Pertimbangan untuk entitas keuangan EU: Entitas keuangan harus menetapkan framework tata kelola dan kontrol internal untuk pengelolaan risiko ICT dan terlibat dalam pemantauan berkelanjutan risiko ICT. Persyaratan pengelolaan dan pemantauan risiko ICT ini mencakup penggunaan layanan ICT yang disediakan oleh penyedia pihak ketiga.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung pengelolaan dan pemantauan risiko ICT pelanggan, termasuk ketika sistem serta proses yang relevan dikelola oleh penyedia. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai proses pengelolaan risiko penyedia, termasuk kebijakan pengelolaan risiko ICT, kebijakan kontinuitas bisnis ICT, dan respons serta rencana pemulihan ICT. 

Dukungan Google Cloud: Bahkan sebelum berada di Google Cloud, Anda dapat menggunakan solusi Risk Assessment & Critical Asset Discovery kami untuk mengevaluasi risiko IT organisasi Anda saat ini, mengidentifikasi di mana aset penting Anda berada, dan menerima rekomendasi untuk meningkatkan postur keamanan serta ketahanan Anda. Kami juga telah memublikasikan panduan mengenai cara mengelola risiko dengan kontrol dan cara mengelola aset Anda. 

Setelah berada di Google Cloud, Anda dapat memanfaatkan beberapa alat untuk memetakan dan mengelola resource cloud secara berkelanjutan, termasuk Cloud Monitoring, Resource Manager, Infrastructure Manager, dan Cyber Insurance Hub. Informasi tentang pendekatan Google terhadap pengelolaan risiko tersedia di laporan sertifikasi dan audit Google. 

Jika ingin mendapatkan bantuan tambahan, Mandiant (kini bagian dari Google Cloud) menawarkan layanan Pengelolaan Risiko meliputi Cyber Risk Management Operations Service, Threat Modeling Security Service, Cyber Security Due Diligence Service, dan Cyber Security Program Assessment. Lihat juga Panduan Pelanggan Pengelolaan Risiko ICT kami untuk panduan tambahan.

Pertimbangan untuk entitas keuangan EU: DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien. Artinya, entitas keuangan yang beroperasi di berbagai sektor atau negara anggota EU tidak perlu lagi menggunakan sistem pelaporan yang paralel dan tumpang tindih dalam situasi mendesak. 

DORA juga bertujuan untuk menangani sistem pelaporan insiden yang paralel seperti NIS2. Secara keseluruhan, perubahan tersebut akan membantu badan pengatur mendapatkan informasi yang mereka perlukan sekaligus memungkinkan entitas keuangan untuk berfokus pada aspek penting lain dalam respons insiden. Entitas keuangan harus melaporkan insiden berdasarkan batas yang ditentukan dalam template dan rentang waktu tertentu, serta mengimplementasikan prosedur untuk mendokumentasikan akar masalah dan peningkatan setelah insiden. 

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pelaporan insiden pelanggan. Selain itu, bagi penyedia ICT penting, Lead Overseer akan menilai langsung proses penyedia dalam identifikasi, pemantauan, dan pelaporan cepat atas insiden material terkait ICT kepada entitas keuangan. 

Dukungan Google Cloud: Google akan memberi tahu pelanggan tentang persyaratan kontrak DORA yang diperbarui untuk Insiden Terkait ICT yang memengaruhi penggunaan Google Cloud mereka. Pemberitahuan ini tersedia tanpa biaya tambahan melalui saluran notifikasi kami yang ada (termasuk email, Personalized Service Health (PSH), Dasbor Service Health, dan Pusat Dukungan Google Cloud). 

Kami berkomitmen untuk menyediakan pemberitahuan sesuai jangka waktu beserta informasi yang diperlukan entitas keuangan untuk memfasilitasi penilaian serta pelaporan mereka sendiri berdasarkan persyaratan DORA.

Pertimbangan untuk entitas keuangan EU: Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan di tingkat EU untuk menguji ketahanan operasional digital. Bagi entitas keuangan tertentu, hal ini mencakup uji penetrasi berbasis ancaman lanjutan (TLPT) setiap tiga tahun. Dengan mengklarifikasi metodologi pengujian dan memperkenalkan pengakuan bersama atas hasil pengujian, DORA akan membantu entitas keuangan untuk terus mengembangkan dan menskalakan kemampuan pengujian mereka dengan cara yang kompatibel di seluruh EU.  

Pertimbangan untuk penyedia ICT: DORA menangani langsung peran penyedia ICT dalam TLPT yang dijalankan oleh entitas keuangan. Secara khusus, DORA mengizinkan pengujian gabungan untuk mengelola dampak pengujian terhadap layanan multi-tenant seperti cloud publik. Selain itu, bagi penyedia ICT penting, Lead Overseer akan menilai langsung pengujian penyedia untuk sistem, infrastruktur, dan kontrol ICT. 

Dukungan Google Cloud: Google akan berpartisipasi dalam TLPT dengan memfasilitasi pengujian gabungan oleh penguji eksternal seperti yang dijelaskan di Pasal 26(4) DORA. Kami yakin bahwa pengujian gabungan adalah cara terbaik untuk secara efektif menguji ketahanan operasional digital Google Cloud sekaligus mengelola risiko bawaan pada pelanggan pengujian lain di lingkungan multi-tenant.

Pertimbangan untuk entitas keuangan EU: DORA disusun berdasarkan landasan kuat yang ditetapkan oleh pedoman outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk mengimplementasikan framework pengelolaan risiko pihak ketiga ICT dan untuk kontrak dengan penyedia ICT. Dengan membantu memastikan bahwa risiko serupa ditangani secara konsisten di seluruh sektor dan negara anggota EU, DORA akan memungkinkan entitas keuangan mengonsolidasi dan meningkatkan program pengelolaan risiko pihak ketiga ICT mereka.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pengelolaan risiko pihak ketiga pelanggan. Selain itu, DORA akan memungkinkan Lead Overseer untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. 

Dukungan Google Cloud: Google menawarkan persyaratan kontrak yang diperbarui untuk Google Cloud, Google Workspace, dan Layanan SecOps kepada entitas keuangan guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Pertimbangan untuk entitas keuangan EU: DORA menjelaskan pertimbangan bagi entitas keuangan untuk secara sukarela membagikan informasi dan intelijen ancaman cyber kepada entitas keuangan serta badan pengatur lain. 

Pertimbangan untuk penyedia ICT: DORA menganggap penyedia ICT terlibat dalam pengaturan berbagi informasi yang melindungi informasi yang berpotensi sensitif. Namun, pengaturan ini belum didefinisikan.  

Dukungan Google Cloud: Google Cloud menawarkan produk dan layanan untuk membantu pelanggan secara proaktif melindungi diri mereka dari ancaman cyber sesuai persyaratan DORA. Kami memublikasikan Laporan Threat Horizons tiga bulanan untuk menyediakan intelijen strategis tentang ancaman kepada pelanggan kami. Pelanggan juga dapat memanfaatkan respons insiden Mandiant, layanan pengelolaan risiko cyber, dan layanan keamanan ofensif untuk melindungi diri serta bersiap menghadapi insiden cyber.

DORA adalah peraturan EU. Peraturan ini berlaku di seluruh sektor jasa keuangan di semua negara anggota EU. DORA memperbarui aturan yang ada dan menetapkan serangkaian persyaratan umum yang ditingkatkan untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Khususnya, DORA juga memperkenalkan framework baru untuk pengawasan langsung atas penyedia ICT penting oleh badan pengatur keuangan di EU, yaitu European Banking Authority, European Insurance and Occupational Pensions Authority, dan European Securities and Markets Authority (bersama-sama disebut European Supervisory Authorities).

DORA menetapkan serangkaian persyaratan umum yang ditingkatkan bagi entitas keuangan di EU untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Pada khususnya:

1. DORA berisi persyaratan detail untuk entitas keuangan tentang pengelolaan risiko ICT.
2. DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien.
3. Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan di tingkat EU untuk menguji ketahanan operasional digital, termasuk uji penetrasi berbasis ancaman.
4. DORA disusun berdasarkan landasan kuat yang ditetapkan oleh panduan outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk kontrak dengan penyedia ICT.

DORA juga memungkinkan Otoritas Badan Pengawas Eropa untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi.

DORA berlaku secara khusus untuk entitas keuangan di Eropa. Namun, sebagian dari DORA berlaku langsung bagi penyedia ICT (termasuk penyedia layanan cloud) yang ditetapkan sebagai “penting” oleh European Supervisory Authorities setelah melalui proses resmi. Penetapan didasarkan pada sejumlah faktor, termasuk dampak sistemik kegagalan penyedia layanan ICT dan kepentingan sistemik entitas keuangan yang bergantung pada layanan tersebut.

DORA mulai berlaku pada 17 Januari 2025 (2 tahun dan 20 hari setelah dipublikasikan di Jurnal Resmi EU). 

DORA hanya berlaku langsung bagi penyedia ICT penting setelah ditetapkan sebagai “penting” oleh Otoritas Badan Pengawas Eropa. Oleh karena itu, batas waktu untuk kepatuhan bagi penyedia ICT penting bergantung pada waktu penetapannya.

Google Cloud EMEA Limited telah ditetapkan secara resmi sebagai penyedia layanan pihak ketiga ICT penting (CTPP). Penetapan ini mencakup anak perusahaan Google Cloud EMEA Limited berikut: Google Cloud France SARL, Google Cloud Italy S.r.l, dan Google Cloud Poland Sp. z o.o.

Google Cloud EMEA Limited telah ditetapkan sebagai penyedia layanan pihak ketiga ICT penting (CTPP) berdasarkan penilaian penting yang dilakukan oleh European Supervisory Authorities (ESA). Untuk mencapai kesimpulan tentang setiap CTPP, ESA mempertimbangkan kriteria berikut yang ditetapkan dalam DORA: (a) dampak sistemik gangguan layanan ICT CTPP terhadap sektor keuangan, (b) kepentingan sistemik entitas keuangan yang menggunakan layanan ICT CTPP, (c) tingkat ketergantungan entitas keuangan pada layanan ICT CTPP, dan (d) substitusi layanan ICT CTPP. Metodologi yang tepat untuk penilaian penting ESA ditetapkan dalam Peraturan Delegasi yang menentukan kriteria penetapan penyedia layanan pihak ketiga ICT sebagai penting bagi entitas keuangan.

Google Cloud EMEA Limited akan diawasi secara langsung oleh Lead Overseer yang ditugaskan. Lead Overseer akan menjadi salah satu Otoritas Badan Pengawas Eropa untuk sektor keuangan. Lead Overseer akan menilai apakah Google Cloud EMEA Limited memiliki aturan, prosedur, mekanisme, dan pengaturan yang komprehensif, baik, dan efektif untuk mengelola risiko teknologi informasi dan komunikasi (ICT) yang mungkin ditimbulkan bagi entitas keuangan yang menggunakan layanannya. Jika Anda ingin mengetahui informasi selengkapnya tentang cara pengawasan penyedia layanan pihak ketiga ICT penting (CTPP) akan bekerja dalam praktiknya, lihat Panduan Aktivitas Pengawasan yang diterbitkan oleh Otoritas Badan Pengawas Eropa.

Penetapan dan pengawasan Google Cloud EMEA Limited sebagai penyedia layanan pihak ketiga ICT penting (CTPP) tidak memengaruhi penggunaan layanan kami oleh pelanggan atau mengubah persyaratan dalam kontrak Anda.

Jika organisasi Anda adalah entitas keuangan yang tunduk pada DORA, pengawasan terhadap CTPP tidak menggantikan atau mengurangi tanggung jawab organisasi Anda sendiri berdasarkan DORA, termasuk untuk pengelolaan risiko pihak ketiga.

Meskipun demikian, dengan melengkapi pengelolaan risiko oleh entitas keuangan dan menciptakan mekanisme yang jelas untuk mengalirkan informasi dan pembelajaran antara CTPP dan pemangku kepentingan pengawasan utama UE dan nasional, kami yakin bahwa pelanggan dan pengguna akan mendapatkan manfaat dari pengawasan CTPP.

Framework pengawasan bagi penyedia ICT penting di bawah DORA menciptakan peluang nyata untuk meningkatkan pemahaman, transparansi, dan kepercayaan di antara penyedia ICT, entitas keuangan, serta badan pengatur keuangan, yang pada akhirnya menstimulasi inovasi dalam sektor keuangan di Eropa. DORA akan membuat saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. Kami yakin bahwa dialog terstruktur ini akan membantu meningkatkan pengelolaan risiko dan ketahanan di seluruh sektor.

Google Cloud berkomitmen dalam mendukung badan pengatur untuk secara efektif mengawasi penggunaan layanan kami oleh entitas keuangan. Kami memberikan hak informasi, audit, dan akses kepada entitas keuangan, badan pengatur, dan pihak yang mereka tunjuk, serta mendukung pelanggan kami ketika mereka atau badan pengatur mereka memilih untuk menggunakan hak-hak tersebut. Kami akan menjalin hubungan bersama Lead Overseer dengan komitmen yang sama untuk transparansi, kolaborasi, dan jaminan berkelanjutan. 

Kami sangat berfokus pada perencanaan untuk persyaratan pengawasan langsung dan berkomitmen untuk memastikan bahwa fungsi pengawasan langsung kami secara efektif mendukung komunikasi badan pengatur, audit yang efisien, dan rencana perbaikan sesuai batas waktu.

Kami menawarkan persyaratan kontrak yang diperbarui untuk Google Cloud, Google Workspace, dan Layanan SecOps kepada entitas keuangan guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. 

Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

RTS terkait Subkontrak berisi persyaratan kontrak tambahan. Persyaratan kontrak yang diperbarui untuk Google Cloud, Google Workspace, dan Layanan SecOps juga memenuhi persyaratan kontraktual dalam RTS tentang Subkontrak. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut.

Jika Anda menggunakan Google Cloud untuk menyediakan layanan ICT kepada entitas keuangan di Uni Eropa, kami memahami bahwa Anda memerlukan persyaratan kontrak downstream yang tepat dengan Google. Untuk membantu, dalam skenario ini kami menawarkan persyaratan kontrak yang setara kepada pelanggan dan partner untuk memenuhi ketentuan kontraktual utama dalam Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. 

Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.