SOC 2+ ודור ה-DORA: כך תתכוננו לרגולציה שמשנה את חוקי המשחק בעולם

SOC 2+ ודור ה-DORA: כך תתכוננו לרגולציה שמשנה את חוקי המשחק בעולם



במהלך השנים האחרונות, רגולציה פיננסית הפכה למורכבת יותר ויותר, במיוחד עם התפתחות הטכנולוגיה והתלות הגוברת בשירותי טכנולוגיה חיצוניים. על רקע זה, הרגולציה האירופאית בנושא העמידות התפעולית הדיגיטלית (DORA - Digital Operational Resilience Act) מהווה אבן דרך משמעותית עבור מוסדות פיננסיים באירופה וספקי שירותי ICT התומכים בהם. במקביל, דוח SOC 2 (System and Organization Controls 2) הפך לכלי מוכר להערכת ובקרת שירותים טכנולוגיים. השילוב בין השניים – באמצעות התאמה של דוח SOC 2 לדרישות DORA המכונה , SOC 2+ מציע דרך יעילה לציות רגולטורי, שמפשטת את הביקורת, מחזקת אמון עם לקוחות פיננסיים, ויוצרת יתרון תחרותי בשוק.
 

מה זה DORA?

חברות מחוץ לאירופה צריכות להכיר את החוק האירופי לעמידות תפעולית דיגיטלית (DORA), שהוא רגולציה של האיחוד האירופי. חוק זה נועד לחזק את אבטחת טכנולוגיות המידע (ICT- Information, Communication, Technology) של גופים פיננסיים כמו בנקים, חברות ביטוח ופירמות השקעה, ולוודא שהמגזר הפיננסי באירופה יוכל להישאר עמיד (Resilience) במקרה של שיבוש תפעולי חמור. DORA נכנס לתוקף ב-16 בינואר 2023 ויחול ב-17 בינואר 2025. הוא כולל דרישות בנוגע לעמידות תפעולית עבור 20 סוגים שונים של גופים פיננסיים וספקי שירות טכנולוגיים. החוק מכסה תחומים כמו ניהול סיכוני טכנולוגיה, ניהול סיכוני צד שלישי בתחום הטכנולוגיה, בדיקות עמידות תפעולית דיגיטלית, אירועים הקשורים לטכנולוגיה ושיתוף מידע בנושאי איומי סייבר. כמו כן, הוא כולל פיקוח על ספקי צד שלישי קריטיים. מכיוון שמוסדות פיננסיים רבים משתמשים בשירותים של חברות טכנולוגיה הממוקמות מחוץ לאירופה, DORA עשוי להשפיע גם עליהן אם הן מספקות שירותים לגופים פיננסיים באיחוד האירופי.
 

חמשת עמודי התווך של DORA

הרקע להתפתחות זו נעוץ בהבנה כי עמידות תפעולית אינה עוד רק עניין של עמידה בדרישות מינימליות, אלא חלק מהותי מבניית אמון ואחריותיות. ל DORA, חמישה עמודי התווך כלהלן:

  • ניהול סיכוני טכנולוגיה
  • ניהול תקריות
  • בדיקות חוסן תפעולי דיגיטלי
  • ניהול סיכוני צד שלישי 
  • ושיתוף מידע. 

מוסדות אלה נדרשים לוודא שגם ספקי ה-ICT שלהם עומדים בסטנדרטים גבוהים אלה.

כאן נכנס לתמונה דוח SOC 2, אשר מעצם הגדרתו מתמקד בבקרות פנימיות של ספקי שירותים בנוגע לאבטחה, זמינות, עיבוד יושרה, סודיות ופרטיות של מידע לקוחות. כאשר דוח SOC 2 מותאם במיוחד לשילוב דרישות DORA (SOC 2+), הופך לכלי רב עוצמה המסייע לספקי ICT ולמוסדות הפיננסיים כאחד.
 

היתרונות המרכזיים של גישת SOC 2+ עבור DORA:

  • הפחתת כפילויות וייעול תהליכי ביקורת: שילוב דרישות DORA בתוך מסגרת SOC 2 מאפשר לספקי שירותים לאחד את מאמצי התאימות שלהם. במקום לעבור ביקורות נפרדות ומפוצלות, נוצרת מסגרת אחידה המפשטת את תהליך הביקורת ומבטיחה שכל ההיבטים הקריטיים של אבטחה, זמינות ועמידות תפעולית מטופלים באופן מקיף.
  • הקלה על נטל בדיקת הנאותות (Due Diligence) של מוסדות פיננסיים: עבור מוסדות פיננסיים הכפופים ל-DORA, דוח SOC 2+ מספק את הביטחון הדרוש בנוגע לעמידה של ספקי ה-ICT שלהם בסטנדרטים גבוהים. במקום לבצע ביקורות חוזרות ונשנות או לנווט בין ראיות תאימות מפוזרות, הלקוחות יכולים להסתמך על התובנות המקיפות שמציע הדוח המשולב.
  • יתרון תחרותי ובידול בשוק: ספקי ICT המאמצים גישה פרואקטיבית זו ומציגים דוח SOC 2+ מוכיחים את מוכנותם לרגולציה מתפתחת. בשוק תחרותי שבו האמון הוא בעל חשיבות עליונה, יכולת זו מהווה יתרון משמעותי ומגדילה את הסבירות של לקוחות לבחור בהם כשותפים.
  • שיפור היעילות התפעולית: איחוד מסגרות תאימות מרובות לתהליך ביקורת אחד מאפשר לספקי שירותים להפחית את עלויות הניהול ולהקצות משאבים בצורה יעילה יותר. גישה יעילה זו חוסכת זמן ומבטיחה מוכנות לביקורת רגולטורית ללא צורך בהתאמות של הרגע האחרון.
  • חיזוק ניהול סיכוני צד שלישי: DORA שם דגש משמעותי על ניהול סיכוני צד שלישי. דוח SOC 2+ המותאם ל-DORA מספק למוסדות פיננסיים מבט מאוחד על הבקרות והנהלים של ספקי ה-ICT שלהם, ובכך מפשט את תהליך הערכת הסיכונים והמעקב השוטף.

לסיכום, הקשר בין DORA ל-SOC 2, ובמיוחד הגישה של SOC 2+, מייצג התפתחות חשובה בעולם הרגולציה הפיננסית וניהול סיכוני ICT. אימוץ גישה משולבת זו אינו רק מענה לדרישות רגולטוריות, אלא גם השקעה באמון, בעמידות וביתרון תחרותי עבור ספקי שירותי ICT. עבור מוסדות פיננסיים, זהו כלי חיוני להבטחת עמידות תפעולית דיגיטלית של שרשרת האספקה הטכנולוגית שלהם, תוך הפחתת הנטל האדמיניסטרטיבי ומיקוד בפעילות הליבה שלהם.
 

כהמשך והבהרה לנושאים המרכזיים שנדונו במאמר, הנה מספר שאלות ותשובות נפוצות העוסקות בקשר שבין רגולציית DORA לתקן SOC 2:

DORA (Digital Operational Resilience Act) היא רגולציה של האיחוד האירופי, שנועדה להבטיח שהמגזר הפיננסי ביבשת יוכל לעמוד בפני שיבושים תפעוליים חמורים הנובעים מתחום טכנולוגיות המידע והתקשורת (ICT) היא נכנסה לתוקף בינואר 2023 ותחול באופן מלא החל מ-17 בינואר 2025. מטרתה העיקרית היא לחזק את העמידות התפעולית הדיגיטלית של גופים פיננסיים ולוודא שיש להם יכולות הגנה, זיהוי, הכלה, התאוששות ולמידה מתקריותICT.

הרגולציה חלה על מגוון רחב של גופים פיננסיים הפועלים באיחוד האירופי, כולל בנקים, חברות ביטוח, חברות השקעות, מוסדות תשלום ועוד (כ-20 סוגי גופים שונים).חשוב לא פחות,DORA  חלה גם על ספקי שירותי ICT קריטיים המספקים שירותים לאותם גופים פיננסיים, גם אם הספקים עצמם ממוקמים מחוץ לאירופה.

DORV מתמקדת בחמישה עמודי תווך עיקריים:

  1. ניהול סיכוני :ICT דרישה למסגרת ניהול סיכונים מקיפה.
  2. ניהול, סיווג ודיווח על תקריות :ICT תהליכים לזיהוי, ניהול ודיווח על תקריות.
  3. בדיקות חוסן תפעולי דיגיטלי: דרישות לבדיקות תקופתיות של מערכות ההגנה והחוסן.
  4. ניהול סיכוני ICT מצד שלישי: דרישות מחמירות לניהול הקשר עם ספקי ICT ופיקוח עליהם.
  5. שיתוף מידע ומודיעין: עידוד שיתוף מידע על איומי סייבר ותקריות בין גופים פיננסיים.

דוח SOC 2 הוא דוח ביקורת המעריך את הבקרות הפנימיות של ארגון שירות (כמו ספק ICT) בהתאם לחמישה עקרונות אמון: אבטחה, זמינות, יושרה בעיבוד, סודיות ופרטיותמכיוון ש-DORA מטילה דרישות משמעותיות על גופים פיננסיים לוודא את עמידותם של ספקי ה-ICT שלהם , דוח SOC 2 מהווה כלי מוכר ויעיל עבור ספקים אלה להדגים את קיומן ויעילותן של בקרות רלוונטיות בפני לקוחותיהם הפיננסיים.

דוח +SOC 2 הוא למעשה התאמה של דוח SOC 2 סטנדרטי, כך שיכלול מיפוי ובדיקה ספציפיים של בקרות אל מול דרישות רגולציית DORA. היתרון המרכזי הוא יצירת מסגרת ביקורת מאוחדת ויעילה. במקום שספקי ICT יעברו ביקורות נפרדות עבור SOC 2 ועבור דרישות DORA, גישת ה-+SOC 2 מאפשרת לכסות את שני התחומים בדוח אחדהדבר מפשט את תהליך הביקורת, חוסך במשאביםומספק ללקוחות הפיננסיים תמונה ברורה ומקיפה יותר על עמידות הספק בהתאם לרגולציה החדשה .

בעוד שדוח +SOC 2 מהווה כלי מצוין לכיסוי חלק ניכר מדרישות DORA, בעיקר אלו הנוגעות לבקרות ICT וניהול סיכוני צד שלישי, חשוב לזכור ש-DORA היא רגולציה רחבה יותר. היא כוללת גם היבטים כמו דיווח לרשויות, השתתפות בבדיקות חדירות מתקדמות (Threat-Led Penetration Testing - TLPT) ושיתוף מידע, שאינם בהכרח מכוסים במלואם במסגרת SOC 2 טיפוסית. לכן, בעוד +SOC 2 הוא צעד משמעותי בכיוון הנכון, ארגונים (הן גופים פיננסיים והן ספקי ICT) צריכים לוודא שהם מטפלים בכלל ההיבטים הנדרשים על ידי DORA. 

אימוץ גישת +SOC 2 מעניק לספקי ICT מספר יתרונות מרכזיים:

  • יעילות: איחוד ביקורות חוסך זמן ועלויות
  • אמון לקוחות: מספק הוכחה ברורה ומובנית ללקוחות הפיננסיים על עמידה בדרישות DORA, ומקל עליהם בתהליכי בדיקת הנאותות [source: 13, 14]
  • יתרון תחרותי: מוכיח מוכנות פרואקטיבית לרגולציה ומבדל את הספק בשוק
  • שיפור פנימי: תהליך ההכנה לדוח מחזק את הבקרות הפנימיות וניהול הסיכונים בארגו