EU Digital Operational Resilience Act (DORA)

Pada 17 Januari 2025, entitas keuangan Uni Eropa (EU) serta penyedia Teknologi Informasi dan Komunikasi (ICT) penting mereka harus siap untuk mematuhi EU Digital Operational Resilience Act (Regulation (EU) 2022/2554 - ‘DORA’). DORA menstandarkan cara entitas keuangan melaporkan insiden pengamanan cyber, menguji ketahanan operasional digital mereka, dan mengelola risiko pihak ketiga ICT di seluruh sektor jasa keuangan dan negara anggota EU.

Selain menetapkan ekspektasi yang jelas untuk peran penyedia ICT, DORA memungkinkan badan pengatur keuangan EU untuk mengawasi penyedia ICT penting secara langsung. Jika kriteria terpenuhi, hal ini akan berlaku bagi penyedia layanan cloud seperti Google Cloud.

Dukungan Google Cloud untuk pelanggan

Sambil menunggu batas waktu 17 Januari 2025, Google Cloud akan terus mendukung pelanggan kami dengan referensi dan perubahan baru untuk memenuhi persyaratan DORA yang berlaku, meliputi: 

  • FAQ DORA
  • Persyaratan kontrak yang diperbarui untuk Google Cloud dan Google Workspace guna memenuhi ketentuan kontraktual utama di Pasal 30 DORA. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut 
  • Pemetaan terhadap Pasal 30 DORA untuk Google Cloud dan Google Workspace guna membantu pelanggan memahami cara kontrak, kontrol, dan proses kami mendukung persyaratan DORA mereka
  • Panduan Pelanggan Pengelolaan Risiko ICT untuk mendukung kepatuhan terhadap persyaratan pengelolaan risiko DORA

Aspek-aspek utama dalam Digital Operational Resilience Act

Pertimbangan untuk entitas keuangan EU: Entitas keuangan harus menetapkan framework tata kelola dan kontrol internal untuk pengelolaan risiko ICT dan terlibat dalam pemantauan berkelanjutan risiko ICT. Persyaratan pengelolaan dan pemantauan risiko ICT ini mencakup penggunaan layanan ICT yang disediakan oleh penyedia pihak ketiga.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung pengelolaan dan pemantauan risiko ICT pelanggan, termasuk ketika sistem serta proses yang relevan dikelola oleh penyedia. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai proses pengelolaan risiko penyedia, termasuk kebijakan pengelolaan risiko ICT, kebijakan kontinuitas bisnis ICT, dan respons serta rencana pemulihan ICT. 

Dukungan Google Cloud: Bahkan sebelum berada di Google Cloud, Anda dapat menggunakan solusi Risk Assessment & Critical Asset Discovery kami untuk mengevaluasi risiko IT organisasi Anda saat ini, mengidentifikasi di mana aset penting Anda berada, dan menerima rekomendasi untuk meningkatkan postur keamanan serta ketahanan Anda. Kami juga telah memublikasikan panduan mengenai cara mengelola risiko dengan kontrol dan cara mengelola aset Anda. 

Setelah berada di Google Cloud, Anda dapat memanfaatkan beberapa alat untuk memetakan dan mengelola resource cloud secara berkelanjutan, termasuk Google Cloud OperationsResource Manager, Cloud Deployment Manager, serta Risk Manager. Informasi tentang pendekatan Google terhadap pengelolaan risiko tersedia di laporan sertifikasi dan audit Google. 

Jika ingin mendapatkan bantuan tambahan, Mandiant (kini bagian dari Google Cloud) menawarkan layanan Pengelolaan Risiko meliputi Cyber Risk Management Operations Service, Threat Modeling Security Service, Cyber Security Due Diligence Service, dan Cyber Security Program Assessment. Lihat juga Panduan Pelanggan Pengelolaan Risiko ICT kami untuk panduan tambahan.

Pertimbangan untuk entitas keuangan EU: DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien. Artinya, entitas keuangan yang beroperasi di berbagai sektor atau negara anggota EU tidak perlu lagi menggunakan sistem pelaporan yang paralel dan tumpang tindih dalam situasi mendesak. 

DORA juga bertujuan untuk menangani sistem pelaporan insiden yang paralel seperti NIS2. Secara keseluruhan, perubahan tersebut akan membantu badan pengatur mendapatkan informasi yang mereka perlukan sekaligus memungkinkan entitas keuangan untuk berfokus pada aspek penting lain dalam respons insiden. Entitas keuangan harus melaporkan insiden berdasarkan batas yang ditentukan dalam template dan rentang waktu tertentu, keduanya akan dijelaskan secara lengkap, serta mengimplementasikan prosedur untuk mendokumentasikan akar masalah dan peningkatan setelah insiden. 

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pelaporan insiden pelanggan. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai langsung proses penyedia dalam identifikasi, pemantauan, dan pelaporan cepat atas insiden material terkait ICT kepada entitas keuangan. 

Dukungan Google Cloud: Mulai tahun 2025, Google akan memberitahu pelanggan tentang persyaratan kontrak DORA yang diperbarui untuk Insiden Terkait ICT yang memengaruhi penggunaan Google Cloud mereka. Pemberitahuan ini tersedia tanpa biaya tambahan melalui saluran notifikasi kami yang ada (termasuk email, Personalized Service Health (PSH), Dasbor Service Health, dan Pusat Dukungan Google Cloud). 

Meskipun persyaratan tersebut masih berkembang, kami berkomitmen untuk menyediakan pemberitahuan sesuai jangka waktu beserta informasi yang diperlukan entitas keuangan untuk memfasilitasi penilaian serta pelaporan mereka sendiri berdasarkan persyaratan akhir.

Pertimbangan untuk entitas keuangan EU: Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan baru di tingkat EU untuk menguji ketahanan operasional digital. Bagi entitas keuangan tertentu, hal ini mencakup uji penetrasi berbasis ancaman lanjutan (TLPT) setiap tiga tahun. Dengan mengklarifikasi metodologi pengujian dan memperkenalkan pengakuan bersama atas hasil pengujian, DORA akan membantu entitas keuangan untuk terus mengembangkan dan menskalakan kemampuan pengujian mereka dengan cara yang kompatibel di seluruh EU.  

Pertimbangan untuk penyedia ICT: DORA menangani langsung peran penyedia ICT dalam TLPT yang dijalankan oleh entitas keuangan. Secara khusus, DORA mengizinkan pengujian gabungan untuk mengelola dampak pengujian terhadap layanan multi-tenant seperti cloud publik. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai langsung pengujian penyedia untuk sistem, infrastruktur, dan kontrol ICT. 

Dukungan Google Cloud: Mulai tahun 2025, Google akan berpartisipasi dalam TLPT dengan memfasilitasi pengujian gabungan oleh penguji eksternal seperti yang dijelaskan di Pasal 26(4) DORA. Kami yakin bahwa pengujian gabungan adalah cara terbaik untuk secara efektif menguji ketahanan operasional digital Google Cloud sekaligus mengelola risiko bawaan pada pelanggan pengujian lain di lingkungan multi-tenant.

Pertimbangan untuk entitas keuangan EU: DORA disusun berdasarkan landasan kuat yang ditetapkan oleh pedoman outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk mengimplementasikan framework pengelolaan risiko pihak ketiga ICT dan untuk kontrak dengan penyedia ICT. Dengan membantu memastikan bahwa risiko serupa ditangani secara konsisten di seluruh sektor dan negara anggota EU, DORA akan memungkinkan entitas keuangan mengonsolidasi dan meningkatkan program pengelolaan risiko pihak ketiga ICT mereka.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pengelolaan risiko pihak ketiga pelanggan. Selain itu, DORA akan memungkinkan Lead Overseer baru untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. 

Dukungan Google Cloud: Google menawarkan persyaratan kontrak yang diperbarui untuk Google Cloud dan Google Workspace kepada entitas keuangan guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Pertimbangan untuk entitas keuangan EU: DORA menjelaskan pertimbangan bagi entitas keuangan untuk secara sukarela membagikan informasi dan intelijen ancaman cyber kepada entitas keuangan serta badan pengatur lain. 

Pertimbangan untuk penyedia ICT: DORA menganggap penyedia ICT terlibat dalam pengaturan berbagi informasi yang melindungi informasi yang berpotensi sensitif. Namun, pengaturan ini belum didefinisikan.  

Dukungan Google Cloud: Google Cloud menawarkan produk dan layanan untuk membantu pelanggan secara proaktif melindungi diri mereka dari ancaman cyber sesuai persyaratan DORA. Kami memublikasikan Laporan Threat Horizons tiga bulanan untuk menyediakan intelijen strategis tentang ancaman kepada pelanggan kami. Pelanggan juga dapat memanfaatkan respons insiden Mandiant, layanan pengelolaan risiko cyber, dan layanan jaminan teknis untuk menjaga serta bersiap dari insiden cyber.

Pemberlakuan dan tanggung jawab Google Cloud

Meskipun DORA tidak akan berlaku bagi Google Cloud secara langsung kecuali dan hingga penetapan resmi sebagai penyedia ICT penting oleh badan pengatur EU, kami telah bersiap untuk memenuhi potensi persyaratan langsung dan berniat untuk terlibat secara terbuka dengan badan pengatur tentang penetapan tersebut.

Seperti persyaratan pengelolaan risiko ICT yang sudah ada, DORA berisi persyaratan tentang cara yang seharusnya dilakukan oleh entitas keuangan di EU untuk mengelola penyedia ICT mereka (termasuk penyedia layanan cloud). Meskipun persyaratan tersebut tidak berlaku bagi penyedia ICT secara langsung, Google Cloud mengakui bahwa kita perlu memberdayakan pelanggan untuk memenuhi ekspektasi tersebut secara komprehensif guna memastikan kesuksesan berkelanjutan mereka saat menggunakan layanan kami. 

Sebagai persiapan, Google Cloud terus meningkatkan produk dan kemampuan operasional kami di setiap aspek fokus DORA - lihat contohnya di atas. Untuk mendukung pelanggan, kami memiliki tim khusus seperti Office of the CISO yang menangani pertanyaan dan masukan pelanggan. Selain itu, sebelum batas waktu tahun 2025 kami akan terus memperbarui dokumentasi dan referensi kami untuk memberikan insight lebih lanjut ke dalam pendekatan Google Cloud untuk ketahanan, manajemen insiden, dan aspek fokus utama DORA lainnya.

FAQ

DORA adalah peraturan EU baru. Peraturan ini akan berlaku di seluruh sektor jasa keuangan di semua negara anggota EU. DORA memperbarui aturan yang ada dan menetapkan serangkaian persyaratan umum yang ditingkatkan untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Khususnya, DORA juga memperkenalkan framework baru untuk pengawasan langsung penyedia ICT penting oleh badan pengatur keuangan di EU.

DORA menetapkan serangkaian persyaratan umum yang ditingkatkan bagi entitas keuangan di EU untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Pada khususnya:

1. DORA berisi persyaratan detail untuk entitas keuangan tentang pengelolaan risiko ICT.

2. DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien.

3. Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan baru di tingkat EU untuk menguji ketahanan operasional digital, termasuk uji penetrasi berbasis ancaman.

4. DORA disusun berdasarkan landasan kuat yang ditetapkan oleh pedoman outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk kontrak dengan penyedia ICT.

DORA juga akan memungkinkan badan pengatur keuangan untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi.

DORA berlaku secara khusus untuk entitas keuangan di Eropa. Namun, sebagian dari DORA berlaku langsung bagi penyedia ICT (termasuk penyedia layanan cloud) yang ditetapkan sebagai “penting” oleh badan pengatur keuangan di EU setelah melalui proses resmi. Penetapan akan didasarkan pada sejumlah faktor, termasuk dampak sistemik kegagalan penyedia layanan ICT dan kepentingan sistemik entitas keuangan yang bergantung pada layanan tersebut.

DORA akan berlaku pada 17 Januari 2025 (2 tahun dan 20 hari setelah dipublikasikan di Jurnal Resmi EU). 

DORA hanya berlaku langsung bagi penyedia ICT penting setelah ditetapkan sebagai “penting” oleh badan pengatur keuangan di EU. Oleh karena itu, batas waktu untuk kepatuhan bagi penyedia ICT penting bergantung pada waktu penetapannya. Meskipun DORA tidak akan berlaku bagi Google Cloud secara langsung kecuali dan hingga penetapan resmi, kami telah bersiap untuk memenuhi potensi persyaratan langsung.

Kami telah berinteraksi dengan pembuat kebijakan mengenai proposal DORA sejak pendaftarannya pada September 2020. Secara paralel, kami menyiapkan program kesiapan untuk menganalisis ekspektasi calon pelanggan dan tanggung jawab kami sendiri seiring berkembangnya DORA selama proses legislatif. 

Setelah teks DORA diselesaikan, tim lintas fungsi di Google Cloud (termasuk pakar materi pokok dari Risiko & Kepatuhan, Keamanan, Hukum, Urusan Peraturan, Urusan Pemerintah, dan Produk) akan meninjau detail, mempersiapkan, serta mengimplementasikan rencana kepatuhan jika diperlukan. Rencana ini disusun berdasarkan landasan kuat kami di aspek seperti keamanan, ketahanan, dan pengelolaan risiko pihak ketiga yang telah mendukung pelanggan kami dalam memenuhi ekspektasi yang ketat sesuai pedoman outsourcing EBA, pedoman outsourcing cloud EIOPA, dan pedoman outsourcing cloud ESMA.

Kami berencana menggunakan periode implementasi untuk meningkatkan lebih lanjut kemampuan kami dalam setiap aspek fokus DORA. Sasaran kami adalah menjadikan Google Cloud sebagai layanan paling baik untuk transformasi digital yang ramah lingkungan bagi organisasi Eropa sesuai keinginan mereka.

Framework pengawasan bagi penyedia ICT penting di bawah DORA menciptakan peluang nyata untuk meningkatkan pemahaman, transparansi, dan kepercayaan di antara penyedia ICT, entitas keuangan, serta badan pengatur keuangan, yang pada akhirnya menstimulasi inovasi dalam sektor keuangan di Eropa. DORA akan membuat saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. Kami yakin bahwa dialog terstruktur ini akan membantu meningkatkan pengelolaan risiko dan ketahanan di seluruh sektor.

Google Cloud berkomitmen dalam mendukung badan pengatur untuk secara efektif mengawasi penggunaan layanan kami oleh entitas keuangan. Kami memberikan hak informasi, audit, dan akses kepada entitas keuangan, badan pengatur, dan pihak yang mereka tunjuk, serta mendukung pelanggan kami ketika mereka atau badan pengatur mereka memilih untuk menggunakan hak-hak tersebut. Kami akan menjalin hubungan bersama Lead Overseer dengan komitmen yang sama untuk transparansi, kolaborasi, dan jaminan berkelanjutan. 

Kami sangat berfokus pada perencanaan untuk persyaratan pengawasan langsung dan berkomitmen untuk memastikan bahwa fungsi pengawasan langsung kami secara efektif mendukung komunikasi badan pengatur, audit yang efisien, dan rencana perbaikan sesuai batas waktu.

Kami menawarkan persyaratan kontrak yang diperbarui untuk Google Cloud dan Google Workspace kepada entitas keuangan guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. 

Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Kami menyadari bahwa draf RTS terkait Subkontrak berisi persyaratan kontrak tambahan. Google Cloud memantau progres RTS dan akan menawarkan persyaratan kontrak yang diperbarui untuk mengatasinya jika diperlukan setelah versi final diadopsi oleh Komisi Eropa. Anda dapat menemukan daftar peraturan yang telah diimplementasikan dan didelegasikan oleh DORA dan telah diadopsi oleh Komisi Eropa di sini.

Jika Anda menggunakan Google Cloud untuk menyediakan layanan ICT kepada entitas keuangan di Uni Eropa, kami memahami bahwa Anda memerlukan persyaratan kontrak downstream yang tepat dengan Google. Untuk membantu, dalam skenario ini kami menawarkan persyaratan kontrak yang setara kepada pelanggan dan partner untuk memenuhi ketentuan kontraktual utama dalam Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. 

Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Kami terlibat dalam pengembangan kebijakan sektor jasa keuangan yang secara signifikan memengaruhi Google Cloud dan penggunaan layanan kami secara global oleh pelanggan. 

Saat pembuat kebijakan mempertimbangkan pendekatan yang serupa dengan DORA, mereka sering kali mempertimbangkan terlebih dahulu bagaimana pendekatan tersebut sesuai dengan framework peraturan lokal yang sudah ada, termasuk aspek-aspek yang dianggap dapat ditingkatkan. Komisi Eropa telah mengonsultasikan masalah ini pada tahun 2020 sebelum mengajukan draf awal DORA. 

Jika pembuat kebijakan telah mengonfirmasi perlunya pendekatan peraturan yang berbeda (dan berpotensi langsung), kami akan mulai berbagi keahlian teknologi mengenai layanan cloud dan secara konsisten memberikan dukungan untuk:

harmonisasi dan penghapusan duplikat untuk persyaratan (baik di dalam dan di antara negara)

persyaratan yang proporsional dan sesuai untuk tujuan

pendekatan netral teknologi yang mendorong inovasi

- pendekatan yang menghormati keamanan dan integritas layanan kami untuk semua pelanggan

Inggris adalah contoh negara lain yang saat ini mempertimbangkan framework peraturan langsung bagi penyedia pihak ketiga penting untuk sektor keuangan. Kami terlibat dalam Consultation Paper berdasarkan prinsip-prinsip di atas. 

Penting untuk diperhatikan bahwa DORA bukanlah satu-satunya peraturan yang akan berlaku bagi penyedia cloud di Eropa. NISD2 Directive juga akan memperkenalkan pengawasan sektor-agnostik bagi pihak ketiga penting, dan terdapat banyak persyaratan nasional yang berlaku bagi layanan cloud dalam industri teregulasi. 

Adopsi cloud dalam jasa keuangan merupakan hal yang baru, dan peraturan berikutnya harus menstimulasi jenis inovasi ini. Negara lain akan mengambil pendekatan yang berbeda untuk menjamin keamanan dan ketahanan operasional ekosistem jasa keuangan, serta peraturan atau pengawasan langsung bukanlah satu-satunya solusi yang sesuai di beberapa pasar. Kami mengerti bahwa badan pengatur di wilayah hukum lain sama-sama berfokus pada standar, aturan horizontal, dan praktik peraturan mandiri. Apa pun pendekatan yang diambil oleh pembuat kebijakan, penting untuk memastikan konsistensi peraturan dan harmonisasi prinsip yang diterapkan di seluruh sektor karena akan memengaruhi para pemain teknologi global serta ekosistem keuangan digital lintas perbatasan.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Konsol
Google Cloud