O bancă sau un fintech din Kazahstan, Uzbekistan, Georgia ori Kârgâzstan poate să nu intre direct sub incidența DORA — însă clienții, partenerii de plăți și investitorii din UE cer tot mai des dovezi clare de reziliență digitală. În negocieri apar întrebări nu doar despre „aveți ISO?”, ci și despre cum gestionați un incident, cum restabiliți serviciile critice și cum controlați cloud-ul sau outsourcingul.
DORA nu înseamnă doar securitate, ci și reziliență
DORA (numit adesea actul privind reziliența digitală) este conceput pentru sectorul financiar: continuitatea plăților, disponibilitatea canalelor la distanță, gestionarea riscurilor TIC, transparența colaborării cu contractorii și pregătirea pentru controale. Cu alte cuvinte, DORA privește organizația ca pe un „organism viu”: ce se întâmplă în caz de incident, cât de repede reveniți la normal și cum demonstrați acest lucru prin documente.
Unde ajută ISO 27001 și unde încep „dar”-urile
Securitatea informației conform ISO înseamnă, de regulă, ISO/IEC 27001 și construirea unui ISMS. Pentru o bancă sau un fintech, aceasta este o bază solidă: management orientat pe riscuri, controlul accesului, politici, monitorizare, gestionarea incidentelor și audituri interne. Cu alte cuvinte, managementul securității informației conform ISO învață organizația să acționeze sistemic.
Totuși, DORA cere adesea o „concretizare operațională” peste sistemul de bază: teste regulate de reziliență, o gestionare strictă a furnizorilor TIC (inclusiv a serviciilor cloud), indicatori măsurabili de recuperare și pregătire pentru notificarea incidentelor pe baza unor scenarii clare.
Lacune tipice dintre ISO și cerințele DORA în sectorul financiar
Mai jos sunt aspectele la care băncile și companiile fintech se poticnesc cel mai des, chiar dacă au deja certificare. La început par doar niște nuanțe, dar tocmai aceste nuanțe sunt verificate de parteneri și auditori.
- Incidente și notificări: clasificare formală, declanșatoare de escaladare, un timeline unic și șabloane de raportare pentru autorități de reglementare și parteneri.
- Testarea rezilienței: nu un test DR singular, ci un program de exerciții (tabletop, teste tehnice, verificarea scenariilor de indisponibilitate a furnizorului).
- Managementul terților: registrul furnizorilor, evaluarea criticității, cerințe privind SLA/OLA, drepturi de audit, controlul subcontractorilor, plan de ieșire (exit plan).
- Legătura dintre securitatea informației și continuitate: RTO/RPO, prioritizarea serviciilor (mobile banking, procesare, fluxuri KYC/AML) și dovezi că planurile funcționează în realitate.
- Baza de dovezi: procese-verbale ale exercițiilor, rezultate ale acțiunilor corective, înregistrări de monitorizare, decizii ale comitetelor, astfel încât să puteți „arăta concret”, nu doar afirma verbal.
Dacă toate acestea sunt reunite într-o singură imagine, devine clar: implementarea ISO 27001 este un cadru excelent, dar pentru DORA, de regulă, acesta trebuie „completat” cu reziliență, indicatori măsurabili și managementul lanțului de furnizori.
Cum se poate pregăti o bancă sau un fintech fără birocrație inutilă
Abordarea practică nu este să rescrieți totul de la zero, ci să faceți un mapping: „ce cerințe DORA sunt deja acoperite de controalele ISO și unde sunt necesare ajustări”. Adesea sunt suficiente 4 etape:
- analiza gap DORA vs ISO 27001 (procese + artefacte);
- consolidarea managementului furnizorilor TIC (contracte, control, exit plan);
- program de testare a rezilienței și exerciții regulate;
- pregătirea dovezilor: jurnale, rapoarte, KPI/KRI, decizii, planuri de îmbunătățire.
Echipa System Management din CSI se implică, de obicei, astfel încât rezultatul să fie convingător pentru parteneri: un pachet clar de documente, proprietari de procese instruiți și pregătire pentru a răspunde la due diligence.
FAQ: servicii de care băncile și companiile fintech au cel mai des nevoie
1) Cu ce ne puteți ajuta dacă avem deja ISO 27001?
Realizăm o analiză gap conform DORA și ajustăm sistemul astfel încât acesta să fie confirmat prin practică: teste de reziliență, managementul furnizorilor TIC, raportarea incidentelor, bază de dovezi pentru parteneri și auditori.
2) Oferiți implementare la cheie și pregătire pentru certificare?
Da. Serviciul include implementarea ISO 27001, construirea sau actualizarea ISMS, instruirea echipei, audituri interne, asistență pentru auditul de certificare și pregătirea pachetului de artefacte conform cerințelor clienților din sectorul financiar.
3) Ce este auditul managementului de proiect și de ce este necesar pentru fintech?
Este o verificare a modului în care gestionați schimbările și inițiativele IT: roluri, controlul termenelor și al riscurilor, calitatea cerințelor, acceptanța și indicatorii. Pentru fintech acest lucru este deosebit de important, deoarece un „release nereușit” poate însemna uneori un incident. Auditul ajută la reducerea haosului și face schimbările mai previzibile.
4) Lucrați doar cu bănci?
Accentul principal pe acest subiect este pus pe bănci, fintech și furnizori IT pentru sectorul financiar, însă oferim și asistență pentru certificare companiilor IT și centrelor de servicii, iar la nevoie și altor industrii (inclusiv birourilor de traduceri, dacă lucrează cu date sensibile și clienți corporativi).
5) Cum putem înțelege rapid dacă există riscul să nu trecem verificarea unui partener?
Cea mai rapidă cale este o diagnoză expres: verificăm procesele-cheie (incidente, furnizori, recuperare, teste, dovezi) și oferim o foaie de parcurs pentru îmbunătățiri, cu priorități. System Management poate realiza o astfel de diagnoză și poate pregăti un plan de lucru adaptat dimensiunii companiei dumneavoastră și cerințelor partenerilor contractuali.
Dacă este nevoie, pot adapta textul pentru un profil concret (bancă, procesare, e-wallet, BNPL, gateway de plăți) și pot adăuga un CTA pentru pagina dumneavoastră de servicii.