DORA memiliki dua tujuan utama: untuk menangani manajemen risiko TIK secara komprehensif di sektor jasa keuangan dan untuk menyelaraskan peraturan manajemen risiko TIK yang telah ada di masing-masing negara anggota Uni Eropa.

Sebelum DORA, peraturan manajemen risiko untuk lembaga keuangan di Uni Eropa terutama berfokus pada memastikan bahwa perusahaan memiliki modal yang cukup untuk menutupi risiko operasional. Meskipun beberapa regulator Uni Eropa mengeluarkan panduan tentang manajemen risiko TIK dan keamanan, panduan ini tidak berlaku untuk semua entitas keuangan secara merata, dan sering kali panduan ini mengandalkan prinsip-prinsip umum daripada standar teknis yang spesifik. Dengan tidak adanya aturan manajemen risiko TIK tingkat Uni Eropa, negara-negara anggota Uni Eropa mengeluarkan persyaratan mereka sendiri. Tambal sulam peraturan ini telah terbukti sulit untuk diatasi oleh entitas keuangan.

Dengan DORA, Uni Eropa bertujuan untuk membuat kerangka kerja universal untuk mengelola dan memitigasi risiko TIK di sektor keuangan. Dengan menyelaraskan aturan manajemen risiko di seluruh Uni Eropa, DORA berupaya menghilangkan kesenjangan, tumpang tindih, dan konflik yang mungkin timbul di antara berbagai peraturan yang berbeda di berbagai negara Uni Eropa. Seperangkat aturan bersama dapat mempermudah entitas keuangan untuk mematuhi sekaligus meningkatkan ketahanan sistem keuangan Uni Eropa secara keseluruhan dengan memastikan bahwa setiap institusi memiliki standar yang sama.

DORA berlaku untuk semua lembaga keuangan di UE. Hal ini mencakup entitas keuangan tradisional, seperti bank, perusahaan investasi dan lembaga kredit, serta entitas non-tradisional, termasuk penyedia layanan aset kripto dan platform crowdfunding.

Khususnya, DORA juga berlaku untuk beberapa entitas yang biasanya dikecualikan dari peraturan keuangan. Misalnya, penyedia layanan pihak ketiga yang memasok sistem dan layanan TIK kepada perusahaan keuangan—seperti penyedia layanan cloud dan pusat data-harusmengikuti persyaratan DORA. DORA juga mencakup perusahaan-perusahaan yang menyediakan layanan informasi pihak ketiga yang penting, seperti layanan pemeringkatan kredit dan penyedia analisis data.

DORA pertama kali diusulkan oleh Komisi Eropa, yakni cabang eksekutif Uni Eropa yang bertanggung jawab untuk memperkenalkan undang-undang—pada bulan September 2020. Ini adalah bagian dari paket keuangan digital yang lebih besar yang juga mencakup inisiatif untuk mengatur aset kripto dan meningkatkan strategi keuangan digital UE secara keseluruhan. Dewan Uni Eropa dan Parlemen Eropa (badan legislatif yang bertanggung jawab untuk menyetujui undang-undang Uni Eropa) secara resmi mengadopsi DORA pada bulan November 2022. Entitas keuangan dan penyedia layanan TIK pihak ketiga memiliki waktu hingga 17 Januari 2025 untuk mematuhi DORA sebelum penegakan hukum dimulai.  

Meskipun Uni Eropa telah secara resmi mengadopsi DORA, detail-detail penting masih disempurnakan oleh Otoritas Pengawas Eropa (European Supervisory Authorities/ESA). ESA adalah regulator yang mengawasi sistem keuangan UE, termasuk Otoritas Perbankan Eropa (EBA), Otoritas Sekuritas dan Pasar Eropa, dan Otoritas Asuransi dan Pensiun Eropa.

ESA bertanggung jawab untuk menyusun standar teknis regulasi (RTS) dan standar teknis implementasi (ITS) yang harus diterapkan oleh entitas yang dicakup. Semua standar ini diharapkan akan selesai pada tahun 2024. Komisi Eropa sedang mengembangkan kerangka kerja pengawasan untuk penyedia TIK yang penting, yang juga diharapkan akan selesai pada tahun 2024.

Setelah standar tersebut diselesaikan dan tenggat waktu Januari 2025 telah tiba, penegakan hukum akan berada di tangan regulator yang ditunjuk di setiap negara anggota Uni Eropa, yang dikenal sebagai "otoritas yang berwenang." Otoritas yang berwenang dapat meminta entitas keuangan untuk mengambil langkah-langkah keamanan tertentu dan memperbaiki kerentanan. Mereka juga dapat menjatuhkan hukuman administratif—dan, dalam beberapa kasus, hukuman pidana—kepada entitas yang tidak mematuhi peraturan. Setiap negara anggota akan memutuskan hukumannya sendiri.

Penyedia TIK yang dianggap "penting" oleh Komisi Eropa akan diawasi langsung oleh pengawas utama dari ESA. Seperti otoritas yang kompeten, kepala pengawas dapat meminta langkah-langkah keamanan dan remediasi dan menghukum penyedia TIK yang tidak patuh. DORA memungkinkan pengawas utama untuk memungut denda kepada penyedia TIK sebesar 1% dari rata-rata omset harian penyedia di seluruh dunia pada tahun bisnis sebelumnya. Penyedia dapat didenda setiap hari hingga enam bulan sampai mereka mencapai kepatuhan.

DORA menetapkan persyaratan teknis untuk entitas keuangan dan penyedia TIK di empat domain:

• Manajemen risiko dan tata kelola TIK
• Respons dan pelaporan insiden
• Pengujian ketahanan operasional digital
• Manajemen Risiko Pihak Ketiga

Berbagi informasi dianjurkan tetapi tidak diwajibkan.

Persyaratan akan diberlakukan secara proporsional, yang berarti entitas yang lebih kecil tidak akan diminta mematuhi standar yang sama dengan lembaga keuangan besar. Sementara RTS dan ITS untuk setiap domain masih dalam pengembangan, undang-undang DORA yang ada menawarkan beberapa insight tentang persyaratan umum.

Manajemen risiko dan tata kelola TIK

DORA membuat badan manajemen entitas yang bertanggung jawab atas manajemen TIK. Anggota dewan, pemimpin eksekutif, dan manajer senior lainnya diharapkan untuk menentukan strategi manajemen risiko yang tepat, secara aktif membantu pelaksanaannya, dan selalu memperbarui pengetahuan mereka tentang lingkungan risiko TIK. Pemimpin juga dapat dimintai pertanggungjawaban secara pribadi atas kegagalan entitas untuk mematuhi.

Entitas yang tercakup diharapkan untuk mengembangkan kerangka kerja manajemen risiko TIK yang komprehensif. Entitas harus memetakan sistem TIK mereka; mengidentifikasi dan mengklasifikasikan aset dan fungsi penting; dan mendokumentasikan ketergantungan antara aset, sistem, proses, dan penyedia layanan. Entitas harus melakukan penilaian risiko secara terus menerus terhadap sistem TIK mereka, mendokumentasikan dan mengklasifikasikan ancaman siber, serta mendokumentasikan langkah-langkah untuk memitigasi risiko yang telah diidentifikasi.

Sebagai bagian dari proses penilaian risiko, entitas harus melakukan analisis dampak bisnis untuk menilai bagaimana skenario spesifik dan gangguan parah dapat mempengaruhi bisnis. Entitas harus menggunakan hasil analisis ini untuk menetapkan tingkat toleransi risiko dan menginformasikan desain infrastruktur TI mereka. Entitas juga akan diminta untuk menerapkan langkah-langkah perlindungan keamanan siber yang sesuai, seperti kebijakan untuk manajemen identitas dan akses dan manajemen patch, bersama dengan kontrol teknis seperti sistem deteksi dan respons yang diperluas, perangkat lunak informasi keamanan dan manajemen peristiwa (SIEM), dan perangkat orkestrasi keamanan, otomatisasi, dan respons (SOAR).

Entitas juga perlu menetapkan rencana keberlangsungan bisnis dan pemulihan bencana untuk berbagai skenario risiko siber, seperti kegagalan layanan TIK, bencana alam, dan serangan siber. Rencana ini harus mencakup langkah-langkah pencadangan dan pemulihan data, proses pemulihan sistem, dan rencana untuk berkomunikasi dengan klien, mitra, dan pihak berwenang yang terkena dampak. 

RTS yang menentukan elemen yang diperlukan dari kerangka kerja manajemen risiko entitas akan datang. Para ahli percaya mereka akan serupa dengan pedoman EBA yang ada tentang TIK dan manajemen risiko keamanan.

Respons dan pelaporan insiden

Entitas yang tercakup harus membangun sistem untuk memantau, mengelola, mencatat, mengklasifikasikan, dan melaporkan insiden terkait TIK. Bergantung pada tingkat keparahan insiden, entitas mungkin perlu membuat laporan kepada regulator dan klien serta mitra yang terkena dampak. Entitas akan diminta untuk mengajukan tiga jenis laporan yang berbeda untuk insiden kritis: laporan awal yang memberi tahu pihak berwenang, laporan menengah tentang kemajuan penyelesaian insiden, dan laporan akhir yang menganalisis akar penyebab insiden. 

Aturan tentang bagaimana insiden harus diklasifikasikan, insiden mana yang harus dilaporkan, dan jadwal untuk pelaporan akan segera diterbitkan. ESA juga mencari cara untuk merampingkan pelaporan dengan membuat pusat informasi dan templat laporan yang umum.

Pengujian ketahanan operasional digital

Entitas harus menguji sistem TIK mereka secara teratur untuk mengevaluasi kekuatan perlindungan mereka dan mengidentifikasi kerentanan. Hasil tes ini, dan rencana untuk mengatasi kelemahan yang mereka temukan, akan dilaporkan dan divalidasi oleh otoritas yang berwenang terkait.

Entitas harus melakukan pengujian dasar, seperti penilaian kerentanan dan pengujian berbasis skenario, setahun sekali. Entitas keuangan yang dinilai memainkan peran penting dalam sistem keuangan juga perlu menjalani pengujian penetrasi yang dipimpin oleh ancaman (TLPT) setiap tiga tahun. Penyedia TIK penting entitas akan diminta untuk berpartisipasi dalam uji penetrasi ini juga. Standar teknis tentang bagaimana TLPT harus dilakukan akan segera hadir, tetapi kemungkinan besar akan selaras dengan kerangka kerja TIBER-EU red-teaming etis berbasis intelijen ancaman.

Manajemen Risiko Pihak Ketiga

Salah satu aspek unik dari DORA adalah bahwa DORA tidak hanya berlaku untuk entitas keuangan, tetapi juga untuk penyedia TIK yang melayani sektor keuangan. 

Perusahaan keuangan diharapkan untuk mengambil peran aktif dalam mengelola risiko pihak ketiga TIK. Ketika mengalihdayakan fungsi-fungsi penting dan kritis, entitas keuangan harus menegosiasikan pengaturan kontrak khusus mengenai strategi keluar, audit, dan target kinerja untuk aksesibilitas, integritas, dan keamanan, di antaranya. Entitas tidak akan diizinkan untuk melakukan kontrak dengan penyedia TIK yang tidak dapat memenuhi persyaratan ini. Pihak berwenang yang kompeten diberi wewenang untuk menangguhkan atau mengakhiri kontrak yang tidak patuh. Komisi Eropa sedang menjajaki kemungkinan penyusunan klausul kontrak standar yang dapat digunakan oleh entitas dan penyedia TIK untuk memastikan perjanjian mereka sesuai dengan DORA. 

Lembaga keuangan juga perlu memetakan ketergantungan TIK pihak ketiga mereka, dan mereka harus memastikan bahwa fungsi-fungsi penting dan kritis mereka tidak terlalu terkonsentrasi pada satu penyedia atau sekelompok kecil penyedia. 

Penyedia layanan pihak ketiga TIK yang penting akan tunduk pada pengawasan langsung dari ESA yang relevan. Komisi Eropa masih mengembangkan kriteria untuk menentukan penyedia mana yang penting. Mereka yang memenuhi standar akan memiliki salah satu ESA yang ditugaskan sebagai Kepala Pengawas. Selain memberlakukan persyaratan DORA pada penyedia layanan penting, kepala pengawas akan diberdayakan untuk melarang penyedia layanan menandatangani kontrak dengan perusahaan keuangan atau penyedia layanan TIK lainnya yang tidak mematuhi DORA.

Berbagi informasi

Entitas keuangan harus menetapkan proses untuk belajar dari insiden terkait TIK internal dan eksternal. Untuk itu, DORA mendorong entitas untuk berpartisipasi dalam pengaturan pembagian intelijen ancaman secara sukarela. Setiap informasi yang dibagikan dengan cara ini harus tetap dilindungi berdasarkan pedoman yang relevan—misalnya, informasi identifikasi pribadi masih tunduk pada pertimbangan Peraturan Perlindungan Data Umum.