Pjan direzzjonali DORA 2026 għar-riskju tal-ICT, il-fornituri u TLPT

Il-paniku tat-tiftix dwar DORA 2026 mhuwiex verament dwar ir-regolamentazzjoni, iżda dwar l-evidenza

Huwa t-08:15 ta’ nhar ta’ Tnejn u s-CISO ta’ istituzzjoni tal-pagamenti ta’ daqs medju għandu tliet tabs tal-browser miftuħa: “lista ta’ kontroll DORA RTS/ITS,” “mudell ta’ reġistru DORA tal-ICT għal partijiet terzi,” u “rekwiżiti TLPT għal entitajiet finanzjarji.”

Il-maniġer tal-konformità diġà staqsa jekk il-pakkett għall-bord għandux jinkludi l-aħħar fluss tax-xogħol għall-klassifikazzjoni tal-inċidenti. L-Akkwist irid jinkorpora pjattaforma ġdida ta’ analytics fil-cloud. Il-COO irid assigurazzjoni li l-fornitur tas-SaaS għall-core banking m’għandux espożizzjoni moħbija għal subkuntratturi barra l-UE. L-Awditu Intern qed jitlob kalendarju tal-ittestjar. Id-Dipartiment Legali qed jistaqsi jekk l-iskadenzi tan-notifika ta’ ksur taħt il-GDPR ġewx allinjati mar-rappurtar tal-inċidenti taħt DORA.

Ħadd mhu qed jistaqsi mistoqsija teoretika. Qed jistaqsu, “Nistgħu nippruvaw dan sal-Ġimgħa?”

Dik hija l-problema reali ta’ DORA 2026. Il-biċċa l-kbira tal-entitajiet finanzjarji jifhmu l-obbligi prinċipali: ġestjoni tar-riskju tal-ICT, rappurtar ta’ inċidenti relatati mal-ICT, ittestjar tar-reżiljenza operattiva diġitali, ġestjoni tar-riskju tal-ICT minn partijiet terzi u sorveljanza aktar b’saħħitha tal-fornituri kritiċi tal-ICT. Il-parti diffiċli hija li l-Istandards Tekniċi Regolatorji, l-Istandards Tekniċi ta’ Implimentazzjoni u l-obbligi fil-livell tal-artikoli jinbidlu f’prattika kkontrollata, ripetibbli u awditabbli.

Id-Digital Operational Resilience Act jeħtieġ li l-entitajiet finanzjarji jżommu kapaċitajiet robusti ta’ ġestjoni tar-riskju tal-ICT, politiki għall-ġestjoni u r-rappurtar ta’ inċidenti relatati mal-ICT, ittestjar tas-sistemi tal-ICT, tal-kontrolli u tal-proċessi, u sorveljanza strutturata tal-fornituri terzi tal-ICT. Jistenna wkoll proporzjonalità. Ditta ta’ investiment iżgħar u grupp bankarju kbir m’għandhomx bżonn mudelli identiċi ta’ evidenza, iżda t-tnejn iridu jippruvaw li l-approċċ tagħhom huwa xieraq għad-daqs, il-profil tar-riskju, il-kumplessità u l-funzjonijiet kritiċi tagħhom.

Il-proġetti DORA normalment ifallu għal waħda minn tliet raġunijiet. L-ewwel, l-organizzazzjoni tittratta DORA bħala eżerċizzju ta’ mmappjar legali aktar milli bħala mudell operattiv. It-tieni, ir-riskju tal-fornituri jiġi dokumentat bħala lista ta’ fornituri aktar milli bħala dipendenza, sostitwibbiltà u riskju ta’ konċentrazzjoni. It-tielet, l-ittestjar jitqies bħala test ta’ penetrazzjoni annwali aktar milli bħala programm ta’ reżiljenza li jinkludi skannjar tal-vulnerabbiltajiet, ittestjar ibbażat fuq xenarji, eżerċizzji ta’ inċidenti u, fejn applikabbli, ittestjar ta’ penetrazzjoni mmexxi mit-theddid, magħruf komunement fit-tiftix bħala TLPT.

Approċċ aħjar huwa li tinbena sistema waħda ta’ evidenza li tgħaqqad politiki, reġistri, sidien, riskji, inċidenti, fornituri, ittestjar, irkupru u rieżami tal-maniġment. Hawnhekk Zenith Blueprint ta’ Clarysec, il-politiki lesti għall-użu u Zenith Controls jgħinu lill-entitajiet finanzjarji jibdlu DORA minn skadenza għal ritmu operattiv.

Ibda bil-mudell operattiv DORA, mhux bl-ispreadsheet RTS/ITS

Ħafna timijiet jibdew bi spreadsheet li telenka l-artikoli DORA u r-rekwiżiti RTS/ITS. Dan huwa utli, iżda mhux biżżejjed. Spreadsheet tista’ tgħidlek x’għandu jeżisti. Ma tassenjax sidien, ma tiddefinixxix il-frekwenza tar-rieżami, ma tippreservax l-evidenza, u ma tippruvax li kontroll tassew jaħdem.

F’Zenith Blueprint: Pjan direzzjonali ta’ 30 pass għall-awditur, Clarysec tindirizza dan fil-fażi tal-Ġestjoni tar-Riskju, Pass 14, Politiki ta’ Trattament tar-Riskju u Referenzi Regolatorji Reċiproċi:

“DORA: Għad-ditti fis-settur finanzjarju, DORA teħtieġ qafas ta’ ġestjoni tar-riskju tal-ICT allinjat ħafna ma’ dak li għamilna: nidentifikaw ir-riskji, inqiegħdu kontrolli (u politiki) fis-seħħ, u nittestjawhom. DORA tenfasizza wkoll ir-rispons u r-rappurtar tal-inċidenti, u s-sorveljanza tal-fornituri terzi ta’ servizzi tal-ICT.”

Il-messaġġ prattiku huwa sempliċi: tibnix “konformità ma’ DORA” bħala burokratzija parallela. Ibni saff ta’ governanza tal-ICT ibbażat fuq ir-riskju li jimmappja r-rekwiżiti DORA ma’ politiki, reġistri, sidien tal-kontrolli, reġistri tal-ittestjar, evidenza tal-fornituri u rieżami tal-maniġment.

Mudell operattiv DORA prattiku għandu jkollu ħames pilastri ta’ evidenza:

Għall-entitajiet finanzjarji regolati, din l-istruttura tbiddel l-implimentazzjoni RTS/ITS f’sistema ta’ evidenza lesta għall-awditu. Għall-entitajiet taħt ġestjoni simplifikata tar-riskju tal-ICT, l-istess mudell jista’ jitnaqqas għal inqas dokumenti u reġistri aktar sempliċi. Id-dixxiplini ewlenin jibqgħu l-istess: identifika, ipproteġi, skopri, wieġeb, irkupra, ittestja u governa lill-fornituri.

Ġestjoni tar-riskju tal-ICT: ir-reġistru huwa l-kamra tal-kontroll

L-aspettattivi ta’ DORA dwar il-ġestjoni tar-riskju tal-ICT jeħtieġu li l-entitajiet finanzjarji jidentifikaw, jikklassifikaw u jimmaniġġjaw ir-riskji tal-ICT fis-sistemi, fid-data, fil-proċessi, fil-funzjonijiet kritiċi jew importanti u fid-dipendenzi fuq partijiet terzi.

Il-falliment komuni mhuwiex in-nuqqas ta’ reġistru tar-riskji. Huwa li r-reġistru jkun skonness mill-fornituri, mill-assi, mill-inċidenti u mit-testijiet. DORA ma tippremjax spreadsheet sabiħa jekk ma tistax tispjega għaliex fornitur b’riskju għoli m’għandux pjan ta’ ħruġ, jew għaliex pjattaforma kritika tal-pagamenti tal-klijenti ma ġietx ittestjata.

Il-Politika tal-Ġestjoni tar-Riskju ta’ Clarysec għall-SMEs tagħti lill-entitajiet finanzjarji iżgħar linja bażi konċiża ta’ evidenza:

“Kull entrata tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid, u pjan ta’ trattament.”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.2.

Għall-entitajiet finanzjarji akbar, il-Politika tal-Ġestjoni tar-Riskju Enterprise ta’ Clarysec teħtieġ proċess aktar formali:

“Għandu jinżamm proċess formali ta’ ġestjoni tar-riskju skont ISO/IEC 27005 u ISO 31000, li jkopri identifikazzjoni, analiżi, evalwazzjoni, trattament, monitoraġġ u komunikazzjoni tar-riskju.”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.

Din id-distinzjoni hija importanti. DORA hija proporzjonata, iżda l-proporzjonalità ma tfissirx informalità. Ditta żgħira tal-pagamenti tista’ tuża reġistru ssimplifikat, filwaqt li grupp bankarju jista’ juża għodod GRC integrati. Fiż-żewġ każijiet, l-awditur xorta jistaqsi: X’inhuma r-riskji tal-ICT tagħkom? Min hu s-sid tagħhom? X’inhu l-pjan ta’ trattament? X’evidenza turi l-progress? Il-fornituri u l-funzjonijiet kritiċi kif jaffettwaw il-punteġġ?

Reġistru b’saħħtu tar-riskju tal-ICT għal DORA għandu jinkludi dawn l-oqsma:

Eżerċizzju prattiku huwa li tieħu servizz kritiku tal-ICT wieħed, bħal pjattaforma ta’ monitoraġġ tat-tranżazzjonijiet ospitata fil-cloud, u toħloq entrata tar-riskju fi 20 minuta. Iddeskrivi x-xenarju ta’ falliment jew kompromess, ivvaluta l-probabbiltà u l-impatt, assenja sid, identifika fornituri relatati, iddefinixxi pjan ta’ trattament u rabat l-entrata ma’ evidenza bħal diliġenza dovuta tal-fornitur, SLA, klawżoli tal-inċidenti, BIA, riżultati tat-testijiet tad-DR, dashboards ta’ monitoraġġ u rieżamijiet tal-aċċess.

Dik l-entrata waħda ssir il-ħajta li tgħaqqad il-ġestjoni tar-riskju tal-ICT taħt DORA, is-sorveljanza ta’ partijiet terzi, is-sejbien tal-inċidenti, il-kontinwità u l-ittestjar. Hekk reġistru tar-riskji jsir kamra tal-kontroll, mhux kabinett tal-fajls.

Tħejjija RTS/ITS: immappja l-obbligi mal-politiki, mhux mal-wegħdiet

It-terminu prattiku ta’ tiftix “lista ta’ kontroll DORA RTS/ITS” normalment ifisser “X’dokumenti se jistennew is-superviżuri?” L-entitajiet finanzjarji għandhom jevitaw li jwiegħdu konformità permezz ta’ dikjarazzjonijiet ġeneriċi. Jeħtieġu immappjar li jorbot kull obbligu ma’ politika, kontroll, sid u element ta’ evidenza.

Il-Politika dwar il-Konformità Legali u Regolatorja ta’ Clarysec għall-SMEs tistabbilixxi punt ta’ governanza sempliċi:

“Il-GM għandu jżomm Reġistru tal-Konformità sempliċi u strutturat li jelenka:”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.1.

Għal DORA 2026, ir-reġistru tal-konformità tiegħek għandu jinkludi:

• Obbligu DORA jew qasam ta’ rekwiżit RTS/ITS.
• Applikabbiltà, inkluża r-raġuni tal-proporzjonalità.
• Referenza għall-politika jew għall-proċedura.
• Sid il-kontroll.
• Post tal-evidenza.
• Frekwenza tar-rieżami.
• Lakuni miftuħa u skadenza għar-rimedjazzjoni.
• Status tar-rappurtar lill-bord jew lill-maniġment.

Dan jallinja mal-approċċ ta’ Zenith Blueprint Pass 14: immappja r-rekwiżiti regolatorji mal-kontrolli u l-politiki tal-ISMS sabiex xejn ma jaqa’ bejn is-siġġijiet. Minflok tistaqsi “Aħna konformi ma’ DORA?”, it-tmexxija tista’ tistaqsi “Liema elementi ta’ evidenza DORA huma skaduti, liema fornituri kritiċi m’għandhomx pjanijiet ta’ ħruġ, u liema attivitajiet ta’ ttestjar għadhom ma pproduċewx evidenza ta’ rimedjazzjoni?”

Riskju tal-ICT minn partijiet terzi: konċentrazzjoni, sostitwibbiltà u subkuntratturi

DORA bidlet il-konversazzjoni dwar il-fornituri fis-servizzi finanzjarji. M’għadux biżżejjed li tistaqsi jekk fornitur għandux ċertifikazzjoni tas-sigurtà, assigurazzjoni jew ftehim dwar l-ipproċessar tad-data. L-entitajiet finanzjarji għandhom jevalwaw jekk fornitur joħloqx riskju ta’ konċentrazzjoni, jekk il-fornitur jistax jiġi sostitwit b’mod realistiku, jekk diversi servizzi kritiċi jiddependux fuq fornitur wieħed jew fornituri relatati, u jekk is-subkuntrattar jintroduċix espożizzjoni legali jew ta’ reżiljenza addizzjonali.

Din hija l-kwistjoni li żżomm ħafna CISOs imqajmin. Ditta tista’ tiddependi fuq fornitur ewlieni wieħed ta’ servizzi cloud għall-ipproċessar tat-tranżazzjonijiet, analytics tad-data, portali tal-klijenti u kollaborazzjoni interna. Jekk dak il-fornitur jesperjenza qtugħ fit-tul, tilwima regolatorja, jew falliment ta’ subkuntrattur, il-mistoqsija mhijiex biss “Għandna kuntratt?” Il-mistoqsija hija “Nistgħu nkomplu s-servizzi kritiċi, nikkomunikaw mal-klijenti, u nippruvaw li fhimna d-dipendenza qabel ma falliet?”

Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri ta’ Clarysec għall-SMEs tistabbilixxi l-pedament:

“Għandu jinżamm u jiġi aġġornat Reġistru tal-Fornituri mill-kuntatt amministrattiv jew tal-akkwist. Għandu jinkludi:”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4.

Għal programmi Enterprise, il-Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri ta’ Clarysec tidħol aktar fil-fond fid-dipendenza u s-sostitwibbiltà speċifiċi għal DORA:

“Reġistru tad-Dipendenzi fuq il-Fornituri: Il-VMO għandu jżomm reġistru aġġornat tal-fornituri kritiċi kollha, inklużi dettalji bħal servizzi/prodotti pprovduti; jekk il-fornitur huwiex fornitur uniku; fornituri alternattivi disponibbli jew sostitwibbiltà; termini kuntrattwali attwali; u evalwazzjoni tal-impatt jekk il-fornitur ifalli jew jiġi kompromess. Ir-reġistru għandu jidentifika b’mod ċar fornituri b’dipendenza għolja (eż., dawk li għalihom ma teżistix alternattiva rapida).”
Mis-sezzjoni “Rekwiżiti tal-implimentazzjoni”, klawżola tal-politika 6.1.

Din hija l-evidenza tal-fornituri li l-proġetti DORA spiss jitilfu. Reġistru tal-fornituri jgħid min hu l-fornitur. Reġistru tad-dipendenzi jgħid x’jiġri meta l-fornitur ifalli.

Zenith Blueprint, fil-fażi Kontrolli fl-Azzjoni, Pass 23, kontrolli organizzattivi, jipprovdi fluss tax-xogħol prattiku għas-sorveljanza tal-fornituri. Jirrakkomanda li tinġabar lista sħiħa tal-fornituri, li l-fornituri jiġu kklassifikati abbażi tal-aċċess għal sistemi, data jew kontroll operattiv, li jiġi vverifikat li l-aspettattivi tas-sigurtà huma inkorporati fil-kuntratti, li jiġu mmaniġġjati r-riskji tas-subkuntratturi u tal-partijiet aktar ’l isfel fil-katina, li jiġu definiti proċeduri ta’ tibdil u monitoraġġ, u li jinħoloq proċess ta’ evalwazzjoni tas-servizzi cloud.

F’Zenith Controls: Il-gwida għall-konformità trasversali, il-kontroll ISO/IEC 27002:2022 5.21, Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT, huwa mmappjat bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà. Huwa assoċjat mas-sigurtà tar-relazzjoni mal-fornituri u mal-kunċett taċ-ċibersigurtà Identify. Jgħaqqad ma’ inġinerija sigura, kodifikazzjoni sigura, kontroll tal-aċċess, ittestjar tas-sigurtà, ġbir tal-evidenza, ċiklu tal-ħajja tal-iżvilupp sigur u żvilupp esternalizzat.

Dik hija eżattament ir-realtà tas-sorveljanza ta’ partijiet terzi taħt DORA. Ir-riskju tal-fornituri mhuwiex biss akkwist. Jmiss l-arkitettura, l-iżvilupp, ir-rispons għall-inċidenti, il-kontroll tal-aċċess, il-kontinwità tan-negozju u d-Dipartiment Legali.

Mill-perspettiva tal-konformità trasversali, Zenith Controls jimmappa s-sigurtà tal-katina tal-provvista tal-ICT ma’ GDPR Articles 28 and 32 għaliex il-proċessuri u s-subproċessuri għandhom jintgħażlu u jiġu sorveljati b’miżuri tekniċi u organizzattivi xierqa. Jappoġġja l-aspettattivi tas-sigurtà tal-katina tal-provvista taħt NIS2, inklużi Article 21 dwar miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u Article 22 dwar evalwazzjonijiet koordinati tar-riskju tal-katina tal-provvista. Jimmappa b’mod qawwi ma’ DORA Articles 28, 29 and 30, fejn ir-riskju tal-ICT minn partijiet terzi, ir-riskju ta’ konċentrazzjoni, is-sub-outsourcing u d-dispożizzjonijiet kuntrattwali huma ċentrali.

Standards ta’ appoġġ isaħħu l-evidenza. ISO/IEC 27036-3:2021 jappoġġja s-sigurtà tal-akkwist tal-ICT u tal-għażla tal-fornituri. ISO/IEC 20243:2018 jappoġġja l-integrità tal-prodotti teknoloġiċi fdati u s-sigurtà tal-katina tal-provvista. ISO/IEC 27001:2022 jgħaqqad dan mat-trattament tar-riskju u mal-kontrolli tal-fornituri fl-Anness A.

Rappurtar tal-inċidenti: ibni l-katina tal-eskalazzjoni qabel l-inċident

Ir-rappurtar tal-inċidenti taħt DORA mhuwiex biss dwar is-sottomissjoni ta’ notifika. Huwa dwar is-sejbien, il-klassifikazzjoni, l-eskalazzjoni, il-komunikazzjoni u t-tagħlim minn inċidenti relatati mal-ICT. L-entitajiet finanzjarji għandhom iżommu proċessi għall-ġestjoni u r-rappurtar tal-inċidenti tal-ICT, b’rwoli definiti, kriterji ta’ klassifikazzjoni, rotot ta’ notifika u analiżi wara l-inċident.

Il-Politika dwar ir-Rispons għall-Inċidenti ta’ Clarysec għall-SMEs torbot l-iskadenzi tar-rispons għall-inċidenti mar-rekwiżiti legali:

“L-iskadenzi tar-rispons, inkluż l-irkupru tad-data u l-obbligi tan-notifika, għandhom jiġu dokumentati u allinjati mar-rekwiżiti legali, bħar-rekwiżit tal-GDPR ta’ notifika ta’ ksur ta’ data personali fi żmien 72 siegħa.”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.2.

Għal ambjenti Enterprise, il-Politika dwar ir-Rispons għall-Inċidenti ta’ Clarysec iżżid il-lenti tal-eskalazzjoni għal data rregolata:

“Jekk inċident jirriżulta f’espożizzjoni kkonfermata jew probabbli ta’ data personali jew data rregolata oħra, id-Dipartiment Legali u d-DPO għandhom jevalwaw l-applikabbiltà ta’:”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.1.

Il-kwotazzjoni tieqaf fil-punt tal-attivatur, li huwa eżattament fejn ħafna proċessi tal-inċidenti jfallu. Jekk l-attivatur mhuwiex ċar, it-timijiet jiddibattu d-dmirijiet tan-notifika waqt li l-arloġġ diġà jkun beda.

Zenith Blueprint, fil-fażi Kontrolli fl-Azzjoni, Pass 16, Kontrolli tar-riżorsi umani II, jenfasizza r-rappurtar tal-inċidenti mmexxi mill-persunal. L-impjegati, il-kuntratturi u l-partijiet interessati jeħtieġu jkunu jafu kif jagħrfu u jirrappurtaw inċidenti potenzjali tas-sigurtà permezz ta’ kanali sempliċi bħal mailbox dedikata, portal jew hotline. Il-Blueprint jgħaqqad dan ma’ GDPR Article 33, NIS2 Article 23 u DORA Article 17 għaliex ir-rappurtar regolatorju jibda bl-għarfien intern u l-eskalazzjoni.

F’Zenith Controls, il-kontroll ISO/IEC 27002:2022 5.24, Ippjanar u tħejjija għall-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni, huwa mmappjat bħala kontroll korrettiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat ma’ Respond and Recover. Jorbot direttament mal-evalwazzjoni tal-avvenimenti, it-tagħlim mill-inċidenti, l-illoggjar u l-monitoraġġ, is-sigurtà waqt tfixkil, il-kontinwità tas-sigurtà tal-informazzjoni u l-kuntatt mal-awtoritajiet. Il-gwida timmappa dan ma’ DORA Articles 17 to 23 għall-ġestjoni, il-klassifikazzjoni, ir-rappurtar u n-notifika volontarja ta’ theddid ċibernetiku relatati mal-ICT, GDPR Articles 33 and 34 għan-notifika ta’ ksur, u NIS2 Article 23 għan-notifika tal-inċidenti.

Proċess tal-inċidenti lest għal DORA għandu jinkludi:

• Kanali ċari għad-dħul tal-inċidenti.
• Kriterji ta’ trijaġġ tal-avvenimenti u klassifikazzjoni.
• Fluss tax-xogħol għall-eskalazzjoni ta’ inċidenti maġġuri relatati mal-ICT.
• Punti ta’ deċiżjoni legali, tad-DPO u tan-notifika regolatorja.
• Attivaturi tan-notifika tal-inċidenti mill-fornituri.
• Rekwiżiti għall-preservazzjoni tal-evidenza.
• Regoli ta’ komunikazzjoni għall-eżekuttivi u għall-bord.
• Rieżami wara l-inċident u tagħlimiet miksuba.
• Rabta ma’ aġġornamenti tar-reġistru tar-riskji u rimedjazzjoni tal-kontrolli.

Standards ta’ appoġġ iżidu struttura. ISO/IEC 27035-1:2023 jipprovdi prinċipji ta’ ppjanar u tħejjija għall-ġestjoni tal-inċidenti. ISO/IEC 27035-2:2023 jiddettalja l-passi tal-immaniġġjar tal-inċidenti. ISO/IEC 22320:2018 jappoġġja kmand, kontroll u komunikazzjoni strutturata fil-kriżijiet. Dan jgħodd meta qtugħ tal-ICT isir kriżi b’impatt fuq il-klijenti u l-entità trid turi li d-deċiżjonijiet kienu f’waqthom, ikkoordinati u bbażati fuq evidenza.

Ittestjar tar-reżiljenza operattiva diġitali u TLPT: tħallix it-test isir l-inċident

L-ittestjar huwa wieħed mis-suġġetti DORA 2026 l-aktar imfittxija għaliex huwa kemm tekniku kif ukoll tqil fil-governanza. L-entitajiet finanzjarji jeħtieġu jittestjaw sistemi, kontrolli u proċessi tal-ICT. Għal entitajiet magħżula, ittestjar avvanzat bħal TLPT isir rekwiżit ċentrali taħt DORA Article 26.

Il-mistoqsija tal-awditu mhijiex biss “Ittestjajtu?” Hija “It-test kien ibbażat fuq ir-riskju, awtorizzat, sigur, indipendenti fejn meħtieġ, rimedjat u marbut mal-objettivi tar-reżiljenza?”

Il-Politika tal-Ittestjar tas-Sigurtà u Red-Teaming Enterprise ta’ Clarysec tiddefinixxi b’mod ċar il-programm minimu tal-ittestjar:

“Tipi ta’ testijiet: Il-programm tal-ittestjar tas-sigurtà għandu jinkludi, bħala minimu: (a) skannjar tal-vulnerabbiltajiet, magħmul minn skans awtomatizzati ta’ kull ġimgħa jew kull xahar tan-netwerks u l-applikazzjonijiet biex jiġu identifikati vulnerabbiltajiet magħrufa; (b) ittestjar ta’ penetrazzjoni, magħmul minn ittestjar manwali fil-fond ta’ sistemi jew applikazzjonijiet speċifiċi minn testers b’ħiliet biex jiġu identifikati dgħufijiet kumplessi; u (c) eżerċizzji ta’ red-teaming, magħmula minn simulazzjonijiet ibbażati fuq xenarji ta’ attakki reali, inklużi inġinerija soċjali u tattiki oħra, biex jiġu ttestjati l-kapaċitajiet ta’ sejbien u rispons tal-organizzazzjoni kollha kemm hi.”
Mis-sezzjoni “Rekwiżiti tal-implimentazzjoni”, klawżola tal-politika 6.1.

Dan huwa l-pont bejn ittestjar ta’ rutina u maturità TLPT. L-iskannjar tal-vulnerabbiltajiet isib dgħufijiet magħrufa. L-ittestjar ta’ penetrazzjoni jivvalida l-isfruttabbiltà. Red-teaming jittestja s-sejbien u r-rispons bħala sistema. TLPT, fejn applikabbli, għandu jkun parti minn programm ta’ ttestjar governat b’kontroll tal-kamp ta’ applikazzjoni, regoli tas-sikurezza, ġestjoni tar-riskju tal-produzzjoni, qbid tal-evidenza u traċċar tar-rimedjazzjoni.

Zenith Blueprint, fil-fażi Kontrolli fl-Azzjoni, Pass 21, jindirizza l-protezzjoni tas-sistemi tal-informazzjoni waqt awditu u ttestjar. Jwissi li awditi, testijiet ta’ penetrazzjoni, rieżamijiet forensiċi u evalwazzjonijiet operattivi jistgħu jintroduċu riskju għaliex jistgħu jinvolvu aċċess elevat, għodod intrużivi jew bidliet temporanji fl-imġiba tas-sistema. Il-Blueprint jimmappa dan it-tħassib ma’ GDPR Article 32, l-aspettattivi DORA dwar l-ittestjar tar-reżiljenza operattiva diġitali, it-tħassib dwar il-kontinwità taħt NIS2 u l-prattiki COBIT 2019 għall-eżekuzzjoni sigura ta’ awditi u evalwazzjonijiet.

F’Zenith Controls, il-kontroll ISO/IEC 27002:2022 5.35, Rieżami indipendenti tas-sigurtà tal-informazzjoni, huwa mmappjat bħala preventiv u korrettiv, li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà. Jorbot mal-konformità mal-politiki, ir-responsabbiltajiet tal-maniġment, it-tagħlim mill-inċidenti, il-protezzjoni tar-reġistri, it-tħassir tal-informazzjoni, l-illoggjar u l-monitoraġġ. Għal DORA, l-obbligi rilevanti tal-ittestjar huma prinċipalment Articles 24 to 27, inkluż Article 26 għal TLPT. Dan jappoġġja wkoll GDPR Article 32(1)(d), li jeħtieġ ittestjar u evalwazzjoni regolari tal-miżuri tekniċi u organizzattivi, u NIS2 Article 21, li jeħtieġ miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà.

Pakkett ta’ tħejjija TLPT għal DORA għandu jinkludi:

Il-lezzjoni ewlenija ta’ DORA hija li l-evidenza tal-ittestjar m’għandhiex tieqaf mar-rapport. L-awdituri jistaqsu jekk is-sejbiet ġewx ikklassifikati skont ir-riskju, assenjati, rimedjati u ttestjati mill-ġdid. Jistgħu jiċċekkjaw ukoll jekk l-ittestjar kopriex funzjonijiet kritiċi jew importanti, mhux biss assi aċċessibbli mill-internet.

Kontinwità tan-negozju u rkupru minn diżastru: ir-reżiljenza trid tkun operattiva

DORA hija regolament dwar ir-reżiljenza operattiva diġitali. L-irkupru huwa importanti daqs il-prevenzjoni. Qafas dokumentat tar-riskju tal-ICT mhux se jgħin jekk qtugħ ta’ pjattaforma tal-pagamenti juri li l-objettivi ta’ ħin għall-irkupru qatt ma ġew ittestjati, is-siġar ta’ kuntatt tal-fornituri huma skaduti, u t-tim tal-kriżi ma jistax jaqbel dwar min jikkomunika mal-klijenti.

Il-Politika tal-Kontinwità tan-Negozju u l-Irkupru minn Diżastru ta’ Clarysec għall-SMEs tistabbilixxi linja bażi ċara:

“L-organizzazzjoni għandha tittestja kemm il-kapaċitajiet tagħha tal-BCP kif ukoll tad-DR mill-inqas darba fis-sena. It-testijiet għandhom jinkludu:”
Mis-sezzjoni “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.1.

Il-Politika tal-Kontinwità tan-Negozju u l-Irkupru minn Diżastru Enterprise tibda bl-impatt fuq in-negozju:

“Business Impact Analysis (BIA) għandha titwettaq mill-inqas darba fis-sena għall-unitajiet kritiċi kollha tan-negozju u tiġi rieżaminata meta jkun hemm bidliet sinifikanti fis-sistemi, fil-proċessi jew fid-dipendenzi. L-outputs tal-BIA għandhom jiddefinixxu:”
Mis-sezzjoni “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.2.

Għal DORA, il-BIA għandha tkun marbuta mal-assi tal-ICT, il-fornituri, ir-rispons għall-inċidenti u l-ittestjar. Jekk il-BIA tidentifika “pagamenti tal-klijenti” bħala funzjoni kritika, ir-reġistru tad-dipendenzi fuq il-fornituri għandu jidentifika l-proċessuri, is-servizzi cloud u l-fornituri tan-network li jappoġġjawha. Ir-reġistru tar-riskju għandu jinkludi xenarji ta’ falliment. Il-pjan tal-ittestjar għandu jinkludi verifika tar-reżiljenza. Il-pjan ta’ rispons għall-inċidenti għandu jinkludi eskalazzjoni u komunikazzjoni. It-test tad-DR għandu jipproduċi evidenza, mhux biss nota ta’ laqgħa.

Din it-traċċabbiltà hija dak li jibdel il-konformità ma’ DORA f’sistema ta’ reżiljenza operattiva.

Konformità trasversali: sett wieħed ta’ evidenza, ħafna mistoqsijiet ta’ awditu

L-entitajiet finanzjarji rarament jiffaċċjaw DORA waħdu. Spiss ikollhom obbligi GDPR, espożizzjoni għal NIS2, impenji kuntrattwali tas-sigurtà, objettivi ISO/IEC 27001:2022, rekwiżiti tal-Awditu Intern, diliġenza dovuta tal-klijenti, aspettattivi SOC u rappurtar tar-riskju lill-bord. It-tweġiba mhijiex li jinħolqu silos separati ta’ evidenza. It-tweġiba hija li jinbena mudell ta’ evidenza għall-konformità trasversali.

Zenith Controls huwa l-kumpass ta’ Clarysec għall-konformità trasversali. Ma joħloqx obbligi ġodda. Jimmappa standards u oqfsa uffiċjali sabiex l-organizzazzjonijiet jifhmu kif qasam wieħed ta’ kontroll jappoġġja diversi riżultati ta’ konformità.

Dan huwa importanti għall-baġit u l-governanza. CISO jista’ jispjega lill-bord li t-titjib tal-klassifikazzjoni tal-inċidenti jappoġġja r-rappurtar DORA, in-notifika ta’ ksur taħt il-GDPR, l-immaniġġjar tal-inċidenti taħt NIS2 u r-reżiljenza interna. Mexxej tal-akkwist jista’ jiġġustifika l-immappjar tad-dipendenzi fuq il-fornituri għaliex jappoġġja r-riskju ta’ konċentrazzjoni taħt DORA, id-diliġenza dovuta tal-proċessuri taħt il-GDPR u s-sigurtà tal-katina tal-provvista taħt NIS2. Responsabbli mill-ittestjar jista’ juri li eżerċizzji ta’ red-team u rieżamijiet indipendenti jappoġġjaw l-ittestjar DORA, l-evalwazzjoni tal-kontrolli taħt il-GDPR u assigurazzjoni usa’.

Lenti tal-awditu: kif l-assessuri se jittestjaw l-evidenza DORA tiegħek

It-tħejjija għal DORA issir reali meta xi ħadd jitlob evidenza. Awdituri u assessuri differenti javviċinaw l-istess suġġett minn angoli differenti.

Awditur orjentat lejn ISO/IEC 27001:2022 jibda bil-loġika tal-ISMS: kamp ta’ applikazzjoni, valutazzjoni tar-riskju, trattament tar-riskju, applikabbiltà tal-kontrolli tal-Anness A, Awditu Intern, rieżami tal-maniġment u evidenza li l-kontrolli ġew implimentati. Għas-sigurtà tal-katina tal-provvista tal-ICT, iħares lejn politiki, klassifikazzjoni tal-fornituri, klawżoli kuntrattwali, diliġenza dovuta u monitoraġġ kontinwu. Għall-ġestjoni tal-inċidenti, jispezzjona l-pjan, ir-rwoli, ir-rotot ta’ eskalazzjoni, l-għodod u r-reġistri. Għall-ittestjar, jistenna intervalli ppjanati, indipendenza fejn xieraq, rimedjazzjoni u input fir-rieżami tal-maniġment.

Lenti ta’ awditu ISO/IEC 19011:2018 tiffoka fuq l-eżekuzzjoni tal-awditu. F’Zenith Controls, il-metodoloġija tal-awditu għas-sigurtà tal-katina tal-provvista tal-ICT tinnota li l-awdituri jeżaminaw politiki tal-akkwist, mudelli RFP u proċessi tal-ġestjoni tal-fornituri biex jivverifikaw li rekwiżiti tas-sigurtà speċifiċi għall-ICT huma inkorporati mill-akkwist sat-tneħħija. Għall-ġestjoni tal-inċidenti, l-awdituri jeżaminaw il-pjan ta’ rispons għall-inċidenti għall-kompletezza u l-allinjament mal-aħjar prattiki. Għar-rieżami indipendenti, l-awdituri jfittxu evidenza li twettqu awditi jew rieżamijiet indipendenti.

Lenti ISO/IEC 27007:2020 hija aktar speċifika għall-awditu tal-ISMS. Zenith Controls jinnota li l-awdituri jistgħu jintervistaw uffiċjali tal-akkwist, persunal tas-sigurtà tal-IT u maniġers tal-fornituri biex jevalwaw il-fehim u l-eżekuzzjoni tal-kontrolli tal-katina tal-provvista tal-ICT. Għat-tħejjija għall-inċidenti, jikkonfermaw li jeżisti Tim ta’ Rispons għall-Inċidenti u li huwa operattiv. Għar-rieżami indipendenti, jivverifikaw li l-programm tal-Awditu Intern ikopri l-kamp ta’ applikazzjoni kollu tal-ISMS u huwa mgħammar b’riżorsi xierqa.

Assessur tal-ittestjar infurmat minn NIST SP 800-115 jiffoka fuq il-metodoloġija tal-evalwazzjoni tal-vulnerabbiltajiet u l-ittestjar ta’ penetrazzjoni. Jista’ jeżamina jekk il-kamp ta’ applikazzjoni tat-test, ir-regoli ta’ impenn, is-sejbiet, il-klassifikazzjonijiet tas-severità, ir-rimedjazzjoni u r-retesting humiex dokumentati. Għal DORA TLPT, dan ifisser li l-assessur mhux se jkun sodisfatt b’slide deck ta’ red-team. Irid prova ta’ governanza, sikurezza, profondità teknika u għeluq.

Awditur bi stil COBIT 2019 jew ISACA jistaqsi jekk l-objettivi ta’ governanza humiex jintlaħqu: min hu s-sid tal-proċess, kif titkejjel il-prestazzjoni, kif jiġu approvati l-eċċezzjonijiet, u kif il-maniġment jirċievi assigurazzjoni.

Il-lista ta’ kontroll prattika għat-tħejjija għal DORA 2026

Uża din il-lista ta’ kontroll bħala linja bażi operattiva biex iddawwar it-tiftix dwar DORA f’azzjoni.

Governanza u immappjar RTS/ITS

• Żomm reġistru tal-konformità ma’ DORA b’qasam tal-obbligu, applikabbiltà, sid, evidenza, frekwenza tar-rieżami u status tal-lakuni.
• Immappja r-rekwiżiti DORA ma’ politiki, reġistri, kontrolli u rappurtar lill-maniġment.
• Iddefinixxi r-raġuni tal-proporzjonalità għal ġestjoni tar-riskju tal-ICT simplifikata jew skalata fejn applikabbli.
• Assenja responsabbiltà eżekuttiva għar-riskju tal-ICT, ir-rappurtar tal-inċidenti, is-sorveljanza ta’ partijiet terzi u l-ittestjar.
• Inkludi l-istatus DORA fir-rieżami tal-maniġment u fir-rappurtar tar-riskju lill-bord.

Ġestjoni tar-riskju tal-ICT

• Żomm reġistru tar-riskju tal-ICT b’deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament.
• Rabat ir-riskji ma’ funzjonijiet kritiċi jew importanti.
• Rabat ir-riskji ma’ assi tal-ICT, fornituri u proċessi.
• Irrevedi r-riskji wara inċidenti maġġuri, bidliet fil-fornituri, bidliet fit-teknoloġija jew sejbiet tat-testijiet.
• Segwi l-azzjonijiet ta’ trattament sal-għeluq jew sal-aċċettazzjoni formali tar-riskju.

Sorveljanza tal-ICT minn partijiet terzi

• Żomm reġistru tal-fornituri u reġistru tad-dipendenzi fuq il-fornituri.
• Identifika fornituri li jappoġġjaw funzjonijiet kritiċi jew importanti.
• Evalwa fornituri uniċi u s-sostitwibbiltà.
• Irrevedi s-subkuntratturi u l-arranġamenti ta’ sub-outsourcing.
• Inkorporta klawżoli dwar is-sigurtà, l-aċċess, ir-rappurtar tal-inċidenti, l-awditu u l-ħruġ fil-kuntratti.
• Immonitorja fornituri kritiċi mill-inqas darba fis-sena jew wara bidliet materjali.
• Żomm pjanijiet ta’ ħruġ u kontinġenza għal fornituri b’dipendenza għolja.

Ġestjoni u rappurtar tal-inċidenti

• Żomm proċeduri ta’ rispons għall-inċidenti b’rwoli u rotot ta’ eskalazzjoni ċari.
• Iddefinixxi kriterji ta’ klassifikazzjoni għall-inċidenti tal-ICT.
• Allinja l-attivaturi tar-rappurtar DORA mal-GDPR, NIS2 u l-obbligi kuntrattwali tan-notifika.
• Ħarreġ lill-impjegati u lill-kuntratturi dwar il-kanali tar-rappurtar tal-inċidenti.
• Żomm logs tal-inċidenti, reġistri tad-deċiżjonijiet u evidenza.
• Wettaq rieżamijiet wara l-inċident u aġġorna r-riskji u l-kontrolli.

Ittestjar, red-teaming u TLPT

• Żomm kalendarju tal-ittestjar ibbażat fuq ir-riskju.
• Wettaq skannjar tal-vulnerabbiltajiet u ittestjar ta’ penetrazzjoni f’intervalli definiti.
• Uża eżerċizzji ta’ red-team ibbażati fuq xenarji biex tittestja s-sejbien u r-rispons.
• Għat-tħejjija TLPT, iddefinixxi l-kamp ta’ applikazzjoni, ir-regoli ta’ impenn, il-kontrolli tas-sikurezza u l-koordinazzjoni mal-fornituri.
• Ipproteġi s-sistemi tal-produzzjoni waqt l-ittestjar.
• Segwi s-sejbiet, ir-rimedjazzjoni, ir-retesting u t-tagħlimiet miksuba.
• Irrapporta r-riżultati tal-ittestjar lill-maniġment.

Kontinwità u rkupru

• Wettaq BIA annwali għall-unitajiet kritiċi tan-negozju u aġġornaha wara bidliet sinifikanti.
• Iddefinixxi objettivi ta’ rkupru għal funzjonijiet kritiċi u servizzi ta’ appoġġ tal-ICT.
• Ittestja l-kapaċitajiet tal-BCP u tad-DR mill-inqas darba fis-sena.
• Inkludi xenarji ta’ qtugħ tal-fornituri u inċidenti ċibernetiċi.
• Ippreserva l-evidenza tat-testijiet, il-lakuni, l-azzjonijiet ta’ rimedju u r-riżultati tar-retest.
• Allinja l-pjanijiet ta’ kontinwità mar-rispons għall-inċidenti u l-komunikazzjonijiet ta’ kriżi.

Kif Clarysec tgħin lill-entitajiet finanzjarji jimxu mir-riżultati tat-tiftix għal evidenza lesta għall-awditu

It-tħejjija għal DORA 2026 ma tinkisibx billi titniżżel lista ta’ kontroll u tittama li l-organizzazzjoni timla l-lakuni aktar tard. Teħtieġ mudell operattiv strutturat li jgħaqqad riskju, fornituri, inċidenti, ittestjar, kontinwità u evidenza tal-awditu.

L-approċċ ta’ Clarysec jgħaqqad tliet saffi.

L-ewwel, Zenith Blueprint jipprovdi l-pjan direzzjonali tal-implimentazzjoni. Pass 14 jgħin lill-organizzazzjonijiet jagħmlu referenzi reċiproċi bejn ir-rekwiżiti regolatorji, it-trattament tar-riskju u l-politiki. Pass 16 isaħħaħ ir-rappurtar tal-inċidenti mmexxi mill-persunal. Pass 21 jiżgura li l-awditi u t-testijiet ma jpoġġux f’riskju s-sistemi tal-produzzjoni. Pass 23 ibiddel is-sorveljanza tal-fornituri f’fluss tax-xogħol prattiku li jkopri klassifikazzjoni, kuntratti, subkuntratturi, monitoraġġ u evalwazzjoni tal-cloud.

It-tieni, il-politiki ta’ Clarysec jipprovdu governanza lesta biex tiġi operazzjonalizzata. Il-Politika tal-Ġestjoni tar-Riskju, il-Politika dwar il-Konformità Legali u Regolatorja, il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, il-Politika tal-Ġestjoni tar-Riskju tad-Dipendenza fuq il-Fornituri, il-Politika dwar ir-Rispons għall-Inċidenti, il-Politika tal-Ittestjar tas-Sigurtà u Red-Teaming, u l-Politika tal-Kontinwità tan-Negozju u l-Irkupru minn Diżastru jagħtu lit-timijiet klawżoli konkreti, mudelli ta’ sjieda u aspettattivi dwar l-evidenza.

It-tielet, Zenith Controls jipprovdi l-mappa tal-konformità trasversali. Juri kif is-sigurtà tal-katina tal-provvista tal-ICT, l-ippjanar tal-ġestjoni tal-inċidenti u r-rieżami indipendenti jingħaqdu ma’ DORA, GDPR, NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27035, ISO/IEC 27036, ISO/IEC 22320, ISO/IEC 20243, COBIT 2019 u l-prattiki ta’ ttestjar NIST.

Ir-riżultat huwa programm ta’ konformità ma’ DORA li huwa difensibbli f’awditu u utli waqt inċident reali, falliment ta’ fornitur jew test ta’ reżiljenza.

Il-pass li jmiss: ibni l-pakkett ta’ evidenza DORA tiegħek qabel it-talba tal-awditu li jmiss

Jekk it-tim tiegħek għadu qed ifittex “lista ta’ kontroll DORA RTS/ITS,” “mudell ta’ ġestjoni tar-riskju tal-ICT DORA,” “sorveljanza ta’ partijiet terzi DORA,” jew “rekwiżiti TLPT DORA,” il-pass li jmiss huwa li tbiddel dak it-tiftix f’evidenza kkontrollata.

Ibda b’erba’ azzjonijiet din il-ġimgħa:

1. Oħloq jew aġġorna r-reġistru tal-konformità ma’ DORA tiegħek bl-użu tal-mudell tal-politiki ta’ Clarysec.
2. Agħżel funzjoni kritika waħda u ittraċċaha permezz tar-reġistru tar-riskju, ir-reġistru tad-dipendenzi fuq il-fornituri, il-fluss tax-xogħol tal-inċidenti, il-BIA u l-pjan tal-ittestjar.
3. Irrevedi l-aqwa ħames fornituri tal-ICT tiegħek għas-sostitwibbiltà, is-subkuntratturi, il-klawżoli tal-inċidenti u l-għażliet ta’ ħruġ.
4. Ibni pakkett ta’ evidenza tal-ittestjar bil-kamp ta’ applikazzjoni, l-awtorizzazzjoni, ir-riżultati, ir-rimedjazzjoni u r-retesting.

Clarysec tista’ tgħinek timplimenta dan billi tuża Zenith Blueprint, mudelli ta’ politiki u Zenith Controls sabiex il-programm DORA 2026 tiegħek ikun prattiku, proporzjonat u lest għall-awditu.