Register informácií podľa DORA: príručka k ISO 27001
Je utorok 09:15. Sarah, CISO rýchlo rastúceho fintechu, sedí na posúdení pripravenosti so svojím manažérom súladu, právnikom, vedúcim obstarávania a cloudovým architektom. Externý konzultant vystupuje v úlohe dohľadu podľa DORA.
„Ďakujem za prezentáciu,“ hovorí. „Poskytnite, prosím, svoj register informácií podľa požiadaviek DORA Article 28 vrátane zmluvných dojednaní IKT podporujúcich kritické alebo dôležité funkcie, prehľadu subdodávok, vlastníctva aktív a dôkazov, že register je udržiavaný v rámci vášho rámca riadenia rizík IKT.“
Prvá odpoveď znie sebavedomo: „Máme zoznam dodávateľov.“
Potom začnú otázky.
Ktorí dodávatelia podporujú autorizáciu platieb? Ktoré zmluvy obsahujú práva na audit, podporu pri incidentoch, záväzky týkajúce sa umiestnenia údajov, práva na ukončenie a podporu pri odchode? Ktoré SaaS platformy spracúvajú osobné údaje zákazníkov? Ktoré cloudové služby podporujú kritické alebo dôležité funkcie? Ktorí subdodávatelia stoja za poskytovateľom riadenej bezpečnostnej služby? Ktorý interný vlastník aktíva schválil danú závislosť? Ktoré riziká v pláne ošetrenia rizík podľa ISO/IEC 27001:2022 sú prepojené s týmito poskytovateľmi? Ktoré položky vo vyhlásení o uplatniteľnosti odôvodňujú kontroly?
O 10:30 má tím otvorené štyri tabuľkové prehľady, export z CMDB, priečinok SharePoint so zmluvami vo formáte PDF, zoznam sprostredkovateľov pre oblasť ochrany súkromia, výkaz cloudovej fakturácie a manuálne vedený nástroj na evidenciu SaaS. Ani jeden zdroj nesedí s ostatnými.
Toto je praktická výzva registra informácií podľa DORA v roku 2026. Implementácia DORA sa posunula od „potrebujeme cestovnú mapu“ k „ukážte mi dôkazy“. Pre finančné subjekty, externých poskytovateľov IKT služieb, CISO, interných audítorov a tímy súladu už register nie je administratívna šablóna. Je spojovacím prvkom medzi zmluvami IKT, dodávateľským rizikom, reťazcami subdodávok, cloudovými službami, aktívami IKT, kritickými funkciami, vlastníctvom správy a riadenia a dôkazmi podľa ISO/IEC 27001:2022.
Prístup Clarysec je jednoduchý: nevytvárajte register informácií podľa DORA ako samostatný artefakt súladu. Vytvorte ho ako živú vrstvu dôkazov v rámci svojho ISMS, podporenú správou aktív, bezpečnosťou dodávateľov, správou a riadením používania cloudových služieb, mapovaním zákonných a regulačných povinností, auditnými metadátami a sledovateľnosťou ošetrenia rizík.
Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls identifikuje tri kotviace kontroly prílohy A normy ISO/IEC 27001:2022 ako osobitne relevantné pre túto tému: A.5.9, inventarizácia informácií a ďalších súvisiacich aktív; A.5.19, informačná bezpečnosť vo vzťahoch s dodávateľmi; a A.5.20, riešenie informačnej bezpečnosti v dodávateľských zmluvách. Tieto kontroly nie sú dodatočná administratíva. Sú prevádzkovou chrbticou na preukázanie, že register je úplný, má vlastníka, je aktuálny a vhodný na audit.
Čo DORA očakáva od registra informácií
DORA sa uplatňuje od 17. januára 2025 a vytvára súbor pravidiel prevádzkovej odolnosti IKT pre finančný sektor v oblastiach riadenia rizík IKT, nahlasovania incidentov, testovania odolnosti, rizika tretích strán, zmluvných dojednaní, dohľadu nad kritickými externými poskytovateľmi IKT služieb a opatrení dohľadu. Pre finančné subjekty, ktoré sú zároveň identifikované podľa vnútroštátnej transpozície NIS2, funguje DORA ako odvetvovo špecifický právny akt Únie pre zodpovedajúce požiadavky na riadenie kybernetických rizík a nahlasovanie incidentov.
Povinnosť viesť register je súčasťou disciplíny riadenia rizík tretích strán v oblasti IKT podľa DORA. DORA Article 28 vyžaduje, aby finančné subjekty riadili riziká tretích strán v oblasti IKT ako súčasť rámca riadenia rizík IKT, zostali plne zodpovedné za súlad aj pri využívaní poskytovateľov IKT, viedli register informácií pre zmluvné dojednania týkajúce sa IKT služieb a rozlišovali dojednania podporujúce kritické alebo dôležité funkcie.
DORA Article 29 dopĺňa hľadiská rizika koncentrácie a subdodávok. Patria sem nahraditeľnosť, viaceré závislosti od toho istého alebo prepojených poskytovateľov, subdodávky v tretích krajinách, obmedzenia pri insolventnosti, obnova údajov, súlad s ochranou údajov a dlhé alebo zložité reťazce subdodávok.
DORA Article 30 následne definuje zmluvný obsah, ktorý budú audítori očakávať. Zahŕňa opisy služieb, podmienky subdodávok, miesta spracúvania údajov, záväzky v oblasti ochrany údajov, povinnosti prístupu a obnovy, úrovne služieb, podporu pri incidentoch, spoluprácu s orgánmi, práva na ukončenie, účasť na školeniach, práva na audit a stratégie ukončenia pre dojednania podporujúce kritické alebo dôležité funkcie.
Vyspelý register informácií podľa DORA musí odpovedať na štyri praktické otázky.
| Otázka registra | Čo dohľadové orgány a audítori skutočne testujú |
|---|---|
| Aké IKT služby používate? | Úplnosť zmluvných dojednaní IKT, cloudových služieb, SaaS platforiem a riadených služieb |
| Kto ich poskytuje a kto je za nimi? | Vlastníctvo dodávateľov, reťazce subdodávok, ďalší sprostredkovatelia a riziko koncentrácie |
| Čo podporujú? | Väzba na kritické alebo dôležité funkcie, obchodné procesy, aktíva IKT a údaje |
| Viete preukázať správu a riadenie? | Zmluvy, posúdenia rizík, kontroly, vlastníci, monitorovanie, práva na audit, pripravenosť na ukončenie a metadáta preskúmania |
Slabý register je tabuľkový prehľad, ktorý obstarávanie aktualizuje raz ročne. Silný register je riadený súbor údajov, ktorý prepája portfólio dodávateľov, inventarizáciu aktív, cloudový register, úložisko zmlúv, záznamy o ochrane súkromia, plány kontinuity činností, postupy reakcie na incidenty, register rizík a dôkazy podľa ISO/IEC 27001:2022.
Prečo je ISO 27001 najrýchlejšia cesta k obhájiteľnému registru DORA
ISO/IEC 27001:2022 poskytuje organizáciám štruktúru systému manažérstva, ktorá dôkazom podľa DORA často chýba. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia definovala kontext, zainteresované strany, zákonné, regulačné a zmluvné povinnosti, rozsah, rozhrania a závislosti. Práve sem patrí DORA v rámci ISMS, pretože register závisí od znalosti toho, ktoré finančné služby, poskytovatelia IKT, zákazníci, orgány, cloudové platformy a outsourcované procesy spadajú do rozsahu.
Kapitoly 5.1 až 5.3 vyžadujú vedenie, zosúladenie politiky, zdroje, zodpovednosti a reportovanie vrcholovému manažmentu. Je to dôležité, pretože DORA Article 5 kladie zodpovednosť na riadiaci orgán za definovanie, schvaľovanie, dohľad a zachovanie zodpovednosti za rámec riadenia rizík IKT vrátane politík pre externé IKT služby a reportovacích kanálov.
Kapitoly 6.1.1 až 6.1.3 sú miestom, kde sa register stáva založeným na riziku. ISO/IEC 27001:2022 vyžaduje opakovateľný proces posudzovania rizík, vlastníkov rizík, analýzu pravdepodobnosti a následkov, ošetrenie rizík, výber kontrol, vyhlásenie o uplatniteľnosti a schválenie zostatkového rizika vlastníkom rizika. Register podľa DORA, ktorý nie je prepojený s ošetrením rizík, sa stáva statickým zoznamom. Register prepojený s rizikovými scenármi, kontrolami a vlastníkmi sa stáva auditným dôkazom.
Kapitoly 8.1 až 8.3 následne menia plánovanie na riadené prevádzkové činnosti. Podporujú zdokumentované informácie, prevádzkové plánovanie a riadenie, riadenie zmien, riadenie externe poskytovaných procesov, plánované prehodnotenia rizík, implementáciu ošetrenia rizík a uchovávanie dôkazov. Pre rok 2026 je to kritické, pretože dohľadové orgány sa nepýtajú len na to, či register v určitom okamihu existoval. Pýtajú sa, či sú nové zmluvy, zmenené služby, noví subdodávatelia, migrácie do cloudového prostredia a udalosti ukončenia zachytené v cykle správy a riadenia.
Vrstva kontrol prílohy A posilňuje rovnakú pointu. Vzťahy s dodávateľmi, dodávateľské zmluvy, riziko dodávateľského reťazca IKT, monitorovanie služieb dodávateľov, obstaranie a ukončenie cloudových služieb, riadenie incidentov, kontinuita činností, zákonné a regulačné povinnosti, ochrana súkromia, zálohy, logovanie, monitorovanie, kryptografia a riadenie zraniteľností — to všetko prispieva ku kvalite registra.
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint vysvetľuje základ správy aktív vo fáze Controls in Action, krok 22:
Vo svojej najstrategickejšej podobe slúži inventarizácia aktív ako centrálny nervový systém vášho ISMS. Určuje, ako sa zriaďuje prístup (8.2), kde sa musí uplatniť šifrovanie (8.24), ktoré systémy vyžadujú zálohovanie (8.13), aké logy sa zhromažďujú (8.15), a dokonca aj to, ako sa uplatňujú politiky klasifikácie a uchovávania (5.10, 8.10).
Tento citát vystihuje praktickú pointu. Spoľahlivý register informácií podľa DORA nemôžete udržiavať, ak nie je spoľahlivá podkladová inventarizácia aktív. Ak váš register uvádza „Core Banking SaaS“, ale inventarizácia aktív nezobrazuje rozhrania API, servisné účty, súbory údajov, zdroje logov, šifrovacie kľúče, závislosti zálohovania a vlastníkov, register je z pohľadu auditu neúplný.
Dátový model Clarysec: jeden register, viacero pohľadov na dôkazy
Register informácií podľa DORA nemá nahradiť váš register dodávateľov, register aktív ani cloudový register. Má ich prepájať. Clarysec zvyčajne navrhuje register ako hlavnú vrstvu dôkazov s riadenými väzbami na existujúce záznamy ISMS.
Minimálny životaschopný model má sedem prepojených objektov.
| Objekt | Príklady polí | Vlastník dôkazov |
|---|---|---|
| Zmluvné dojednanie IKT | ID zmluvy, opis služby, dátum začiatku, dátum ukončenia, obnova, práva na ukončenie, práva na audit | Právne oddelenie alebo riadenie dodávateľov |
| Externý poskytovateľ IKT služieb | Právny subjekt, umiestnenie, kritickosť, certifikácie, stav due diligence, hodnotenie rizika | Riadenie dodávateľov |
| Subdodávateľ alebo ďalší sprostredkovateľ | Rola služby, prístup k údajom, krajina, stav schválenia, prenesené povinnosti | Riadenie dodávateľov a ochrana súkromia |
| IKT služba | SaaS, cloudový hosting, riadená bezpečnosť, platobná brána, dátová analytika | IT alebo vlastník služby |
| Podporovaná funkcia | Príznak kritickej alebo dôležitej funkcie, obchodný proces, priorita obnovy | Vlastník obchodnej funkcie |
| Informačné aktíva a aktíva IKT | Aplikácie, súbory údajov, rozhrania API, logy, kľúče, účty, repozitáre, infraštruktúra | Vlastník aktíva |
| Dôkazy ISMS | Posúdenie rizík, mapovanie SoA, zmluvné ustanovenia, preskúmanie monitorovania, postup reakcie na incident, test ukončenia | CISO alebo súlad |
Táto štruktúra umožňuje jednému registru podporiť viacero požiadaviek na dôkazy. Dohľadový orgán podľa DORA si môže zobraziť zmluvné dojednania podporujúce kritické alebo dôležité funkcie. Audítor ISO môže sledovať kontroly dodávateľov k odkazom na prílohu A a ošetrenie rizík. Posudzovateľ GDPR môže vidieť sprostredkovateľov, kategórie údajov, miesta a záväzky v oblasti ochrany údajov. Posudzovateľ orientovaný na NIST môže preskúmať správu dodávateľského reťazca, kritickosť dodávateľov, zmluvné požiadavky a monitorovanie životného cyklu.
Register sa tak stáva viac než odpoveďou na otázku „kto sú naši dodávatelia?“. Stáva sa grafom závislostí.
Základy politík, vďaka ktorým je register vhodný na audit
Súbor politík Clarysec dáva registru prevádzkové ukotvenie. Pre MSP začína Politika bezpečnosti tretích strán a dodávateľov – MSP Politika bezpečnosti tretích strán a dodávateľov – MSP jasnou požiadavkou na register:
Register dodávateľov musí viesť a aktualizovať administratívny alebo obstarávací kontakt. Musí obsahovať:
Tá istá politika pre MSP stanovuje, že zmluvy musia obsahovať definované bezpečnostné povinnosti:
Zmluvy musia obsahovať povinné ustanovenia pokrývajúce:
Aj keď citované ustanovenia v samotnej politike uvádzajú zoznamy polí a kategórie povinných ustanovení, implementačné posolstvo je priame: správa dodávateľov musí byť zdokumentovaná, priradená a zmluvne presadzovaná.
Pre podnikové prostredia je Clarysec Politika riadenia rizík závislosti od dodávateľov Politika riadenia rizík závislosti od dodávateľov ešte bližšie očakávaniam dohľadu podľa DORA:
Register závislostí od dodávateľov: VMO musí viesť aktuálny register všetkých kritických dodávateľov vrátane údajov, ako sú poskytované služby/produkty; či je dodávateľ jediným zdrojom; dostupní alternatívni dodávatelia alebo nahraditeľnosť; aktuálne zmluvné podmienky; a posúdenie dopadu, ak by dodávateľ zlyhal alebo bol kompromitovaný. Register musí jasne identifikovať dodávateľov s vysokou mierou závislosti (napr. tých, pri ktorých neexistuje rýchla alternatíva).
Toto sa presne mapuje na riziko koncentrácie a nahraditeľnosti podľa DORA Article 29. Ak je dodávateľ jediným zdrojom, podporuje kritickú funkciu, pôsobí v tretej krajine, používa dlhý reťazec subdodávok a nemá otestovanú cestu ukončenia, register nemá toto riziko skrývať vo voľnej textovej poznámke. Má ho označiť, priradiť vlastníka a prepojiť s ošetrením rizík.
Podniková Politika bezpečnosti tretích strán a dodávateľov Clarysec Politika bezpečnosti tretích strán a dodávateľov explicitne vymedzuje rozsah:
Vzťahuje sa na priamych dodávateľov aj, ak je to relevantné, na ich subdodávateľov a zahŕňa softvér tretích strán, infraštruktúru, podporu a riadené služby.
Táto veta je častou medzerou pri DORA. Mnohé organizácie evidujú priamych poskytovateľov IKT, ale nedokumentujú subdodávateľov, ďalších sprostredkovateľov, nástroje riadených služieb, podporné platformy ani softvér tretích strán vložený do služby.
Dôležité sú aj zmluvné dôkazy. Tá istá podniková politika zahŕňa:
Práva na audit, kontrolu a vyžiadanie bezpečnostných dôkazov
Táto formulácia má byť viditeľná vo vašom kontrolnom zozname preskúmania zmlúv. Ak zmluva s kritickým poskytovateľom IKT neobsahuje práva na audit alebo práva na vyžiadanie dôkazov, register musí označiť nápravné opatrenie.
Rovnako dôležité sú dôkazy o aktívach. Clarysec SME Politika správy aktív Politika správy aktív – MSP uvádza:
IT Lead musí viesť štruktúrovanú inventarizáciu aktív, ktorá zahŕňa minimálne tieto polia:
Podniková Politika správy aktív Politika správy aktív podobne uvádza:
Inventarizácia aktív musí obsahovať minimálne:
Register nemusí duplikovať každé pole aktíva, ale musí odkazovať na inventarizáciu aktív. Ak SaaS na monitorovanie platieb podporuje detekciu podvodov, register podľa DORA má odkazovať na aplikačné aktívum, dátové aktívum, servisné účty, integrácie API, zdroje logov a vlastníka obchodnej funkcie.
Cloudové služby si zaslúžia samostatný pohľad. Clarysec SME Politika používania cloudových služieb Politika používania cloudových služieb – MSP vyžaduje:
Register cloudových služieb musí viesť poskytovateľ IT služieb alebo GM. Musí zaznamenávať:
Toto je osobitne cenné pri odhaľovaní tieňového IT. Register podľa DORA, ktorý vylučuje cloudové služby nakúpené mimo obstarávania, neprejde praktickým testom úplnosti.
Napokon Politika právneho a regulačného súladu Clarysec Politika právneho a regulačného súladu mení súlad naprieč rámcami na požiadavku ISMS:
Všetky zákonné a regulačné povinnosti musia byť mapované na konkrétne politiky, kontroly a vlastníkov v rámci systému manažérstva informačnej bezpečnosti (ISMS).
To je most medzi registrom podľa DORA a dôkazmi ISO 27001. Register nemá ukazovať len dodávateľov. Má ukazovať, ktoré politiky, kontroly a vlastníci napĺňajú regulačnú povinnosť.
Mapovanie požiadaviek DORA na ISO 27001 a dôkazy Clarysec
Nasledujúca tabuľka kombinuje kľúčové očakávania registra s kontrolami prílohy A normy ISO/IEC 27001:2022 a praktickými dôkazovými artefaktmi Clarysec.
| Požiadavka registra podľa DORA | Dôkazová kotva ISO/IEC 27001:2022 | Politika alebo nástroj Clarysec | Praktický dôkazový artefakt |
|---|---|---|---|
| Register všetkých zmluvných dojednaní týkajúcich sa IKT služieb | A.5.20, riešenie informačnej bezpečnosti v dodávateľských zmluvách | Politika bezpečnosti tretích strán a dodávateľov – MSP | Register zmlúv s ID zmluvy, vlastníkom, dátumami, stavom obnovy a kľúčovými ustanoveniami |
| Identifikácia kritických alebo dôležitých funkcií | Kapitoly 4.3, 6.1.2, 8.1 a A.5.9 | Politika riadenia rizík závislosti od dodávateľov | Príznak kritickosti prepojený na obchodnú funkciu, posúdenie rizík a vlastníka aktíva |
| Mapovanie dodávateľov na aktíva | A.5.9, inventarizácia informácií a ďalších súvisiacich aktív | Politika správy aktív | Záznamy inventarizácie aktív prepojené so záznamami dodávateľa a IKT služby |
| Prehľad o reťazci subdodávok | A.5.19, vzťahy s dodávateľmi a A.5.21, riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT | Politika bezpečnosti tretích strán a dodávateľov | Záznamy due diligence, záznamy ďalších sprostredkovateľov a dôkazy o prenesených povinnostiach |
| Monitorovanie dodávateľov | A.5.22, monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov | Politika riadenia rizík závislosti od dodávateľov | Štvrťročné preskúmania, dôkazy uistenia, reportovanie SLA a sledovanie problémov |
| Správa a riadenie cloudových služieb a ukončenie | A.5.23, informačná bezpečnosť pri používaní cloudových služieb | Politika používania cloudových služieb – MSP | Register cloudových služieb, posúdenie cloudového rizika a plán ukončenia |
| Práva na audit a kontrolu | A.5.20 a A.5.35, nezávislé preskúmanie informačnej bezpečnosti | Politika bezpečnosti tretích strán a dodávateľov | Kontrolný zoznam zmluvných ustanovení a práva na vyžiadanie dôkazov |
| Mapovanie zákonných a regulačných povinností | Kapitoly 4.2, 4.3, 6.1.3 a A.5.31, zákonné, štatutárne, regulačné a zmluvné požiadavky | Politika právneho a regulačného súladu | Mapa povinností DORA prepojená na politiky, kontroly a vlastníkov |
| Aktuálnosť dôkazov a metadáta | Kapitola 7.5 a Kapitola 9.1 | Politika monitorovania auditov a súladu – MSP | Export registra so zdrojovým systémom, osobou zodpovednou za zber, dátumom, preskúmavateľom a stavom schválenia |
Práve v tomto mapovaní prestáva byť register tabuľkovým prehľadom a stáva sa modelom dôkazov. Každý riadok má mať vlastníka zmluvy, vlastníka dodávateľa, vlastníka služby, vlastníka obchodnej funkcie a vlastníka súladu. Každý kritický vzťah má mať záznam o riziku, kontrolný zoznam zmluvných ustanovení, väzbu na aktívum a periodicitu monitorovania.
Praktický príklad: mapovanie jednej zmluvy IKT na dôkazy ISO 27001
Predstavte si, že finančný subjekt používa cloudovú platformu na analytiku podvodov. Služba prijíma metadáta transakcií, podporuje skórovanie podvodov v reálnom čase, integruje sa s platobnou platformou, ukladá pseudonymizované identifikátory zákazníkov, používa subdodávateľa cloudového hostingu a poskytuje riadenú podporu zo schváleného umiestnenia v tretej krajine.
Slabý riadok registra hovorí: „Dodávateľ: FraudCloud. Služba: analytika podvodov. Zmluva podpísaná. Kritické: áno.“
Riadok registra na úrovni dohľadu vyzerá úplne inak.
| Pole registra | Príklad záznamu |
|---|---|
| Poskytovateľ IKT | FraudCloud Ltd |
| IKT služba | Cloudová analytika podvodov a skórovacie API |
| ID zmluvy | LEG-ICT-2026-014 |
| Podporovaná funkcia | Detekcia platobných podvodov, kritická alebo dôležitá funkcia |
| Vlastník obchodnej funkcie | Vedúci prevádzky platieb |
| Vlastník IKT | Vedúci platformového inžinierstva |
| Väzby na aktíva | APP-042 API skórovania podvodov, DATA-119 metadáta transakcií, API-017 integrácia platobnej brány, LOG-088 auditné logy podvodov |
| Rola pri údajoch | Sprostredkovateľ pre metadáta transakcií a pseudonymizované identifikátory zákazníkov |
| Umiestnenia | Primárne spracúvanie v regióne EÚ, podporný prístup zo schváleného umiestnenia v tretej krajine |
| Subdodávatelia | Poskytovateľ cloudového hostingu, platforma podporných ticketov |
| Kľúčové ustanovenia | Podpora pri incidentoch, práva na audit, oznámenie subdodávateľa, vrátenie údajov, úrovne služieb, podpora pri ukončení |
| Dôkazy ISO | Posúdenie dodávateľského rizika, záznam inventarizácie aktív, odkazy SoA, kontrolný zoznam preskúmania zmluvy, cloudové posúdenie, preskúmanie monitorovania |
| Rizikové príznaky DORA | Kritická funkcia, podpora z tretej krajiny, subdodávky, riziko koncentrácie pri absencii alternatívy |
| Periodicita preskúmania | Štvrťročné preskúmanie výkonnosti, ročné uistenie dodávateľa, spúšťacie preskúmanie pri zmene subdodávateľa alebo architektúry |
Tím súladu teraz vie pripraviť koherentný balík dôkazov. Register dodávateľov preukazuje, že poskytovateľ existuje a má vlastníka. Inventarizácia aktív preukazuje, že interné systémy, rozhrania API, súbory údajov a logy sú známe. Kontrolný zoznam zmluvy preukazuje, že povinné ustanovenia DORA boli preskúmané. Posúdenie rizík preukazuje, že boli zohľadnené koncentrácia, subdodávky, ochrana údajov a prevádzková odolnosť. Vyhlásenie o uplatniteľnosti ukazuje, ktoré kontroly boli vybrané. Preskúmanie monitorovania preukazuje, že dojednanie sa po zaradení dodávateľa do riadenia nestratilo zo zreteľa.
Zenith Blueprint, fáza Risk Management, krok 13, odporúča presne tento typ sledovateľnosti:
Krížovo odkazujte na predpisy: Ak sú určité kontroly implementované konkrétne na účely súladu s GDPR, NIS2 alebo DORA, môžete to uviesť buď v registri rizík (ako súčasť odôvodnenia dopadu rizika), alebo v poznámkach SoA.
Takto sa register podľa DORA stáva dôkazom ISO 27001, nie paralelnou byrokraciou.
Reťazec dodávateľov a subdodávateľov je miesto, kde kvalita registra zlyháva
Najväčšie zlyhania registra nespôsobujú chýbajúci hlavní dodávatelia. Spôsobujú ich skryté reťazce závislostí.
Poskytovateľ riadenej bezpečnostnej služby môže používať platformu SIEM, agenta telemetrie koncových bodov, tiketovací systém a offshore tím triáže. Spracovateľ platieb môže závisieť od cloudového hostingu, služieb identít, databáz podvodov a konektivity vyrovnania. Poskytovateľ SaaS sa môže spoliehať na viacerých ďalších sprostredkovateľov pre analytiku, e-mail, observability, zákaznícku podporu a zálohy.
DORA Article 29 núti venovať pozornosť riziku koncentrácie a subdodávok. NIS2 Article 21 tiež vyžaduje bezpečnosť dodávateľského reťazca pre priamych dodávateľov a poskytovateľov služieb a očakáva, že subjekty budú zohľadňovať zraniteľnosti špecifické pre každého priameho dodávateľa, celkovú kvalitu produktov, praktiky kybernetickej bezpečnosti dodávateľov a postupy bezpečného vývoja. Pre finančné subjekty pokryté DORA pôsobí DORA ako odvetvovo špecifický súbor pravidiel pre prekrývajúce sa požiadavky NIS2 na riadenie kybernetických rizík a nahlasovanie incidentov, no logika dodávateľského reťazca je zosúladená.
Clarysec Zenith Blueprint, fáza Controls in Action, krok 23, poskytuje praktický pokyn:
Pri každom kritickom dodávateľovi identifikujte, či používa subdodávateľov (ďalších sprostredkovateľov), ktorí môžu mať prístup k vašim údajom alebo systémom. Zdokumentujte, ako sú vaše požiadavky informačnej bezpečnosti prenesené na tieto strany, buď prostredníctvom zmluvných podmienok vášho dodávateľa, alebo vašich vlastných priamych ustanovení.
Práve tu mnohé organizácie potrebujú v roku 2026 nápravné opatrenia. Zmluvy podpísané pred prípravou na DORA nemusia obsahovať transparentnosť subdodávateľov, práva na auditné dôkazy, spoluprácu s orgánmi, podporu pri incidentoch, podporu pri ukončení ani záväzky týkajúce sa umiestnenia. Register má preto obsahovať stav nápravy zmluvy, napríklad dokončené, medzera akceptovaná, prebieha opätovné rokovanie alebo vyžaduje sa možnosť ukončenia.
Súlad naprieč rámcami: DORA, NIS2, GDPR a NIST potrebujú rovnakú pravdu o závislostiach
Dobre navrhnutý register informácií podľa DORA podporuje viac než DORA.
NIS2 Article 20 robí kybernetickú bezpečnosť zodpovednosťou riadiaceho orgánu prostredníctvom schvaľovania, dohľadu a školení. Article 21 vyžaduje analýzu rizík, politiky, riešenie incidentov, kontinuitu, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a údržbu, posúdenie účinnosti, kybernetickú hygienu, kryptografiu, bezpečnosť HR, riadenie prístupu, správu aktív a MFA, ak je to vhodné. Tieto oblasti sa výrazne prekrývajú s ISO/IEC 27001:2022 a modelom dôkazov registra.
GDPR dopĺňa zodpovednosť v oblasti ochrany súkromia. Jeho územná pôsobnosť sa môže vzťahovať na organizácie v EÚ aj mimo EÚ, ktoré spracúvajú osobné údaje v kontexte prevádzok v EÚ, ponúkajú tovar alebo služby osobám v EÚ alebo monitorujú ich správanie. Definície GDPR pre prevádzkovateľa, sprostredkovateľa, spracúvanie, pseudonymizáciu a porušenie ochrany osobných údajov sú priamo relevantné pre mapovanie dodávateľov IKT. Ak register podľa DORA identifikuje poskytovateľov IKT a subdodávateľov, ale neidentifikuje roly pri spracúvaní osobných údajov, kategórie údajov, umiestnenia a ochranné opatrenia, nebude podporovať dôkazy GDPR.
NIST CSF 2.0 poskytuje ďalší užitočný pohľad. Jeho funkcia GOVERN vyžaduje, aby organizácie rozumeli poslaniu, očakávaniam zainteresovaných strán, závislostiam, zákonným a zmluvným požiadavkám, službám, od ktorých závisia iní, a službám, od ktorých závisí organizácia. Výstupy dodávateľského reťazca GV.SC vyžadujú program riadenia rizík dodávateľského reťazca, definované roly dodávateľov, integráciu do podnikového riadenia rizík, kritickosť dodávateľov, zmluvné požiadavky, due diligence, monitorovanie životného cyklu, koordináciu incidentov a plánovanie po ukončení vzťahu.
Praktický pohľad na súlad naprieč rámcami vyzerá takto.
| Potreba dôkazov | Pohľad DORA | Pohľad dôkazov ISO 27001 | Pohľad NIST CSF 2.0 | Pohľad GDPR |
|---|---|---|---|---|
| Úplnosť dodávateľov IKT | Register zmluvných dojednaní týkajúcich sa IKT služieb | Register dodávateľov a riadenie externe poskytovaných procesov | Identifikácia a prioritizácia dodávateľov podľa GV.SC | Záznamy o sprostredkovateľoch a ďalších sprostredkovateľoch |
| Kritickosť | Príznak kritickej alebo dôležitej funkcie | Posúdenie rizík, dopad na podnikanie a vlastníctvo aktív | Kontext organizácie a kritické služby | Riziko pre dotknuté osoby, ak ide o osobné údaje |
| Zmluvné ustanovenia | Zmluvný obsah podľa DORA Article 30 | Dôkazy kontrol v dodávateľských zmluvách | Zmluvné požiadavky kybernetickej bezpečnosti | Podmienky spracúvania údajov a ochranné opatrenia |
| Subdodávky | Reťazec subdodávateľov a riziko koncentrácie | Monitorovanie dodávateľov a prenesené povinnosti | Monitorovanie životného cyklu dodávateľského reťazca | Transparentnosť ďalších sprostredkovateľov a ochranné opatrenia pri prenosoch |
| Ukončenie | Ukončenie, prechod a vrátenie údajov | Dôkazy o ukončení cloudu, kontinuite a životnom cykle aktív | Plánovanie po ukončení vzťahu | Dôkazy o vrátení, výmaze a uchovávaní |
Cieľom nie je vytvoriť päť pracovných tokov súladu. Cieľom je vytvoriť jeden model dôkazov, ktorý možno filtrovať pre každý rámec.
Očami audítora
Dohľadový orgán podľa DORA sa zameria na úplnosť, kritické alebo dôležité funkcie, zmluvné dojednania, subdodávky, riziko koncentrácie, správu a riadenie, reportovanie a to, či sa register udržiava. Môže si vyžiadať vzorku kritických poskytovateľov a očakávať zmluvné ustanovenia, posúdenia rizík, stratégie ukončenia, podmienky podpory pri incidentoch a dôkazy dohľadu manažmentu.
Audítor ISO/IEC 27001:2022 začne rozsahom ISMS, zainteresovanými stranami, regulačnými povinnosťami, posúdením rizík, vyhlásením o uplatniteľnosti, prevádzkovým riadením a zdokumentovanými informáciami. Otestuje, či sa udržiavajú vzťahy s dodávateľmi a inventarizácie aktív, či sú externe poskytované procesy riadené, či zmeny spúšťajú prehodnotenie a či dôkazy podporujú deklarovanú implementáciu kontrol.
Posudzovateľ NIST CSF 2.0 sa často bude pýtať na aktuálne a cieľové profily, očakávania správy a riadenia, mapovanie závislostí, kritickosť dodávateľov, integráciu zmlúv, monitorovanie životného cyklu a prioritizované zlepšovacie opatrenia.
Audítor orientovaný na COBIT 2019 bude typicky skúmať vlastníctvo správy a riadenia, priradenie zodpovednosti za procesy, rozhodovacie právomoci, monitorovanie výkonnosti, reportovanie rizík a uistenie. Bude sa pýtať, či je register vložený do podnikovej správy a riadenia, nie iba udržiavaný funkciou súladu.
Zenith Controls pomáha tieto pohľady preložiť tým, že tému kotví v kontrolách prílohy A normy ISO/IEC 27001:2022 A.5.9, A.5.19 a A.5.20 a následne využíva interpretáciu súladu naprieč rámcami na prepojenie aktív, vzťahov s dodávateľmi a dodávateľských zmlúv s regulačnými, riadiacimi a auditnými očakávaniami. To je rozdiel medzi „máme register“ a „vieme register obhájiť“.
Clarysec SME Politika monitorovania auditov a súladu Politika monitorovania auditov a súladu – MSP sa venuje aj kvalite dôkazov:
Metadáta (napr. kto ich zhromaždil, kedy a z ktorého systému) musia byť zdokumentované.
Táto požiadavka je malá, ale významná. Pri požiadavke na dôkazy v roku 2026 je tabuľkový prehľad bez metadát zberu slabý. Export registra zobrazujúci zdrojový systém, dátum extrakcie, zodpovedného vlastníka, stav schválenia a periodicitu preskúmania je silnejší.
Bežné zistenia k registru informácií podľa DORA v roku 2026
Najčastejšie zistenia sú praktické.
Po prvé, neúplnosť registra. Cloudové služby, podporné nástroje, monitorovacie platformy, vývojárske nástroje, tiketovacie systémy a platformy dátovej analytiky často chýbajú, pretože obstarávanie ich neklasifikovalo ako IKT služby.
Po druhé, slabá logika kritickosti. Niektoré tímy označujú dodávateľov ako kritických podľa výdavkov, nie podľa dopadu na činnosť organizácie. DORA sa zaujíma o to, či IKT služba podporuje kritickú alebo dôležitú funkciu.
Po tretie, medzery v zmluvných dôkazoch. Staršie dodávateľské zmluvy často neobsahujú ustanovenia pripravené na DORA týkajúce sa práv na audit, podpory pri incidentoch, subdodávok, spolupráce s orgánmi, miest poskytovania služieb, vrátenia údajov, ukončenia a podpory pri odchode.
Po štvrté, slabé prepojenie na aktíva. Registre uvádzajú dodávateľov, ale neprepájajú ich s aplikáciami, súbormi údajov, rozhraniami API, identitami, logmi, infraštruktúrou ani podnikovými službami. To sťažuje analýzu dopadu pri incidentoch a zlyhaniach dodávateľov.
Po piate, nepriehľadnosť subdodávateľov. Organizácia pozná hlavného poskytovateľa, ale nevie vysvetliť, ktorí ďalší sprostredkovatelia alebo technickí poskytovatelia službu podporujú.
Po šieste, chýbajúce spúšťače zmien. Poskytovateľ pridá nového ďalšieho sprostredkovateľa, zmení región hostingu, migruje architektúru alebo upraví podporný prístup, ale nikto neaktualizuje register ani neprehodnotí riziko.
Po siedme, chýbajúca periodicita dôkazov. Nie je definovaná frekvencia preskúmania dodávateľov, preskúmania zmlúv, overenia aktív, zosúladenia cloudového registra ani reportovania manažmentu.
Tieto problémy sú riešiteľné, ale iba vtedy, ak register má vlastníkov a pracovné toky.
Praktický 30-dňový plán zlepšenia
Začnite rozsahom. Identifikujte všetky funkcie organizácie, ktoré môžu byť podľa DORA kritické alebo dôležité. Pre každú funkciu uveďte IKT služby, od ktorých závisí. Nezačínajte výdavkami obstarávania. Začnite prevádzkovou závislosťou.
Zosúlaďte kľúčové zdroje údajov: register dodávateľov, úložisko zmlúv, inventarizáciu aktív a register cloudových služieb. Podľa potreby doplňte záznamy sprostredkovateľov pre ochranu súkromia a závislosti reakcie na incidenty. Cieľom nie je dokonalosť v prvý deň. Cieľom je jednotná chrbtica registra s jasne označenými neznámymi hodnotami.
Klasifikujte dodávateľov a služby podľa kritérií, ako sú podporovaná funkcia, citlivosť údajov, prevádzková nahraditeľnosť, koncentrácia, subdodávky, umiestnenia, dopad incidentu, čas obnovy a regulačná relevantnosť.
Preskúmajte zmluvy pre každé kritické alebo dôležité dojednanie IKT. Overte, či zmluva obsahuje opisy služieb, podmienky subdodávok, umiestnenia, záväzky ochrany údajov, prístup a obnovu, úrovne služieb, podporu pri incidentoch, práva na audit, spoluprácu s orgánmi, ukončenie, účasť na školeniach a podporu pri ukončení.
Zmapujte dôkazy ISO pre každé kritické dojednanie. Prepojte ich so záznamami aktív, položkami posúdenia rizík, kontrolami SoA, due diligence dodávateľa, preskúmaniami monitorovania, plánmi kontinuity, postupmi reakcie na incidenty a dôkazmi stratégie ukončenia.
Priraďte periodicitu. Kritickí poskytovatelia môžu vyžadovať štvrťročné preskúmanie, ročné uistenie, preskúmanie zmluvy pred obnovou a okamžité prehodnotenie pri významnej zmene. Nekritickí poskytovatelia môžu byť preskúmavaní ročne alebo pri spúšťacích udalostiach.
Použite tento kontrolný zoznam na premenu registra na prevádzkový proces:
- Vytvorte vlastníka registra DORA a zástupného vlastníka.
- Prepojte každý riadok registra s ID zmluvy a vlastníkom dodávateľa.
- Prepojte každú kritickú alebo dôležitú IKT službu s obchodnou funkciou a záznamami aktív.
- Doplňte polia pre subdodávateľov a ďalších sprostredkovateľov, aj keď sú spočiatku označené ako neznáme.
- Doplňte stav zmluvných ustanovení pre ustanovenia kritické podľa DORA.
- Doplňte odkazy na riziká podľa ISO/IEC 27001:2022 a SoA.
- Doplňte rolu podľa GDPR, osobné údaje a polia umiestnenia, ak sa uplatňujú.
- Doplňte periodicitu preskúmania a metadáta posledného preskúmania.
- Vytvorte eskalačné pravidlá pre chýbajúce ustanovenia, neznámych subdodávateľov a vysoké riziko koncentrácie.
- Reportujte metriky kvality registra manažmentu.
Práve tu spolu fungujú 30-kroková implementačná metóda Clarysec, súbor politík a Zenith Controls. Zenith Blueprint poskytuje implementačnú cestu od ošetrenia rizík a sledovateľnosti SoA v kroku 13 cez inventarizáciu aktív v kroku 22 až po kontroly dodávateľov v kroku 23. Politiky definujú, kto musí viesť registre, aké zmluvné dôkazy a dôkazy o aktívach musia existovať a ako sa zachytávajú metadáta súladu. Zenith Controls poskytuje kompas súladu naprieč rámcami na mapovanie tých istých dôkazov naprieč auditnými očakávaniami DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST a COBIT 19.
Premeňte register na dôkazy skôr, než sa spýta dohľadový orgán
Ak je váš register informácií podľa DORA stále tabuľkovým prehľadom odpojeným od zmlúv, aktív, dodávateľov, subdodávateľov a dôkazov ISO 27001, rok 2026 je čas to napraviť.
Začnite použitím Zenith Blueprint Zenith Blueprint na prepojenie ošetrenia rizík, inventarizácie aktív a správy dodávateľov. Použite Zenith Controls Zenith Controls na mapovanie kontrol prílohy A normy ISO/IEC 27001:2022 A.5.9, A.5.19 a A.5.20 na dôkazy súladu naprieč rámcami. Potom požiadavky operacionalizujte prostredníctvom politík Clarysec pre dodávateľov, aktíva, cloud, právny súlad a monitorovanie auditov vrátane Politika bezpečnosti tretích strán a dodávateľov – MSP, Politika riadenia rizík závislosti od dodávateľov, Politika bezpečnosti tretích strán a dodávateľov, Politika správy aktív – MSP, Politika správy aktív, Politika používania cloudových služieb – MSP, Politika právneho a regulačného súladu a Politika monitorovania auditov a súladu – MSP.
Najlepší čas na opravu kvality registra je pred požiadavkou orgánu, interným auditom, výpadkom dodávateľa alebo obnovou zmluvy. Druhý najlepší čas je teraz. Stiahnite si príslušné politiky Clarysec, zmapujte svoj aktuálny register voči vyššie uvedenému modelu dôkazov a objednajte si posúdenie registra DORA, aby ste rozptýlené údaje o dodávateľoch premenili na dôkazy na úrovni dohľadu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
