Skip to content
Tiga Media Inovasi
Standar Internasional · European Union · 2022 · Berlaku (efektif 17 Januari 2025)

DORA (EU 2022/2554)

Digital Operational Resilience Act

Regulasi UE tentang ketahanan operasional digital lembaga keuangan — wajib untuk bank, fintech, asuransi, dan critical ICT third-party providers yang beroperasi di UE atau melayani entitas UE.

Berlaku untuk

  • Lembaga keuangan UE
  • Bank/fintech Indonesia yang ekspansi ke UE atau partnership dengan UE FI
  • ICT third-party providers (cloud, vendor) yang melayani UE financial sector

Mapping ke Standar

  • ISO/IEC 27001:2022
  • NIST CSF 2.0
  • ISO/IEC 22301
  • EBA/EIOPA Guidelines

Sanksi / Konsekuensi

Denda hingga 1-2% dari turnover global tahunan, suspensi kegiatan, hingga pencabutan izin.

Kewajiban Utama

Ringkasan kewajiban yang harus dipenuhi oleh entitas terkena DORA (EU 2022/2554).

  • 1 ICT risk management framework yang ter-board-approve
  • 2 Insiden ICT — klasifikasi, pelaporan ke otoritas kompeten dengan SLA ketat
  • 3 Digital operational resilience testing — termasuk TLPT (Threat-Led Penetration Testing)
  • 4 Manajemen ICT third-party risk (vendor, cloud, outsourcing) dengan kontrak DORA-compliant
  • 5 Information sharing arrangement (intelligence sharing)
  • 6 Direct supervision atas critical ICT third-party providers oleh ESAs

Tantangan Implementasi yang Sering Muncul

Kontrak ulang dengan ICT third-party untuk klausa DORA
TLPT (red teaming intelligence-led) yang lebih ketat dari pentest biasa
Mapping ICT scope yang lengkap pada arsitektur kompleks
Cross-border implication untuk financial group Indonesia dengan entitas UE

Control Mapping

48 kontrol terstruktur, di-mapping ke 4 standar internasional.

Kami sudah menyusun mapping clause-per-clause antara DORA (EU 2022/2554) dan standar internasional (ISO/IEC 27001:2022, NIST CSF 2.0, ISO/IEC 22301, EBA/EIOPA Guidelines) — siap pakai untuk gap analysis, audit prep, dan rapat dengan regulator. Berikut ringkasan grup kontrolnya:

ICT Risk Management

14

Framework, governance, board oversight

ICT-Related Incidents

10

Klasifikasi, pelaporan, root cause, lessons

Digital Operational Resilience Testing

8

TLPT, vulnerability, scenario testing

ICT Third-Party Risk

12

Due diligence, kontrak DORA, monitoring, exit

Information Sharing

4

Intelligence sharing arrangements

Available on request

Dapatkan full mapping DORA (EU 2022/2554) → ISO/IEC 27001:2022 + NIST CSF 2.0 dalam format spreadsheet.

Berisi: ID kontrol, deskripsi, clause yang dimapping, status implementasi (rekomendasi), severity, dan referensi. Kami kirimkan setelah Anda mengisi form singkat — supaya kami tahu konteks dan bisa memberikan rekomendasi yang relevan.

Request Mapping →

Cara Kami Membantu

Layanan kami yang paling sering digunakan oleh klien yang menerapkan DORA (EU 2022/2554).