DORA (EU 2022/2554)
Digital Operational Resilience Act
Regulasi UE tentang ketahanan operasional digital lembaga keuangan — wajib untuk bank, fintech, asuransi, dan critical ICT third-party providers yang beroperasi di UE atau melayani entitas UE.
Berlaku untuk
- ● Lembaga keuangan UE
- ● Bank/fintech Indonesia yang ekspansi ke UE atau partnership dengan UE FI
- ● ICT third-party providers (cloud, vendor) yang melayani UE financial sector
Mapping ke Standar
- ◆ ISO/IEC 27001:2022
- ◆ NIST CSF 2.0
- ◆ ISO/IEC 22301
- ◆ EBA/EIOPA Guidelines
Sanksi / Konsekuensi
Denda hingga 1-2% dari turnover global tahunan, suspensi kegiatan, hingga pencabutan izin.
Kewajiban Utama
Ringkasan kewajiban yang harus dipenuhi oleh entitas terkena DORA (EU 2022/2554).
- 1 ICT risk management framework yang ter-board-approve
- 2 Insiden ICT — klasifikasi, pelaporan ke otoritas kompeten dengan SLA ketat
- 3 Digital operational resilience testing — termasuk TLPT (Threat-Led Penetration Testing)
- 4 Manajemen ICT third-party risk (vendor, cloud, outsourcing) dengan kontrak DORA-compliant
- 5 Information sharing arrangement (intelligence sharing)
- 6 Direct supervision atas critical ICT third-party providers oleh ESAs
Tantangan Implementasi yang Sering Muncul
Control Mapping
48 kontrol terstruktur, di-mapping ke 4 standar internasional.
Kami sudah menyusun mapping clause-per-clause antara DORA (EU 2022/2554) dan standar internasional (ISO/IEC 27001:2022, NIST CSF 2.0, ISO/IEC 22301, EBA/EIOPA Guidelines) — siap pakai untuk gap analysis, audit prep, dan rapat dengan regulator. Berikut ringkasan grup kontrolnya:
ICT Risk Management
14Framework, governance, board oversight
ICT-Related Incidents
10Klasifikasi, pelaporan, root cause, lessons
Digital Operational Resilience Testing
8TLPT, vulnerability, scenario testing
ICT Third-Party Risk
12Due diligence, kontrak DORA, monitoring, exit
Information Sharing
4Intelligence sharing arrangements
Available on request
Dapatkan full mapping DORA (EU 2022/2554) → ISO/IEC 27001:2022 + NIST CSF 2.0 dalam format spreadsheet.
Berisi: ID kontrol, deskripsi, clause yang dimapping, status implementasi (rekomendasi), severity, dan referensi. Kami kirimkan setelah Anda mengisi form singkat — supaya kami tahu konteks dan bisa memberikan rekomendasi yang relevan.
Regulasi Terkait
ISO 27001:2022
Standar internasional untuk sistem manajemen keamanan informasi (ISMS). Revisi 2022 menyatukan 114 kontrol Annex A menjadi 93 kontrol dalam 4 tema.
NIST (U.S.) · 2024NIST CSF 2.0
Framework keamanan siber risk-based dari NIST. Versi 2.0 (2024) menambahkan fungsi GOVERN sebagai fungsi keenam, fokus pada tata kelola di level Direksi.
OJK · 2022POJK 11/2022
Mengatur tata kelola, manajemen risiko, dan keamanan dalam penyelenggaraan TI bank umum, termasuk penggunaan cloud, third-party, dan pelaporan insiden ke OJK.
Cara Kami Membantu
Layanan kami yang paling sering digunakan oleh klien yang menerapkan DORA (EU 2022/2554).