauso. Nepradėkite nuo pirkimų išlaidų. Pradėkite nuo operacinės priklausomybės.

Suderinkite pagrindinius duomenų šaltinius: tiekėjų registrą, sutarčių saugyklą, turto apskaitą ir debesijos paslaugų registrą. Kur aktualu, pridėkite privatumo tvarkytojų įrašus ir reagavimo į incidentus priklausomybes. Pirmos dienos tikslas nėra tobulybė. Tikslas – vienas registro pagrindas, kuriame nežinomi elementai aiškiai pažymėti.

Klasifikuokite tiekėjus ir paslaugas pagal tokius kriterijus kaip palaikoma funkcija, duomenų jautrumas, operacinis pakeičiamumas, koncentracija, subtiekimas, vietos, incidento poveikis, atkūrimo laikas ir reglamentavimo svarba.

Peržiūrėkite kiekvieno kritinio arba svarbaus IRT susitarimo sutartis. Patikrinkite, ar sutartyje yra paslaugų aprašymai, subtiekimo sąlygos, vietos, duomenų apsaugos įsipareigojimai, prieiga ir atkūrimas, paslaugų lygiai, pagalba incidentų atveju, audito teisės, bendradarbiavimas su institucijomis, nutraukimas, dalyvavimas mokymuose ir pasitraukimo pagalba.

Kiekvienam kritiniam susitarimui susiekite ISO įrodymus. Susiekite su turto įrašais, rizikos vertinimo įrašais, SoA kontrolės priemonėmis, tiekėjų deramo patikrinimo įrodymais, stebėsenos peržiūromis, tęstinumo planais, reagavimo į incidentus veiksmų planais ir pasitraukimo strategijos įrodymais.

Priskirkite periodiškumą. Kritiniams teikėjams gali reikėti ketvirtinės peržiūros, metinio patikinimo, sutarties peržiūros prieš atnaujinimą ir nedelsiamo pakartotinio vertinimo esminio pakeitimo atveju. Nekritiniai teikėjai gali būti peržiūrimi kasmet arba pagal inicijuojančius įvykius.

Naudokite šį kontrolinį sąrašą, kad registrą paverstumėte veikiančiu procesu:

• Paskirkite DORA registro savininką ir pavaduojantį savininką.
• Kiekvieną registro eilutę susiekite su sutarties ID ir tiekėjo savininku.
• Kiekvieną kritinę arba svarbią IRT paslaugą susiekite su verslo funkcija ir turto įrašais.
• Pridėkite subtiekėjų ir subtvarkytojų laukus, net jei iš pradžių pažymėta „nežinoma“.
• Pridėkite sutarties nuostatų būseną DORA kritinėms sąlygoms.
• Pridėkite ISO/IEC 27001:2022 rizikos ir SoA nuorodas.
• Kur taikoma, pridėkite GDPR vaidmens, asmens duomenų ir vietos laukus.
• Pridėkite peržiūros periodiškumą ir paskutinės peržiūros metaduomenis.
• Sukurkite eskalavimo taisykles trūkstamoms nuostatoms, nežinomiems subtiekėjams ir didelei koncentracijos rizikai.
• Registro kokybės rodiklius teikite vadovybei.

Būtent čia Clarysec 30 žingsnių įgyvendinimo metodas, politikų rinkinys ir Zenith Controls veikia kartu. Zenith Blueprint suteikia įgyvendinimo kelią – nuo rizikos tvarkymo ir SoA atsekamumo 13 žingsnyje iki turto apskaitos 22 žingsnyje ir tiekėjų kontrolės priemonių 23 žingsnyje. Politikos apibrėžia, kas turi tvarkyti registrus, kokie sutartiniai ir turto įrodymai turi egzistuoti ir kaip fiksuojami atitikties metaduomenys. Zenith Controls suteikia kryžminės atitikties kryptį, kaip tuos pačius įrodymus susieti su DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST ir COBIT 19 audito lūkesčiais.

Paverskite registrą įrodymais prieš priežiūros institucijai paprašant

Jei jūsų DORA informacijos registras vis dar yra skaičiuoklė, atsieta nuo sutarčių, turto, tiekėjų, subtiekėjų ir ISO 27001 įrodymų, 2026-ieji yra metai tai sutvarkyti.

Pradėkite naudodami Zenith Blueprint Zenith Blueprint, kad sujungtumėte rizikos tvarkymą, turto apskaitą ir tiekėjų valdyseną. Naudokite Zenith Controls Zenith Controls, kad ISO/IEC 27001:2022 A priedo kontrolės priemones A.5.9, A.5.19 ir A.5.20 susietumėte su kryžminės atitikties įrodymais. Tada reikalavimus įgyvendinkite per Clarysec tiekėjų, turto, debesijos, teisinės atitikties ir audito stebėsenos politikas, įskaitant Trečiųjų šalių ir tiekėjų saugumo politika - SME, Tiekėjų priklausomybės rizikos valdymo politika, Trečiųjų šalių ir tiekėjų saugumo politika, Turto valdymo politika - SME, Turto valdymo politika, Debesijos paslaugų naudojimo politika - SME, Teisinės ir reglamentavimo atitikties politika ir Audito ir atitikties stebėsenos politika - SME.

Geriausias laikas sutvarkyti registro kokybę yra prieš institucijos užklausą, vidaus auditą, tiekėjo sutrikimą ar sutarties atnaujinimą. Kitas geriausias laikas yra dabar. Atsisiųskite atitinkamas Clarysec politikas, palyginkite dabartinį registrą su pirmiau pateiktu įrodymų modeliu ir užsisakykite DORA registro vertinimą, kad išskaidytus tiekėjų duomenis paverstumėte priežiūros institucijoms tinkamais įrodymais.