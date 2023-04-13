DORA menetapkan persyaratan teknis untuk entitas keuangan dan penyedia TIK di empat domain:

Manajemen risiko dan tata kelola TIK

Respons dan pelaporan insiden

Pengujian ketahanan operasional digital

Manajemen Risiko Pihak Ketiga

Berbagi informasi dianjurkan tetapi tidak diwajibkan.

Persyaratan akan diberlakukan secara proporsional, yang berarti entitas yang lebih kecil tidak akan diminta mematuhi standar yang sama dengan lembaga keuangan besar. Sementara RTS dan ITS untuk setiap domain masih dalam pengembangan, undang-undang DORA yang ada menawarkan beberapa insight tentang persyaratan umum.

Manajemen risiko dan tata kelola TIK

DORA membuat badan manajemen entitas yang bertanggung jawab atas manajemen TIK. Anggota dewan, pemimpin eksekutif, dan manajer senior lainnya diharapkan untuk menentukan strategi manajemen risiko yang tepat, secara aktif membantu pelaksanaannya, dan selalu memperbarui pengetahuan mereka tentang lingkungan risiko TIK. Pemimpin juga dapat dimintai pertanggungjawaban secara pribadi atas kegagalan entitas untuk mematuhi.



Entitas yang tercakup diharapkan untuk mengembangkan kerangka kerja manajemen risiko TIK yang komprehensif. Entitas harus memetakan sistem TIK mereka; mengidentifikasi dan mengklasifikasikan aset dan fungsi penting; dan mendokumentasikan ketergantungan antara aset, sistem, proses, dan penyedia layanan. Entitas harus melakukan penilaian risiko secara terus menerus terhadap sistem TIK mereka, mendokumentasikan dan mengklasifikasikan ancaman siber, serta mendokumentasikan langkah-langkah untuk memitigasi risiko yang telah diidentifikasi.

Sebagai bagian dari proses penilaian risiko, entitas harus melakukan analisis dampak bisnis untuk menilai bagaimana skenario spesifik dan gangguan parah dapat mempengaruhi bisnis. Entitas harus menggunakan hasil analisis ini untuk menetapkan tingkat toleransi risiko dan menginformasikan desain infrastruktur TI mereka. Entitas juga akan diminta untuk menerapkan langkah-langkah perlindungan keamanan siber yang sesuai, seperti kebijakan untuk manajemen identitas dan akses dan manajemen patch, bersama dengan kontrol teknis seperti sistem deteksi dan respons yang diperluas, perangkat lunak informasi keamanan dan manajemen peristiwa (SIEM), dan perangkat orkestrasi keamanan, otomatisasi, dan respons (SOAR).

Entitas juga perlu menetapkan rencana keberlangsungan bisnis dan pemulihan bencana untuk berbagai skenario risiko siber, seperti kegagalan layanan TIK, bencana alam, dan serangan siber. Rencana ini harus mencakup langkah-langkah pencadangan dan pemulihan data, proses pemulihan sistem, dan rencana untuk berkomunikasi dengan klien, mitra, dan pihak berwenang yang terkena dampak.

RTS yang menentukan elemen yang diperlukan dari kerangka kerja manajemen risiko entitas akan datang. Para ahli percaya mereka akan serupa dengan pedoman EBA yang ada tentang TIK dan manajemen risiko keamanan.

Respons dan pelaporan insiden

Entitas yang tercakup harus membangun sistem untuk memantau, mengelola, mencatat, mengklasifikasikan, dan melaporkan insiden terkait TIK. Bergantung pada tingkat keparahan insiden, entitas mungkin perlu membuat laporan kepada regulator dan klien serta mitra yang terkena dampak. Entitas akan diminta untuk mengajukan tiga jenis laporan yang berbeda untuk insiden kritis: laporan awal yang memberi tahu pihak berwenang, laporan menengah tentang kemajuan penyelesaian insiden, dan laporan akhir yang menganalisis akar penyebab insiden.

Aturan tentang bagaimana insiden harus diklasifikasikan, insiden mana yang harus dilaporkan, dan jadwal untuk pelaporan akan segera diterbitkan. ESA juga mencari cara untuk merampingkan pelaporan dengan membuat pusat informasi dan templat laporan yang umum.

Pengujian ketahanan operasional digital

Entitas harus menguji sistem TIK mereka secara teratur untuk mengevaluasi kekuatan perlindungan mereka dan mengidentifikasi kerentanan. Hasil tes ini, dan rencana untuk mengatasi kelemahan yang mereka temukan, akan dilaporkan dan divalidasi oleh otoritas yang berwenang terkait.

Entitas harus melakukan pengujian dasar, seperti penilaian kerentanan dan pengujian berbasis skenario, setahun sekali. Entitas keuangan yang dinilai memainkan peran penting dalam sistem keuangan juga perlu menjalani pengujian penetrasi yang dipimpin oleh ancaman (TLPT) setiap tiga tahun. Penyedia TIK penting entitas akan diminta untuk berpartisipasi dalam uji penetrasi ini juga. Standar teknis tentang bagaimana TLPT harus dilakukan akan segera hadir, tetapi kemungkinan besar akan selaras dengan kerangka kerja TIBER-EU red-teaming etis berbasis intelijen ancaman.

Manajemen Risiko Pihak Ketiga

Salah satu aspek unik dari DORA adalah bahwa DORA tidak hanya berlaku untuk entitas keuangan, tetapi juga untuk penyedia TIK yang melayani sektor keuangan.

Perusahaan keuangan diharapkan untuk mengambil peran aktif dalam mengelola risiko pihak ketiga TIK. Ketika mengalihdayakan fungsi-fungsi penting dan kritis, entitas keuangan harus menegosiasikan pengaturan kontrak khusus mengenai strategi keluar, audit, dan target kinerja untuk aksesibilitas, integritas, dan keamanan, di antaranya. Entitas tidak akan diizinkan untuk melakukan kontrak dengan penyedia TIK yang tidak dapat memenuhi persyaratan ini. Pihak berwenang yang kompeten diberi wewenang untuk menangguhkan atau mengakhiri kontrak yang tidak patuh. Komisi Eropa sedang menjajaki kemungkinan penyusunan klausul kontrak standar yang dapat digunakan oleh entitas dan penyedia TIK untuk memastikan perjanjian mereka sesuai dengan DORA.

Lembaga keuangan juga perlu memetakan ketergantungan TIK pihak ketiga mereka, dan mereka harus memastikan bahwa fungsi-fungsi penting dan kritis mereka tidak terlalu terkonsentrasi pada satu penyedia atau sekelompok kecil penyedia.

Penyedia layanan pihak ketiga TIK yang penting akan tunduk pada pengawasan langsung dari ESA yang relevan. Komisi Eropa masih mengembangkan kriteria untuk menentukan penyedia mana yang penting. Mereka yang memenuhi standar akan memiliki salah satu ESA yang ditugaskan sebagai Kepala Pengawas. Selain memberlakukan persyaratan DORA pada penyedia layanan penting, kepala pengawas akan diberdayakan untuk melarang penyedia layanan menandatangani kontrak dengan perusahaan keuangan atau penyedia layanan TIK lainnya yang tidak mematuhi DORA.

Berbagi informasi

Entitas keuangan harus menetapkan proses untuk belajar dari insiden terkait TIK internal dan eksternal. Untuk itu, DORA mendorong entitas untuk berpartisipasi dalam pengaturan pembagian intelijen ancaman secara sukarela. Setiap informasi yang dibagikan dengan cara ini harus tetap dilindungi berdasarkan pedoman yang relevan—misalnya, informasi identifikasi pribadi masih tunduk pada pertimbangan Peraturan Perlindungan Data Umum.