DORA – 2025

DORA – 2025



סווגתם כספק קריטי של ארגונים פיננסיים באירופה? ברכות, הגיע הזמן להכיר את  DORA!

לקוח אירופי פנה אליכם לאחרונה בדרישות חדשות הקשורות לאבטחת מידע? מבקשים מכם להוסיף נספחים לחוזה ההתקשרות? אם מדובר בלקוח מהתחום הפיננסי, יש סיכוי גבוה שסווגתם כספק קריטי במסגרת העמידה שלו ברגולציה האירופית החדשה -DORA . תתכוננו להכיר מושגים כמו: LEI, ROI, ICT  ועוד. החל מינואר 2025, רגולציית DORA כבר חלה בפועל על גופים פיננסיים באירופה – והספקים הקריטיים שלהם נדרשים לעמוד בדרישות מחמירות.

אז מה עושים עכשיו?

  • האם יש הסמכה או תעודה שניתן לקבל?
  • האם ISO 27001 מספיק?
  • מה הקשר שלי בכלל לרגולציה אירופית?

החדשות הטובות – זה לא מסובך כמו שזה נשמע. בואו נעשה סדר:


מה זה DORA?

(Digital Operational Resilience Act) DORA היא רגולציה של האיחוד האירופי המיועדת לארגונים פיננסיים, כגון בנקים, חברות ביטוח ובתי השקעות. מדובר באחת מכמה רגולציות חדשות שהאיחוד האירופי מטמיע, יחד עם NIS2, CRA ואחרות, במטרה לחזק את חוסן הסייבר של כלל שוק ה-ICT. 

אירופה מקדמת מדיניות רגולטורית אקטיבית לחיזוק עמידות הסייבר, ומגמה זו צפויה להמשיך ולהתרחב. עסקים המתמודדים עם הרגולציה נדרשים להיערך בהתאם כדי להימנע מהשלכות עסקיות ורגולטוריות.


עיקרי הרגולציה על קצה המזלג

DORA  כוללת חמישה עמודים מרכזיים (pillars) המחייבים ארגונים פיננסיים לעסוק בנושאים כמו ניהול אירועי סייבר, חובת דיווח ותכנון חוסן ארגוני. אך החלק הרלוונטי ביותר עבור ספקים הוא שרשרת האספקה הטכנולוגית של הארגון הפיננסי.

במסגרת דרישות אלה, הארגון מחויב לסווג את ספקיו ולקבוע נהלים מחמירים יותר עבור ספקים קריטיים  (ICT Third Party Providers) – כולל ספקים מחוץ לאירופה. צעדים אלה כוללים:

  • בדיקות וסריקות סייבר לספקים
  • התאמות חוזיות מחמירות
  • חובת דיווח מפורטת לרגולטור  (ROI – Register of Information).
  • הנפקת מזהה אירופי ייחודי לכל ספק (LEI)


מתי הספקים ירגישו את ההשלכות?

למרות ש- DORA הוזכרה כבר חודשים ארוכים, רק כעת ארגונים פיננסיים מתחילים ליישם אותה בפועל ולפנות לספקים בדרישות קונקרטיות. 
זה בדיוק הזמן להיערך.
 

איך אפשר להתכונן?

אם יש לכם לקוחות פיננסיים באירופה, כדאי לבדוק את המוכנות שלכם לדרישות DORA:

  • סקר פערים: ניתן לבצע הערכת פערים אל מול דרישות הרגולציה ולקבל דוח מבקר חיצוני.
  • תהליכי צמצום פערים: למתקדמים, אפשר גם להיכנס לתהליך טיפול בפערים כדי להפחית את סיכוני אי-עמידה בדרישות.
  • SOC 2 מותאם ל-DORA: בעתיד צפוי להיכנס לתוקף דוח SOC 2 ייעודי להוכחת עמידה בדרישות.
  • ISO 27001: אם יש לכם תקן ISO למשפחת אבטחת המידע והסייבר, הוא עשוי לסייע בחלק מהדרישות, בעיקר בהיבטי ניהול סיכונים ונהלים.

 


לסיכום

DORA  היא לא תקן, אבל כן מחייבת התאמות משמעותיות לספקים קריטיים של המגזר הפיננסי. מי שיערך מראש יוכל לחסוך זמן וכאב ראש מול הלקוחות ולשמר את מעמדו כספק מהימן ובטוח.

רוצים להבין איך DORA תשפיע עליכם? 

גדעון מרגולין, מנהל תחום סיכוני שרשרת האספקה במרכז הסייבר של BDO ישראל, ישמח לסייע במיפוי הדרישות, בהערכת פערים ובבניית תהליך התאמה מדויק לצרכים שלכם.