DORA informācijas reģistrs: ISO 27001 ceļvedis

Ir otrdienas rīts, plkst. 09:15. Sāra, strauji augoša fintech uzņēmuma informācijas drošības vadītāja (CISO), piedalās gatavības izvērtēšanā kopā ar atbilstības vadītāju, juridisko dienestu, iepirkumu vadītāju un mākoņarhitektu. Ārējais konsultants pilda DORA uzrauga lomu.

“Paldies par prezentāciju,” viņš saka. “Lūdzu, iesniedziet savu informācijas reģistru, kā prasīts DORA Article 28, tostarp IKT līgumiskās vienošanās, kas atbalsta kritiskās vai svarīgās funkcijas, apakšuzņēmēju pārredzamību, aktīvu īpašumtiesības un pierādījumus, ka reģistrs tiek uzturēts jūsu IKT risku pārvaldības ietvarā.”

Pirmā atbilde izklausās pārliecinoši: “Mums ir piegādātāju saraksts.”

Tad sākas jautājumi.

Kuri piegādātāji atbalsta maksājumu autorizāciju? Kuros līgumos ir ietvertas audita tiesības, palīdzība incidentu gadījumā, saistības par datu atrašanās vietu, izbeigšanas tiesības un izstāšanās atbalsts? Kuras SaaS platformas apstrādā klientu personas datus? Kuri mākoņpakalpojumi atbalsta kritiskās vai svarīgās funkcijas? Kuri apakšuzņēmēji atrodas aiz pārvaldītā drošības pakalpojumu sniedzēja? Kurš iekšējais aktīva īpašnieks apstiprināja šo atkarību? Kuri ISO/IEC 27001:2022 riska apstrādes plāna riski ir sasaistīti ar šiem pakalpojumu sniedzējiem? Kuri Piemērojamības deklarācijas (SoA) ieraksti pamato kontroles pasākumus?

Līdz plkst. 10:30 komanda ir atvērusi četras izklājlapas, CMDB eksportu, SharePoint mapi ar PDF līgumiem, privātuma apstrādātāju sarakstu, mākoņpakalpojumu rēķinu pārskatu un manuāli uzturētu SaaS uzskaites rīku. Neviens no tiem nesakrīt.

Tā ir praktiskā DORA informācijas reģistra problēma 2026. gadā. DORA ieviešana ir pārgājusi no “mums vajadzīga ceļa karte” uz “parādiet pierādījumus”. Finanšu sektora subjektiem, IKT trešo personu pakalpojumu sniedzējiem, CISO, iekšējiem auditoriem un atbilstības komandām reģistrs vairs nav administratīva veidne. Tas ir sasaistes slānis starp IKT līgumiem, piegādātāju risku, apakšuzņēmēju ķēdēm, mākoņpakalpojumiem, IKT aktīviem, kritiskajām funkcijām, pārvaldības īpašumtiesībām un ISO/IEC 27001:2022 pierādījumiem.

Clarysec pieeja ir vienkārša: neveidojiet DORA informācijas reģistru kā atsevišķu atbilstības artefaktu. Veidojiet to kā dzīvu pierādījumu slāni savā IDPS, ko atbalsta aktīvu pārvaldība, piegādātāju drošība, mākoņpakalpojumu izmantošanas pārvaldība, juridisko un regulatīvo pienākumu kartēšana, audita metadati un riska apstrādes izsekojamība.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls identificē trīs ISO/IEC 27001:2022 A pielikuma pamata kontroles pasākumus, kas šai tēmai ir īpaši nozīmīgi: A.5.9, informācijas un citu saistīto aktīvu uzskaite; A.5.19, informācijas drošība piegādātāju attiecībās; un A.5.20, informācijas drošības prasību iekļaušana piegādātāju līgumos. Šie kontroles pasākumi nav papildu dokumentācija. Tie ir operacionālais pamats, lai pierādītu, ka reģistrs ir pilnīgs, tam ir īpašnieki, tas ir aktuāls un auditējams.

Ko DORA sagaida no informācijas reģistra

DORA ir piemērojama no 2025. gada 17. janvāra un finanšu sektoram izveido IKT noturības noteikumu kopumu IKT risku pārvaldībai, incidentu ziņošanai, noturības testēšanai, trešo personu riskam, līgumiskajām vienošanām, kritisko IKT trešo personu pakalpojumu sniedzēju pārraudzībai un uzraudzības pasākumu piemērošanai. Finanšu sektora subjektiem, kas identificēti arī saskaņā ar NIS2 nacionālo transponēšanu, DORA darbojas kā nozares specifiskais Savienības tiesību akts attiecībā uz atbilstošajām kiberdrošības risku pārvaldības un incidentu ziņošanas prasībām.

Reģistra pienākums ietilpst DORA IKT trešo personu riska pārvaldības disciplīnā. DORA Article 28 prasa finanšu sektora subjektiem pārvaldīt IKT trešo personu risku kā daļu no IKT risku pārvaldības ietvara, saglabāt pilnu atbildību par atbilstību arī tad, ja tiek izmantoti IKT pakalpojumu sniedzēji, uzturēt informācijas reģistru par IKT pakalpojumu līgumiskajām vienošanām un nošķirt vienošanās, kas atbalsta kritiskās vai svarīgās funkcijas.

DORA Article 29 papildina koncentrācijas un apakšuzņēmēju riska apsvērumus. Tas ietver aizstājamību, vairākas atkarības no viena un tā paša vai savstarpēji saistītiem pakalpojumu sniedzējiem, apakšuzņēmējus trešajās valstīs, maksātnespējas ierobežojumus, datu atjaunošanu, datu aizsardzības atbilstību un garas vai sarežģītas apakšuzņēmēju ķēdes.

DORA Article 30 nosaka līgumu saturu, kuru auditori sagaidīs pierādījumos. Tas ietver pakalpojumu aprakstus, apakšuzņēmēju nosacījumus, datu apstrādes vietas, datu aizsardzības saistības, piekļuves un atjaunošanas pienākumus, pakalpojumu līmeņus, incidentu atbalstu, sadarbību ar iestādēm, izbeigšanas tiesības, dalību apmācībās, audita tiesības un izstāšanās stratēģijas vienošanām, kas atbalsta kritiskās vai svarīgās funkcijas.

Nobriedušam DORA informācijas reģistram jāatbild uz četriem praktiskiem jautājumiem.

Vājš reģistrs ir izklājlapa, kuru iepirkums atjaunina reizi gadā. Spēcīgs reģistrs ir pārvaldīta datu kopa, kas savieno piegādātāju portfeli, aktīvu uzskaiti, mākoņpakalpojumu reģistru, līgumu repozitoriju, privātuma ierakstus, darbības nepārtrauktības plānus, incidentu rokasgrāmatas, risku reģistru un ISO/IEC 27001:2022 pierādījumus.

Kāpēc ISO 27001 ir ātrākais ceļš uz pamatotu DORA reģistru

ISO/IEC 27001:2022 sniedz organizācijām pārvaldības sistēmas struktūru, kuras DORA pierādījumiem bieži pietrūkst. Punkti 4.1 līdz 4.4 prasa organizācijai definēt kontekstu, ieinteresētās puses, juridiskos, regulatīvos un līgumiskos pienākumus, piemērošanas jomu, saskarnes un atkarības. Tieši šeit DORA pieder IDPS, jo reģistrs ir atkarīgs no zināšanām par to, kuri finanšu pakalpojumi, IKT pakalpojumu sniedzēji, klienti, iestādes, mākoņplatformas un ārpakalpojuma procesi ietilpst piemērošanas jomā.

Punkti 5.1 līdz 5.3 prasa vadību, politiku saskaņošanu, resursus, pienākumus un ziņošanu augstākajai vadībai. Tas ir būtiski, jo DORA Article 5 uzliek pārvaldes institūcijai pienākumu definēt, apstiprināt, pārraudzīt un saglabāt pārskatatbildību par IKT risku pārvaldības ietvaru, tostarp IKT trešo personu pakalpojumu politikām un ziņošanas kanāliem.

Punkti 6.1.1 līdz 6.1.3 ir vieta, kur reģistrs kļūst riskos balstīts. ISO/IEC 27001:2022 prasa atkārtojamu risku izvērtēšanas procesu, riska īpašniekus, varbūtības un ietekmes analīzi, riska apstrādi, kontroles pasākumu atlasi, Piemērojamības deklarāciju un riska īpašnieka apstiprinājumu atlikušajam riskam. DORA reģistrs, kas nav sasaistīts ar riska apstrādi, kļūst par statisku sarakstu. Reģistrs, kas sasaistīts ar riska scenārijiem, kontroles pasākumiem un īpašniekiem, kļūst par audita pierādījumiem.

Punkti 8.1 līdz 8.3 pārvērš plānošanu kontrolētās darbībās. Tie atbalsta dokumentētu informāciju, darbības plānošanu un kontroli, izmaiņu kontroli, ārēji nodrošināto procesu kontroli, plānotu risku atkārtotu izvērtēšanu, riska apstrādes ieviešanu un pierādījumu glabāšanu. Tas ir kritiski 2026. gadā, jo uzraugi vairs nejautā tikai, vai reģistrs pastāvēja konkrētā brīdī. Viņi jautā, vai jaunie līgumi, mainītie pakalpojumi, jaunie apakšuzņēmēji, migrācija uz mākoņvidi un izstāšanās notikumi tiek iekļauti pārvaldības ciklā.

A pielikuma kontroles pasākumu slānis pastiprina to pašu domu. Piegādātāju attiecības, piegādātāju līgumi, IKT piegādes ķēdes risks, piegādātāju pakalpojumu uzraudzība, mākoņpakalpojumu iegāde un izstāšanās, incidentu pārvaldība, darbības nepārtrauktība, juridiskie un regulatīvie pienākumi, privātums, rezerves kopijas, žurnālfiksēšana, uzraudzība, kriptogrāfija un ievainojamību pārvaldība — visi šie elementi ietekmē reģistra kvalitāti.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint skaidro aktīvu pamatu posma “Kontroles pasākumi praksē” 22. solī:

Stratēģiskākajā formā aktīvu uzskaite kalpo kā jūsu IDPS centrālā nervu sistēma. Tā nosaka, kā tiek piešķirta piekļuve (8.2), kur jāpiemēro šifrēšana (8.24), kurām sistēmām nepieciešamas rezerves kopijas (8.13), kādi žurnāli tiek vākti (8.15), un pat to, kā tiek piemērotas klasifikācijas un glabāšanas politikas (5.10, 8.10).

Šis citāts precīzi parāda praktisko būtību. Uzticamu DORA informācijas reģistru nevar uzturēt, ja pamata aktīvu uzskaite nav uzticama. Ja jūsu reģistrā ir norādīts “Core Banking SaaS”, bet aktīvu uzskaite neuzrāda lietojumprogrammu saskarnes, pakalpojumu kontus, datu kopas, žurnālu avotus, šifrēšanas atslēgas, rezerves kopiju atkarības un īpašniekus, no audita skatpunkta reģistrs ir nepilnīgs.

Clarysec datu modelis: viens reģistrs, vairāki pierādījumu skati

DORA informācijas reģistram nav jāaizstāj jūsu piegādātāju reģistrs, aktīvu reģistrs vai mākoņpakalpojumu reģistrs. Tam tie ir jāsasaista. Clarysec parasti projektē reģistru kā galveno pierādījumu slāni ar kontrolētām attiecībām ar esošajiem IDPS ierakstiem.

Minimāli dzīvotspējīgajā modelī ir septiņi sasaistīti objekti.

Šī struktūra ļauj vienam reģistram atbalstīt vairākus pierādījumu pieprasījumus. DORA uzraugs var skatīt līgumiskās vienošanās, kas atbalsta kritiskās vai svarīgās funkcijas. ISO auditors var izsekot piegādātāju kontroles pasākumiem līdz A pielikuma atsaucēm un riska apstrādei. GDPR pārskatītājs var redzēt apstrādātājus, datu kategorijas, atrašanās vietas un datu aizsardzības saistības. Uz NIST orientēts izvērtētājs var pārskatīt piegādes ķēdes pārvaldību, piegādātāju kritiskumu, līguma prasības un dzīves cikla uzraudzību.

Reģistrs kļūst par kaut ko vairāk nekā “kas ir mūsu piegādātāji?”. Tas kļūst par atkarību grafu.

Politiku pamati, kas padara reģistru auditējamu

Clarysec politiku kopums nodrošina reģistram operacionālu mājvietu. MVU vidēm Trešo personu un piegādātāju drošības politika — MVU Trešo personu un piegādātāju drošības politika — MVU sākas ar skaidru reģistra prasību:

Piegādātāju reģistrs jāuztur un jāatjaunina administratīvajai vai iepirkumu kontaktpersonai. Tajā jāiekļauj:

Tā pati MVU politika nosaka, ka līgumos jāietver definēti drošības pienākumi:

Līgumos jāiekļauj obligātās klauzulas, kas aptver:

Lai gan citētās klauzulas pašā politikā ievada lauku sarakstus un obligāto klauzulu kategorijas, ieviešanas vēstījums ir tiešs: piegādātāju pārvaldībai jābūt dokumentētai, piešķirtai un līgumiski piemērotai.

Uzņēmuma vidēm Clarysec Piegādātāju atkarības risku pārvaldības politika Piegādātāju atkarības risku pārvaldības politika ir vēl tuvāka DORA uzraudzības gaidām:

Piegādātāju atkarību reģistrs: Piegādātāju pārvaldības birojam (VMO) jāuztur aktuāls visu kritisko piegādātāju reģistrs, tostarp tāda informācija kā sniegtie pakalpojumi/produkti; vai piegādātājs ir vienīgais piegādes avots; pieejami alternatīvi piegādātāji vai aizstājamība; spēkā esošie līguma noteikumi; un ietekmes izvērtējums, ja piegādātājs pārstātu darboties vai tiktu kompromitēts. Reģistrā skaidri jāidentificē augstas atkarības piegādātāji (piemēram, tādi, kuriem nav ātri pieejamas alternatīvas).

Tas precīzi kartējas uz DORA Article 29 koncentrācijas un aizstājamības risku. Ja piegādātājs ir vienīgais piegādes avots, atbalsta kritisku funkciju, darbojas trešajā valstī, izmanto garu apakšuzņēmēju ķēdi un tam nav pārbaudīta izstāšanās ceļa, reģistram šo risku nevajadzētu slēpt brīvā teksta piezīmē. Tas jāatzīmē, jāpiešķir īpašnieks un jāsasaista ar riska apstrādi.

Clarysec uzņēmuma Trešo personu un piegādātāju drošības politika Trešo personu un piegādātāju drošības politika skaidri definē piemērošanas jomu:

Tā aptver gan tiešos piegādātājus, gan, attiecīgos gadījumos, to apakšuzņēmējus, un ietver trešo personu programmatūru, infrastruktūru, atbalstu un pārvaldītos pakalpojumus.

Šis teikums atspoguļo biežu DORA trūkumu. Daudzas organizācijas reģistrē tiešos IKT pakalpojumu sniedzējus, bet nedokumentē apakšuzņēmējus, apakšapstrādātājus, pārvaldīto pakalpojumu rīkus, atbalsta platformas vai trešo personu programmatūru, kas iestrādāta pakalpojumā.

Svarīgi ir arī līgumu pierādījumi. Tā pati uzņēmuma politika ietver:

Tiesības auditēt, pārbaudīt un pieprasīt drošības pierādījumus

Šai frāzei jābūt redzamai jūsu līgumu pārskatīšanas kontrolsarakstā. Ja kritiska IKT pakalpojumu sniedzēja līgumā trūkst audita vai pierādījumu pieprasīšanas tiesību, reģistrā jānorāda trūkumu novēršanas pasākums.

Aktīvu pierādījumi ir tikpat svarīgi. Clarysec MVU Aktīvu pārvaldības politika Aktīvu pārvaldības politika — MVU nosaka:

IT vadītājam jāuztur strukturēta aktīvu uzskaite, kurā vismaz jāiekļauj šādi lauki:

Uzņēmuma Aktīvu pārvaldības politika Aktīvu pārvaldības politika līdzīgi nosaka:

Aktīvu uzskaitē vismaz jābūt ietvertam:

Reģistram nav jādublē katrs aktīva lauks, bet tam jāatsaucas uz aktīvu uzskaiti. Ja maksājumu uzraudzības SaaS atbalsta krāpšanas atklāšanu, DORA reģistram jābūt sasaistītam ar lietojumprogrammas aktīvu, datu kopas aktīvu, pakalpojumu kontiem, API integrācijām, žurnālu avotiem un biznesa īpašnieku.

Mākoņpakalpojumiem nepieciešams atsevišķs skats. Clarysec MVU Mākoņpakalpojumu izmantošanas politika Mākoņpakalpojumu izmantošanas politika — MVU prasa:

IT pakalpojumu sniedzējam vai ģenerāldirektoram jāuztur mākoņpakalpojumu reģistrs. Tajā jāreģistrē:

Tas ir īpaši vērtīgi ēnu IT atklāšanai. DORA reģistrs, kas neietver mākoņpakalpojumus, kuri iegādāti ārpus iepirkuma procesa, neizturēs praktisko pilnīguma pārbaudi.

Visbeidzot, Clarysec Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika pārvērš savstarpējo atbilstību par IDPS prasību:

Visi juridiskie un regulatīvie pienākumi jākartē uz konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (IDPS).

Tas ir tilts no DORA reģistra uz ISO 27001 pierādījumiem. Reģistram nav jāparāda tikai piegādātāji. Tam jāparāda, kuras politikas, kontroles pasākumi un īpašnieki izpilda regulatīvo pienākumu.

DORA prasību kartēšana uz ISO 27001 un Clarysec pierādījumiem

Zemāk esošā tabula apvieno galvenās reģistra gaidas ar ISO/IEC 27001:2022 A pielikuma kontroles pasākumiem un praktiskajiem Clarysec pierādījumu artefaktiem.

Šajā kartējumā reģistrs pārstāj būt izklājlapa un kļūst par pierādījumu modeli. Katrai rindai jābūt līguma īpašniekam, piegādātāja īpašniekam, pakalpojuma īpašniekam, biznesa īpašniekam un atbilstības īpašniekam. Katrai kritiskai attiecībai jābūt riska ierakstam, līguma klauzulu kontrolsarakstam, aktīva saitei un uzraudzības regularitātei.

Praktisks piemērs: viena IKT līguma kartēšana uz ISO 27001 pierādījumiem

Iedomājieties, ka finanšu sektora subjekts izmanto mākoņvidē balstītu krāpšanas analītikas platformu. Pakalpojums ievāc darījumu metadatus, atbalsta krāpšanas novērtēšanu reāllaikā, integrējas ar maksājumu platformu, glabā pseidonimizētus klientu identifikatorus, izmanto mākoņmitināšanas apakšuzņēmēju un nodrošina pārvaldītu atbalstu no apstiprinātas trešās valsts atrašanās vietas.

Vāja reģistra rinda saka: “Piegādātājs: FraudCloud. Pakalpojums: krāpšanas analītika. Līgums parakstīts. Kritiskums: jā.”

Uzraudzības līmenim atbilstoša reģistra rinda izskatās pavisam citādi.

Tagad atbilstības komanda var sagatavot saskaņotu pierādījumu paketi. Piegādātāju reģistrs pierāda, ka pakalpojumu sniedzējs pastāv un tam ir īpašnieks. Aktīvu uzskaite pierāda, ka iekšējās sistēmas, lietojumprogrammu saskarnes, datu kopas un žurnāli ir zināmi. Līguma kontrolsaraksts pierāda, ka obligātās DORA klauzulas ir pārskatītas. Risku izvērtēšana pierāda, ka ir izvērtēta koncentrācija, apakšuzņēmēji, datu aizsardzība un operacionālā noturība. Piemērojamības deklarācija parāda, kuri kontroles pasākumi tika atlasīti. Uzraudzības pārskatīšana pierāda, ka vienošanās pēc ieviešanas nav aizmirsta.

Zenith Blueprint Risku pārvaldības posma 13. solis iesaka tieši šādu izsekojamību:

Savstarpēji atsaucieties uz regulējumu: ja noteikti kontroles pasākumi ir ieviesti tieši tādēļ, lai nodrošinātu atbilstību GDPR, NIS2 vai DORA, to var norādīt vai nu Riska reģistrā (kā daļu no riska ietekmes pamatojuma), vai SoA piezīmēs.

Tādā veidā DORA reģistrs kļūst par ISO 27001 pierādījumiem, nevis paralēlu birokrātiju.

Piegādātāju un apakšuzņēmēju ķēde ir vieta, kur reģistra kvalitāte izgāžas

Lielākās reģistra nepilnības nerodas trūkstošu augstākā līmeņa piegādātāju dēļ. Tās rodas slēptu atkarību ķēžu dēļ.

Pārvaldīts drošības pakalpojumu sniedzējs var izmantot SIEM platformu, galiekārtas telemetrijas aģentu, pieteikumu sistēmu un ārvalstu triāžas komandu. Maksājumu apstrādātājs var būt atkarīgs no mākoņmitināšanas, identitātes pakalpojumiem, krāpšanas datubāzēm un norēķinu savienojamības. SaaS pakalpojumu sniedzējs var paļauties uz vairākiem apakšapstrādātājiem analītikai, e-pastam, novērojamībai, klientu atbalstam un rezerves kopijām.

DORA Article 29 liek pievērst uzmanību koncentrācijas un apakšuzņēmēju riskam. NIS2 Article 21 arī prasa piegādes ķēdes drošību tiešajiem piegādātājiem un pakalpojumu sniedzējiem un sagaida, ka subjekti ņems vērā katram tiešajam piegādātājam specifiskās ievainojamības, kopējo produkta kvalitāti, piegādātāja kiberdrošības praksi un drošas izstrādes procedūras. Finanšu sektora subjektiem, uz kuriem attiecas DORA, DORA darbojas kā nozares specifiskais noteikumu kopums pārklājošajām NIS2 kiberdrošības risku pārvaldības un incidentu ziņošanas prasībām, taču piegādes ķēdes loģika ir saskaņota.

Clarysec Zenith Blueprint posma “Kontroles pasākumi praksē” 23. solis sniedz praktisku norādījumu:

Katram kritiskajam piegādātājam identificējiet, vai tas izmanto apakšuzņēmējus (apakšapstrādātājus), kuri var piekļūt jūsu datiem vai sistēmām. Dokumentējiet, kā jūsu informācijas drošības prasības tiek lejupvirzītas šīm pusēm — vai nu caur piegādātāja līguma noteikumiem, vai ar jūsu pašu tiešajām klauzulām.

Tieši šeit daudzām organizācijām 2026. gadā nepieciešama trūkumu novēršana. Līgumos, kas parakstīti pirms DORA gatavības pasākumiem, var nebūt apakšuzņēmēju pārredzamības, audita pierādījumu tiesību, sadarbības ar iestādēm, palīdzības incidentu gadījumā, izstāšanās atbalsta vai atrašanās vietas saistību. Tāpēc reģistrā jāiekļauj līguma trūkumu novēršanas statuss, piemēram, pabeigts, trūkums pieņemts, pārrunas procesā vai nepieciešama izstāšanās opcija.

Savstarpējā atbilstība: DORA, NIS2, GDPR un NIST vajadzīga viena un tā pati atkarību patiesība

Labi izstrādāts DORA informācijas reģistrs atbalsta vairāk nekā DORA.

NIS2 Article 20 padara kiberdrošību par pārvaldes institūcijas atbildību, izmantojot apstiprināšanu, pārraudzību un apmācību. Article 21 prasa riska analīzi, politikas, incidentu apstrādi, nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un MFA, kur piemērojams. Šīs jomas būtiski pārklājas ar ISO/IEC 27001:2022 un reģistra pierādījumu modeli.

GDPR papildina privātuma pārskatatbildību. Tā teritoriālā darbības joma var attiekties uz ES un ārpus ES esošām organizācijām, kas apstrādā personas datus ES dibinājumu kontekstā, piedāvā preces vai pakalpojumus personām ES vai uzrauga to uzvedību. GDPR definīcijas attiecībā uz pārzini, apstrādātāju, apstrādi, pseidonimizāciju un personas datu aizsardzības pārkāpumu ir tieši nozīmīgas IKT piegādātāju kartēšanā. Ja DORA reģistrs identificē IKT pakalpojumu sniedzējus un apakšuzņēmējus, bet neidentificē personas datu apstrādes lomas, datu kategorijas, atrašanās vietas un drošības pasākumus, tas neatbalstīs GDPR pierādījumus.

NIST CSF 2.0 nodrošina vēl vienu noderīgu skatījumu. Tā GOVERN funkcija prasa organizācijām saprast misiju, ieinteresēto pušu gaidas, atkarības, juridiskās un līgumiskās prasības, pakalpojumus, no kuriem ir atkarīgi citi, un pakalpojumus, no kuriem ir atkarīga organizācija. Tā GV.SC piegādes ķēdes rezultāti prasa piegādes ķēdes risku pārvaldības programmu, definētas piegādātāju lomas, integrāciju uzņēmuma risku pārvaldībā, piegādātāju kritiskumu, līguma prasības, sākotnējo izpēti, dzīves cikla uzraudzību, incidentu koordināciju un plānošanu pēc attiecību beigām.

Praktisks savstarpējās atbilstības skats izskatās šādi.

Mērķis nav izveidot piecas atbilstības darba plūsmas. Mērķis ir izveidot vienu pierādījumu modeli, ko var filtrēt katram ietvaram.

Auditoru skatījumā

DORA uzraugs koncentrēsies uz pilnīgumu, kritiskām vai svarīgām funkcijām, līgumiskām vienošanām, apakšuzņēmējiem, koncentrācijas risku, pārvaldību, ziņošanu un to, vai reģistrs tiek uzturēts. Viņš var pieprasīt kritisko pakalpojumu sniedzēju izlasi un sagaidīt līgumu klauzulas, risku izvērtējumus, izstāšanās stratēģijas, incidentu atbalsta noteikumus un vadības pārraudzības pierādījumus.

ISO/IEC 27001:2022 auditors sāks ar IDPS darbības jomu, ieinteresētajām pusēm, regulatīvajiem pienākumiem, risku izvērtēšanu, Piemērojamības deklarāciju, darbības kontroles pasākumiem un dokumentēto informāciju. Viņš pārbaudīs, vai piegādātāju attiecības un aktīvu uzskaites tiek uzturētas, vai ārēji nodrošinātie procesi tiek kontrolēti, vai izmaiņas izraisa atkārtotu izvērtēšanu un vai pierādījumi atbalsta deklarēto kontroles pasākumu ieviešanu.

NIST CSF 2.0 izvērtētājs bieži prasīs esošos un mērķa profilus, pārvaldības gaidas, atkarību kartēšanu, piegādātāju kritiskumu, līgumu integrāciju, dzīves cikla uzraudzību un prioritizētus uzlabošanas pasākumus.

Uz COBIT 2019 orientēts auditors parasti pārbaudīs pārvaldības īpašumtiesības, procesu pārskatatbildību, lēmumu pieņemšanas pilnvaras, veiktspējas uzraudzību, risku ziņošanu un apliecinājumu. Viņš jautās, vai reģistrs ir iestrādāts uzņēmuma pārvaldībā, nevis tikai uzturēts atbilstības vajadzībām.

Zenith Controls palīdz pārtulkot šos skatījumus, nostiprinot tēmu ISO/IEC 27001:2022 A pielikuma kontroles pasākumos A.5.9, A.5.19 un A.5.20, un pēc tam izmantojot savstarpējās atbilstības interpretāciju, lai aktīvus, piegādātāju attiecības un piegādātāju līgumus sasaistītu ar regulatīvajām, pārvaldības un audita gaidām. Tā ir atšķirība starp “mums ir reģistrs” un “mēs varam pamatot reģistru”.

Clarysec MVU Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika — MVU arī pievēršas pierādījumu kvalitātei:

Metadati (piemēram, kas tos savāca, kad un no kuras sistēmas) jādokumentē.

Šī prasība ir neliela, bet spēcīga. 2026. gada pierādījumu pieprasījumā izklājlapa bez vākšanas metadatiem ir vāja. Reģistra eksports, kurā redzama avota sistēma, izgūšanas datums, atbildīgais īpašnieks, apstiprinājuma statuss un pārskatīšanas regularitāte, ir spēcīgāks.

Biežākie DORA informācijas reģistra konstatējumi 2026. gadā

Biežākie konstatējumi ir praktiski.

Pirmkārt, reģistra nepilnīgums. Mākoņpakalpojumi, atbalsta rīki, uzraudzības platformas, izstrādātāju rīki, pieteikumu sistēmas un datu analītikas platformas bieži trūkst, jo iepirkums tās nav klasificējis kā IKT pakalpojumus.

Otrkārt, vāja kritiskuma loģika. Dažas komandas atzīmē piegādātājus kā kritiskus pēc izdevumu apjoma, nevis pēc biznesa ietekmes. DORA interesē, vai IKT pakalpojums atbalsta kritisku vai svarīgu funkciju.

Treškārt, līgumu pierādījumu trūkumi. Vecākos piegādātāju līgumos bieži trūkst DORA gatavu klauzulu par audita tiesībām, palīdzību incidentu gadījumā, apakšuzņēmējiem, sadarbību ar iestādēm, pakalpojumu atrašanās vietām, datu atdošanu, izbeigšanu un izstāšanās atbalstu.

Ceturtkārt, vāja aktīvu sasaiste. Reģistri uzskaita piegādātājus, bet nesaista tos ar lietojumprogrammām, datu kopām, lietojumprogrammu saskarnēm, identitātēm, žurnāliem, infrastruktūru vai biznesa pakalpojumiem. Tas apgrūtina ietekmes analīzi incidentu un piegādātāju atteiču laikā.

Piektkārt, apakšuzņēmēju necaurspīdīgums. Organizācija zina galveno pakalpojumu sniedzēju, bet nevar paskaidrot, kuri apakšapstrādātāji vai tehniskie pakalpojumu sniedzēji atbalsta pakalpojumu.

Sestkārt, nav izmaiņu trigeru. Pakalpojumu sniedzējs pievieno jaunu apakšapstrādātāju, maina mitināšanas reģionu, migrē arhitektūru vai maina atbalsta piekļuvi, bet neviens neatjaunina reģistru un atkārtoti neizvērtē risku.

Septītkārt, nav pierādījumu regularitātes. Nav definēts biežums piegādātāju pārskatīšanai, līgumu pārskatīšanai, aktīvu validācijai, mākoņpakalpojumu reģistra salīdzināšanai vai vadības ziņošanai.

Šīs problēmas ir atrisināmas, bet tikai tad, ja reģistram ir īpašnieki un darbplūsmas.

Praktisks 30 dienu uzlabošanas plāns

Sāciet ar piemērošanas jomu. Identificējiet visas biznesa funkcijas, kas saskaņā ar DORA var būt kritiskas vai svarīgas. Katrai funkcijai uzskaitiet IKT pakalpojumus, no kuriem tā ir atkarīga. Nesāciet ar iepirkuma izdevumiem. Sāciet ar operacionālo atkarību.

Salāgojiet pamata datu avotus: piegādātāju reģistru, līgumu repozitoriju, aktīvu uzskaiti un mākoņpakalpojumu reģistru. Pievienojiet privātuma apstrādātāju ierakstus un incidentu reaģēšanas atkarības, kur tas ir būtiski. Mērķis pirmajā dienā nav pilnība. Mērķis ir vienots reģistra pamats ar skaidri atzīmētiem nezināmajiem.

Klasificējiet piegādātājus un pakalpojumus, izmantojot tādus kritērijus kā atbalstītā funkcija, datu sensitivitāte, operacionālā aizstājamība, koncentrācija, apakšuzņēmēji, atrašanās vietas, incidenta ietekme, atjaunošanas laiks un regulatīvā nozīmība.

Pārskatiet līgumus par katru kritisku vai svarīgu IKT vienošanos. Pārbaudiet, vai līgumā ir iekļauti pakalpojumu apraksti, apakšuzņēmēju nosacījumi, atrašanās vietas, datu aizsardzības saistības, piekļuve un atjaunošana, pakalpojumu līmeņi, incidentu atbalsts, audita tiesības, sadarbība ar iestādēm, izbeigšana, dalība apmācībās un izstāšanās atbalsts.

Kartējiet ISO pierādījumus katrai kritiskai vienošanai. Sasaistiet tos ar aktīvu ierakstiem, risku izvērtēšanas ierakstiem, SoA kontroles pasākumiem, piegādātāju sākotnējo izpēti, uzraudzības pārskatīšanām, nepārtrauktības plāniem, incidentu rokasgrāmatām un izstāšanās stratēģijas pierādījumiem.

Piešķiriet regularitāti. Kritiskajiem pakalpojumu sniedzējiem var būt nepieciešama ceturkšņa pārskatīšana, ikgadējs apliecinājums, līguma pārskatīšana pirms atjaunošanas un tūlītēja atkārtota izvērtēšana būtisku izmaiņu gadījumā. Nekritiskos pakalpojumu sniedzējus var pārskatīt reizi gadā vai trigeru notikumu gadījumā.

Izmantojiet šo kontrolsarakstu, lai reģistru pārvērstu darbības procesā:

• Izveidojiet DORA reģistra īpašnieku un aizvietotāju.
• Sasaistiet katru reģistra rindu ar līguma ID un piegādātāja īpašnieku.
• Sasaistiet katru kritisku vai svarīgu IKT pakalpojumu ar biznesa funkciju un aktīvu ierakstiem.
• Pievienojiet apakšuzņēmēju un apakšapstrādātāju laukus, pat ja sākotnēji tie ir atzīmēti kā nezināmi.
• Pievienojiet līguma klauzulu statusu DORA kritiskajiem noteikumiem.
• Pievienojiet ISO/IEC 27001:2022 riska un SoA atsauces.
• Pievienojiet GDPR lomu, personas datu un atrašanās vietas laukus, kur piemērojams.
• Pievienojiet pārskatīšanas regularitāti un pēdējās pārskatīšanas metadatus.
• Izveidojiet eskalācijas noteikumus trūkstošām klauzulām, nezināmiem apakšuzņēmējiem un augstam koncentrācijas riskam.
• Ziņojiet vadībai reģistra kvalitātes rādītājus.

Tieši šeit Clarysec 30 soļu ieviešanas metode, politiku kopums un Zenith Controls darbojas kopā. Zenith Blueprint nodrošina ieviešanas ceļu — no riska apstrādes un SoA izsekojamības 13. solī līdz aktīvu uzskaitei 22. solī un piegādātāju kontroles pasākumiem 23. solī. Politikas definē, kam jāuztur reģistri, kādiem līgumiskajiem un aktīvu pierādījumiem jāpastāv un kā tiek fiksēti atbilstības metadati. Zenith Controls nodrošina savstarpējās atbilstības kompasu vienu un to pašu pierādījumu kartēšanai pret DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST un COBIT 19 audita gaidām.

Pārvērtiet reģistru pierādījumos, pirms to pieprasa uzraugs

Ja jūsu DORA informācijas reģistrs joprojām ir izklājlapa, kas nav sasaistīta ar līgumiem, aktīviem, piegādātājiem, apakšuzņēmējiem un ISO 27001 pierādījumiem, 2026. gads ir laiks to sakārtot.

Sāciet ar Zenith Blueprint Zenith Blueprint, lai sasaistītu riska apstrādi, aktīvu uzskaiti un piegādātāju pārvaldību. Izmantojiet Zenith Controls Zenith Controls, lai kartētu ISO/IEC 27001:2022 A pielikuma kontroles pasākumus A.5.9, A.5.19 un A.5.20 uz savstarpējās atbilstības pierādījumiem. Pēc tam operacionalizējiet prasības, izmantojot Clarysec piegādātāju, aktīvu, mākoņpakalpojumu, tiesiskās atbilstības un audita uzraudzības politikas, tostarp Trešo personu un piegādātāju drošības politika — MVU, Piegādātāju atkarības risku pārvaldības politika, Trešo personu un piegādātāju drošības politika, Aktīvu pārvaldības politika — MVU, Aktīvu pārvaldības politika, Mākoņpakalpojumu izmantošanas politika — MVU, Tiesiskās un regulatīvās atbilstības politika un Audita un atbilstības uzraudzības politika — MVU.

Labākais laiks reģistra kvalitātes sakārtošanai ir pirms iestādes pieprasījuma, iekšējā audita, piegādātāja darbības pārtraukuma vai līguma atjaunošanas. Nākamais labākais laiks ir tagad. Lejupielādējiet attiecīgās Clarysec politikas, kartējiet savu pašreizējo reģistru pret iepriekš minēto pierādījumu modeli un rezervējiet DORA reģistra izvērtēšanu, lai sadrumstalotus piegādātāju datus pārvērstu uzraudzības līmeņa pierādījumos.