Beranda Page Title Digital Operational Resilience Act Apa yang dimaksud dengan Digital Operational Resilience Act (DORA)?
Jelajahi solusi DORA IBM Berlangganan pembaruan pengalaman pelanggan dan karyawan
Ilustrasi dengan kolase piktogram awan, diagram lingkaran, piktogram grafik
Apa itu DORA?

Digital Operational Resilience Act, atau DORA, adalah peraturan Uni Eropa (UE) yang menciptakan kerangka kerja manajemen risiko teknologi informasi dan komunikasi (TIK) yang mengikat dan komprehensif untuk sektor keuangan UE.

DORA menetapkan standar teknis yang harus diterapkan oleh entitas keuangan dan penyedia layanan teknologi pihak ketiga yang penting dalam sistem TIK mereka paling lambat 17 Januari 2025.

Tata kelola data untuk pemimpin data

Pelajari cara menerapkan tata kelola data dan privasi dalam skala besar dengan standar seluruh organisasi dan kemampuan silsilah data.

Konten terkait

Ubah talenta Anda dengan panduan kami

Tujuan DORA

DORA memiliki dua tujuan utama: untuk menangani manajemen risiko TIK secara komprehensif di sektor jasa keuangan dan untuk menyelaraskan peraturan manajemen risiko TIK yang telah ada di masing-masing negara anggota Uni Eropa.

Sebelum DORA, peraturan manajemen risiko untuk lembaga keuangan di Uni Eropa terutama berfokus pada memastikan bahwa perusahaan memiliki modal yang cukup untuk menutupi risiko operasional. Meskipun beberapa regulator Uni Eropa mengeluarkan panduan tentang manajemen risiko TIK dan keamanan (tautan berada di luar ibm.com), panduan ini tidak berlaku untuk semua entitas keuangan secara merata, dan sering kali panduan ini mengandalkan prinsip-prinsip umum daripada standar teknis yang spesifik. Dengan tidak adanya aturan manajemen risiko TIK tingkat Uni Eropa, negara-negara anggota Uni Eropa mengeluarkan persyaratan mereka sendiri. Tambal sulam peraturan ini telah terbukti sulit untuk diatasi oleh entitas keuangan.

Dengan DORA, Uni Eropa bertujuan untuk membuat kerangka kerja universal untuk mengelola dan memitigasi risiko TIK di sektor keuangan. Dengan menyelaraskan aturan manajemen risiko di seluruh Uni Eropa, DORA berupaya menghilangkan kesenjangan, tumpang tindih, dan konflik yang mungkin timbul di antara berbagai peraturan yang berbeda di berbagai negara Uni Eropa. Seperangkat aturan bersama dapat mempermudah entitas keuangan untuk mematuhi sekaligus meningkatkan ketahanan sistem keuangan Uni Eropa secara keseluruhan dengan memastikan bahwa setiap institusi memiliki standar yang sama.

Ruang lingkup DORA

DORA berlaku untuk semua lembaga keuangan di UE. Hal ini mencakup entitas keuangan tradisional, seperti bank, perusahaan investasi dan lembaga kredit, serta entitas non-tradisional, termasuk penyedia layanan aset kripto dan platform crowdfunding.

Khususnya, DORA juga berlaku untuk beberapa entitas yang biasanya dikecualikan dari peraturan keuangan. Misalnya, penyedia layanan pihak ketiga yang memasok sistem dan layanan TIK kepada perusahaan keuangan—seperti penyedia layanan cloud dan pusat data-harusmengikuti persyaratan DORA. DORA juga mencakup perusahaan-perusahaan yang menyediakan layanan informasi pihak ketiga yang penting, seperti layanan pemeringkatan kredit dan penyedia analisis data.

Status DORA saat ini

DORA pertama kali diusulkan oleh Komisi Eropa, yakni cabang eksekutif Uni Eropa yang bertanggung jawab untuk memperkenalkan undang-undang—pada bulan September 2020. Ini adalah bagian dari paket keuangan digital yang lebih besar yang juga mencakup inisiatif untuk mengatur aset kripto dan meningkatkan strategi keuangan digital UE secara keseluruhan. Dewan Uni Eropa dan Parlemen Eropa (badan legislatif yang bertanggung jawab untuk menyetujui undang-undang Uni Eropa) secara resmi mengadopsi DORA pada bulan November 2022. Entitas keuangan dan penyedia layanan TIK pihak ketiga memiliki waktu hingga 17 Januari 2025 untuk mematuhi DORA sebelum penegakan hukum dimulai.  

Meskipun Uni Eropa telah secara resmi mengadopsi DORA, detail-detail penting masih disempurnakan oleh Otoritas Pengawas Eropa (European Supervisory Authorities/ESA). ESA adalah regulator yang mengawasi sistem keuangan UE, termasuk Otoritas Perbankan Eropa (EBA), Otoritas Sekuritas dan Pasar Eropa, dan Otoritas Asuransi dan Pensiun Eropa.

ESA bertanggung jawab untuk menyusun standar teknis regulasi (RTS) dan standar teknis implementasi (ITS) yang harus diterapkan oleh entitas yang dicakup. Semua standar ini diharapkan akan selesai pada tahun 2024. Komisi Eropa sedang mengembangkan kerangka kerja pengawasan untuk penyedia TIK yang penting, yang juga diharapkan akan selesai pada tahun 2024.

Penegakan DORA

Setelah standar tersebut diselesaikan dan tenggat waktu Januari 2025 telah tiba, penegakan hukum akan berada di tangan regulator yang ditunjuk di setiap negara anggota Uni Eropa, yang dikenal sebagai "otoritas yang berwenang." Otoritas yang berwenang dapat meminta entitas keuangan untuk mengambil langkah-langkah keamanan tertentu dan memperbaiki kerentanan. Mereka juga dapat menjatuhkan hukuman administratif—dan, dalam beberapa kasus, hukuman pidana—kepada entitas yang tidak mematuhi peraturan. Setiap negara anggota akan memutuskan hukumannya sendiri.

Penyedia TIK yang dianggap "penting" oleh Komisi Eropa akan diawasi langsung oleh pengawas utama dari ESA. Seperti otoritas yang kompeten, kepala pengawas dapat meminta langkah-langkah keamanan dan remediasi dan menghukum penyedia TIK yang tidak patuh. DORA memungkinkan pengawas utama untuk memungut denda kepada penyedia TIK sebesar 1% dari rata-rata omset harian penyedia di seluruh dunia pada tahun bisnis sebelumnya. Penyedia dapat didenda setiap hari hingga enam bulan sampai mereka mencapai kepatuhan.

Persyaratan DORA

DORA menetapkan persyaratan teknis untuk entitas keuangan dan penyedia TIK di empat domain:

Berbagi informasi dianjurkan tetapi tidak diwajibkan.

Persyaratan akan diberlakukan secara proporsional, yang berarti entitas yang lebih kecil tidak akan dipegang pada standar yang sama dengan lembaga keuangan utama. Sementara RTS dan ITS untuk setiap domain masih dalam pengembangan, undang-undang DORA yang ada menawarkan beberapa insight tentang persyaratan umum.

Manajemen risiko dan tata kelola TIK

 

DORA membuat badan manajemen entitas yang bertanggung jawab atas manajemen TIK. Anggota dewan, pemimpin eksekutif, dan manajer senior lainnya diharapkan untuk menentukan strategi manajemen risiko yang tepat, secara aktif membantu pelaksanaannya, dan selalu memperbarui pengetahuan mereka tentang lingkungan risiko TIK. Pemimpin juga dapat dimintai pertanggungjawaban secara pribadi atas kegagalan entitas untuk mematuhi.

Entitas yang tercakup diharapkan untuk mengembangkan kerangka kerja manajemen risiko TIK yang komprehensif. Entitas harus memetakan sistem TIK mereka; mengidentifikasi dan mengklasifikasikan aset dan fungsi penting; dan mendokumentasikan ketergantungan antara aset, sistem, proses, dan penyedia layanan. Entitas harus melakukan penilaian risiko secara terus menerus terhadap sistem TIK mereka, mendokumentasikan dan mengklasifikasikan ancaman siber, serta mendokumentasikan langkah-langkah untuk memitigasi risiko yang telah diidentifikasi.

Sebagai bagian dari proses penilaian risiko, entitas harus melakukan analisis dampak bisnis untuk menilai bagaimana skenario spesifik dan gangguan parah dapat mempengaruhi bisnis. Entitas harus menggunakan hasil analisis ini untuk menetapkan tingkat toleransi risiko dan menginformasikan desain infrastruktur TI mereka. Entities will also be required to implement suitable cybersecurity protection measures, such as policies for identity and access management and patch management, along with technical controls such as extended detection and response systems, security information and event management (SIEM) software, and security orchestration, automation and response (SOAR) tools. Entitas juga akan diminta untuk menerapkan langkah-langkah perlindungan keamanan siber yang sesuai, seperti kebijakan untuk manajemen identitas dan akses dan manajemen patch, bersama dengan kontrol teknis seperti sistem deteksi dan respons yang diperluas, perangkat lunak informasi keamanan dan manajemen peristiwa (SIEM), dan perangkat orkestrasi keamanan, otomatisasi, dan respons (SOAR).

Entitas juga perlu menetapkan rencana keberlangsungan bisnis dan pemulihan bencana untuk berbagai skenario risiko siber, seperti kegagalan layanan TIK, bencana alam, dan serangan siber. Rencana ini harus mencakup langkah-langkah pencadangan dan pemulihan data, proses pemulihan sistem, dan rencana untuk berkomunikasi dengan klien, mitra, dan pihak berwenang yang terkena dampak. 

RTS yang menentukan elemen yang diperlukan dari kerangka kerja manajemen risiko entitas akan datang. Para ahli percaya mereka akan serupa dengan pedoman EBA yang ada tentang TIK dan manajemen risiko keamanan.

Respons dan pelaporan insiden

 

Entitas yang tercakup harus membangun sistem untuk memantau, mengelola, mencatat, mengklasifikasikan, dan melaporkan insiden terkait TIK. Bergantung pada tingkat keparahan insiden, entitas mungkin perlu membuat laporan kepada regulator dan klien serta mitra yang terkena dampak. Entitas akan diminta untuk mengajukan tiga jenis laporan yang berbeda untuk insiden kritis: laporan awal yang memberi tahu pihak berwenang, laporan menengah tentang kemajuan penyelesaian insiden, dan laporan akhir yang menganalisis akar penyebab insiden. 

Aturan tentang bagaimana insiden harus diklasifikasikan, insiden mana yang harus dilaporkan, dan jadwal untuk pelaporan akan segera diterbitkan. ESA juga mencari cara untuk merampingkan pelaporan dengan membuat pusat informasi dan templat laporan yang umum.

Pengujian ketahanan operasional digital

 

Entitas harus menguji sistem TIK mereka secara teratur untuk mengevaluasi kekuatan perlindungan mereka dan mengidentifikasi kerentanan. Hasil tes ini, dan rencana untuk mengatasi kelemahan yang mereka temukan, akan dilaporkan dan divalidasi oleh otoritas yang berwenang terkait.

Entitas harus melakukan pengujian dasar, seperti penilaian kerentanan dan pengujian berbasis skenario, setahun sekali. Entitas keuangan yang dinilai memainkan peran penting dalam sistem keuangan juga perlu menjalani pengujian penetrasi yang dipimpin oleh ancaman (TLPT) setiap tiga tahun. Penyedia TIK penting entitas akan diminta untuk berpartisipasi dalam uji penetrasi ini juga. Standar teknis tentang bagaimana TLPT harus dilakukan akan segera hadir, tetapi kemungkinan besar akan selaras dengan kerangka kerja TIBER-EU (tautan berada di luar ibm.com) untuk red-teaming etis berbasis intelijen ancaman.

Manajemen Risiko Pihak Ketiga

 

Salah satu aspek unik dari DORA adalah bahwa DORA tidak hanya berlaku untuk entitas keuangan, tetapi juga untuk penyedia TIK yang melayani sektor keuangan. 

Perusahaan keuangan diharapkan untuk mengambil peran aktif dalam mengelola risiko pihak ketiga TIK. Ketika mengalihdayakan fungsi-fungsi penting dan kritis, entitas keuangan harus menegosiasikan pengaturan kontrak khusus mengenai strategi keluar, audit, dan target kinerja untuk aksesibilitas, integritas, dan keamanan, di antaranya. Entitas tidak akan diizinkan untuk melakukan kontrak dengan penyedia TIK yang tidak dapat memenuhi persyaratan ini. Pihak berwenang yang kompeten diberi wewenang untuk menangguhkan atau mengakhiri kontrak yang tidak patuh. Komisi Eropa sedang menjajaki kemungkinan penyusunan klausul kontrak standar yang dapat digunakan oleh entitas dan penyedia TIK untuk memastikan perjanjian mereka sesuai dengan DORA. 

Lembaga keuangan juga perlu memetakan ketergantungan TIK pihak ketiga mereka, dan mereka harus memastikan bahwa fungsi-fungsi penting dan kritis mereka tidak terlalu terkonsentrasi pada satu penyedia atau sekelompok kecil penyedia. 

Penyedia layanan pihak ketiga TIK yang penting akan tunduk pada pengawasan langsung dari ESA yang relevan. Komisi Eropa masih mengembangkan kriteria untuk menentukan penyedia mana yang penting. Mereka yang memenuhi standar akan memiliki salah satu ESA yang ditugaskan sebagai Kepala Pengawas. Selain memberlakukan persyaratan DORA pada penyedia layanan penting, kepala pengawas akan diberdayakan untuk melarang penyedia layanan menandatangani kontrak dengan perusahaan keuangan atau penyedia layanan TIK lainnya yang tidak mematuhi DORA.

Berbagi informasi

 

Entitas keuangan harus menetapkan proses untuk belajar dari insiden terkait TIK internal dan eksternal. Untuk itu, DORA mendorong entitas untuk berpartisipasi dalam pengaturan pembagian intelijensi ancaman secara sukarela. Setiap informasi yang dibagikan dengan cara ini harus tetap dilindungi berdasarkan pedoman yang relevan-misalnya, informasi yang dapat diidentifikasi secara pribadi masih tunduk pada pertimbangan Peraturan Perlindungan Data Umum. 

Solusi terkait
IBM Security QRadar Suite

Mengakali serangan dengan rangkaian keamanan modern yang terhubung. Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR—semuanya dengan antarmuka pengguna yang sama, insight bersama, dan alur kerja yang terhubung.

Jelajahi QRadar Suite
Tim Tanggap Insiden IBM® X-Force®

Tingkatkan postur keamanan siber Anda dengan perburuan ancaman berkelanjutan, pemantauan real-time, dan analisis ancaman mendalam. Tim tanggap insiden yang siap dipanggil dapat secara signifikan mengurangi waktu respons, mengurangi dampak serangan siber, dan memfasilitasi pemulihan yang lebih cepat, sehingga berfungsi sebagai dukungan penting bagi departemen TI yang sibuk.

Jelajahi respons insiden X-Force
Solusi infrastruktur TI

Manfaatkan kekuatan penuh infrastruktur TI Anda. Server, penyimpanan, dan perangkat lunak IBM generasi terbaru dapat membantu Anda memodernisasi dan meningkatkan skala di lokasi dan di cloud dengan cloud hybrid yang aman serta otomatisasi dan insight AI tepercaya.

Jelajahi solusi infrastruktur TI

Solusi otomatisasi

Temukan bagaimana otomatisasi berdampak tinggi dapat membantu menjadikan sistem TI Anda lebih proaktif, proses lebih efisien, dan karyawan lebih produktif.

Jelajahi solusi otomatisasi

IBM Cloud for Financial Services

Inovasi yang cepat sekaligus memenuhi kebutuhan keamanan dan kepatuhan Anda. IBM Cloud for Financial Services dirancang untuk membantu klien mengurangi risiko dan mempercepat adopsi cloud bahkan untuk beban kerja mereka yang paling sensitif sekalipun. 

Jelajahi IBM Cloud for Financial Services

Sumber daya Membangun ketahanan digital melalui lebih banyak kolaborasi

DORA menyadari sifat risiko dan ketahanan yang terus berkembang dalam lanskap layanan keuangan Uni Eropa yang semakin terdigitalisasi.

Menjadikan transformasi digital berarti

Seperti halnya upaya apa pun yang dirancang untuk menghasilkan perubahan transformatif dengan kecepatan dan skala yang besar, penerapan DORA akan membutuhkan fokus dan keterlibatan yang konsisten, terutama di tingkat Dewan dan eksekutif.

Menyeimbangkan efisiensi dan keberlanjutan

Pejabat rantai pasokan yang melihat ke masa depan dapat membedakan diri mereka dari rekan-rekan yang hanya fokus pada saat ini.

Ambil langkah selanjutnya

Bangun struktur tata kelola yang meningkatkan kematangan keamanan siber dengan pendekatan tata kelola, risiko, dan kepatuhan (GRC) yang terintegrasi. IBM Active Governance Services (AGS) mengintegrasikan titik-titik data keamanan siber dan organisasi yang penting ke dalam sebuah solusi terpusat, yang menyediakan kemampuan utama untuk semua orang, proses, dan teknologi.

Jelajahi layanan GRC