Pertimbangan untuk entitas keuangan EU: Entitas keuangan harus menetapkan framework tata kelola dan kontrol internal untuk pengelolaan risiko ICT dan terlibat dalam pemantauan berkelanjutan risiko ICT. Persyaratan pengelolaan dan pemantauan risiko ICT ini mencakup penggunaan layanan ICT yang disediakan oleh penyedia pihak ketiga.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung pengelolaan dan pemantauan risiko ICT pelanggan, termasuk ketika sistem serta proses yang relevan dikelola oleh penyedia. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai proses pengelolaan risiko penyedia, termasuk kebijakan pengelolaan risiko ICT, kebijakan kontinuitas bisnis ICT, dan respons serta rencana pemulihan ICT. 

Dukungan Google Cloud: Bahkan sebelum berada di Google Cloud, Anda dapat menggunakan solusi Risk Assessment & Critical Asset Discovery kami untuk mengevaluasi risiko IT organisasi Anda saat ini, mengidentifikasi di mana aset penting Anda berada, dan menerima rekomendasi untuk meningkatkan postur keamanan serta ketahanan Anda. Kami juga telah memublikasikan panduan mengenai cara mengelola risiko dengan kontrol dan cara mengelola aset Anda. 

Setelah berada di Google Cloud, Anda dapat memanfaatkan beberapa alat untuk memetakan dan mengelola resource cloud secara berkelanjutan, termasuk Google Cloud Operations, Resource Manager, Cloud Deployment Manager, serta Risk Manager. Informasi tentang pendekatan Google terhadap pengelolaan risiko tersedia di laporan sertifikasi dan audit Google. 

Jika ingin mendapatkan bantuan tambahan, Mandiant (kini bagian dari Google Cloud) menawarkan layanan Pengelolaan Risiko meliputi Cyber Risk Management Operations Service, Threat Modeling Security Service, Cyber Security Due Diligence Service, dan Cyber Security Program Assessment.

Pertimbangan untuk entitas keuangan EU: DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien. Artinya, entitas keuangan yang beroperasi di berbagai sektor atau negara anggota EU tidak perlu lagi menggunakan sistem pelaporan yang paralel dan tumpang tindih dalam situasi mendesak. 

DORA juga bertujuan untuk menangani sistem pelaporan insiden yang paralel seperti NIS2. Secara keseluruhan, perubahan tersebut akan membantu badan pengatur mendapatkan informasi yang mereka perlukan sekaligus memungkinkan entitas keuangan untuk berfokus pada aspek penting lain dalam respons insiden. Entitas keuangan harus melaporkan insiden berdasarkan batas yang ditentukan dalam template dan rentang waktu tertentu, keduanya akan dijelaskan secara lengkap, serta mengimplementasikan prosedur untuk mendokumentasikan akar masalah dan peningkatan setelah insiden. 

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pelaporan insiden pelanggan. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai langsung proses penyedia dalam identifikasi, pemantauan, dan pelaporan cepat atas insiden material terkait ICT kepada entitas keuangan. 

Dukungan Google Cloud: Mulai tahun 2025, Google akan memberitahu pelanggan tentang persyaratan kontrak DORA yang diperbarui untuk Insiden Terkait ICT yang memengaruhi penggunaan Google Cloud mereka. Pemberitahuan ini tersedia tanpa biaya tambahan melalui saluran notifikasi kami yang ada (termasuk email, Dasbor Service Health, dan Pusat Dukungan Google Cloud). 

Meskipun persyaratan tersebut masih berkembang, kami berkomitmen untuk menyediakan pemberitahuan sesuai jangka waktu beserta informasi yang diperlukan entitas keuangan untuk memfasilitasi penilaian serta pelaporan mereka sendiri berdasarkan persyaratan akhir.

Pertimbangan untuk entitas keuangan EU: Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan baru di tingkat EU untuk menguji ketahanan operasional digital. Bagi entitas keuangan tertentu, hal ini mencakup uji penetrasi berbasis ancaman lanjutan (TLPT) setiap tiga tahun. Dengan mengklarifikasi metodologi pengujian dan memperkenalkan pengakuan bersama atas hasil pengujian, DORA akan membantu entitas keuangan untuk terus mengembangkan dan menskalakan kemampuan pengujian mereka dengan cara yang kompatibel di seluruh EU.  

Pertimbangan untuk penyedia ICT: DORA menangani langsung peran penyedia ICT dalam TLPT yang dijalankan oleh entitas keuangan. Secara khusus, DORA mengizinkan pengujian gabungan untuk mengelola dampak pengujian terhadap layanan multi-tenant seperti cloud publik. Selain itu, bagi penyedia ICT penting, Lead Overseer baru akan menilai langsung pengujian penyedia untuk sistem, infrastruktur, dan kontrol ICT. 

Dukungan Google Cloud: Mulai tahun 2025, Google akan berpartisipasi dalam TLPT dengan memfasilitasi pengujian gabungan oleh penguji eksternal seperti yang dijelaskan di Pasal 26(4) DORA. Kami yakin bahwa pengujian gabungan adalah cara terbaik untuk secara efektif menguji ketahanan operasional digital Google Cloud sekaligus mengelola risiko bawaan pada pelanggan pengujian lain di lingkungan multi-tenant.

Pertimbangan untuk entitas keuangan EU: DORA disusun berdasarkan landasan kuat yang ditetapkan oleh pedoman outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk mengimplementasikan framework pengelolaan risiko pihak ketiga ICT dan untuk kontrak dengan penyedia ICT. Dengan membantu memastikan bahwa risiko serupa ditangani secara konsisten di seluruh sektor dan negara anggota EU, DORA akan memungkinkan entitas keuangan mengonsolidasi dan meningkatkan program pengelolaan risiko pihak ketiga ICT mereka.

Pertimbangan untuk penyedia ICT: Penyedia ICT diwajibkan untuk mendukung persyaratan pengelolaan risiko pihak ketiga pelanggan. Selain itu, DORA akan memungkinkan Lead Overseer baru untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. 

Dukungan Google Cloud: Mulai Februari 2024, Google akan menawari entitas keuangan persyaratan kontrak yang diperbarui untuk Google Cloud dan Google Workspace guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Pertimbangan untuk entitas keuangan EU: DORA menjelaskan pertimbangan bagi entitas keuangan untuk secara sukarela membagikan informasi dan intelijen ancaman cyber kepada entitas keuangan serta badan pengatur lain. 

Pertimbangan untuk penyedia ICT: DORA menganggap penyedia ICT terlibat dalam pengaturan berbagi informasi yang melindungi informasi yang berpotensi sensitif. Namun, pengaturan ini belum didefinisikan.  

Dukungan Google Cloud: Google Cloud menawarkan produk dan layanan untuk membantu pelanggan secara proaktif melindungi diri mereka dari ancaman cyber sesuai persyaratan DORA. Kami memublikasikan Laporan Threat Horizons tiga bulanan untuk menyediakan intelijen strategis tentang ancaman kepada pelanggan kami. Pelanggan juga dapat memanfaatkan respons insiden Mandiant, layanan pengelolaan risiko cyber, dan layanan jaminan teknis untuk menjaga serta bersiap dari insiden cyber.

DORA adalah peraturan EU baru. Peraturan ini akan berlaku di seluruh sektor jasa keuangan di semua negara anggota EU. DORA memperbarui aturan yang ada dan menetapkan serangkaian persyaratan umum yang ditingkatkan untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Khususnya, DORA juga memperkenalkan framework baru untuk pengawasan langsung penyedia ICT penting oleh badan pengatur keuangan di EU.

DORA menetapkan serangkaian persyaratan umum yang ditingkatkan bagi entitas keuangan di EU untuk memitigasi risiko ICT dan memperkuat ketahanan digital dalam sistem keuangan Eropa. Pada khususnya:

1. DORA berisi persyaratan detail untuk entitas keuangan tentang pengelolaan risiko ICT.

2. DORA mengonsolidasikan persyaratan pelaporan insiden sektor keuangan ke dalam satu framework yang efisien.

3. Berdasarkan inisiatif EU yang sudah ada seperti TIBER-EU, DORA menetapkan pendekatan baru di tingkat EU untuk menguji ketahanan operasional digital, termasuk uji penetrasi berbasis ancaman.

4. DORA disusun berdasarkan landasan kuat yang ditetapkan oleh pedoman outsourcing dari Otoritas Badan Pengawas Eropa dengan mengoordinasikan lebih lanjut persyaratan pengelolaan risiko pihak ketiga ICT di seluruh sektor, termasuk persyaratan untuk kontrak dengan penyedia ICT.

DORA juga akan memungkinkan badan pengatur keuangan untuk mengawasi langsung penyedia ICT penting. Mekanisme ini akan menciptakan saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi.

DORA berlaku secara khusus untuk entitas keuangan di Eropa. Namun, sebagian dari DORA berlaku langsung bagi penyedia ICT (termasuk penyedia layanan cloud) yang ditetapkan sebagai “penting” oleh badan pengatur keuangan di EU setelah melalui proses resmi. Penetapan akan didasarkan pada sejumlah faktor, termasuk dampak sistemik kegagalan penyedia layanan ICT dan kepentingan sistemik entitas keuangan yang bergantung pada layanan tersebut.

DORA akan berlaku pada 17 Januari 2025 (2 tahun dan 20 hari setelah dipublikasikan di Jurnal Resmi EU). 

DORA hanya berlaku langsung bagi penyedia ICT penting setelah ditetapkan sebagai “penting” oleh badan pengatur keuangan di EU. Oleh karena itu, batas waktu untuk kepatuhan bagi penyedia ICT penting bergantung pada waktu penetapannya. Meskipun DORA tidak akan berlaku bagi Google Cloud secara langsung kecuali dan hingga penetapan resmi, kami telah bersiap untuk memenuhi potensi persyaratan langsung.

Kami telah berinteraksi dengan pembuat kebijakan mengenai proposal DORA sejak pendaftarannya pada September 2020. Secara paralel, kami menyiapkan program kesiapan untuk menganalisis ekspektasi calon pelanggan dan tanggung jawab kami sendiri seiring berkembangnya DORA selama proses legislatif. 

Setelah teks DORA diselesaikan, tim lintas fungsi di Google Cloud (termasuk pakar materi pokok dari Risiko & Kepatuhan, Keamanan, Hukum, Urusan Pemerintah, dan Produk) akan meninjau detail, mempersiapkan, serta mengimplementasikan rencana kepatuhan jika diperlukan. Rencana ini disusun berdasarkan landasan kuat kami di aspek seperti keamanan, ketahanan, dan pengelolaan risiko pihak ketiga yang telah mendukung pelanggan kami dalam memenuhi ekspektasi yang ketat sesuai pedoman outsourcing EBA, pedoman outsourcing cloud EIOPA, dan pedoman outsourcing cloud ESMA.

Kami berencana menggunakan periode implementasi untuk meningkatkan lebih lanjut kemampuan kami dalam setiap aspek fokus DORA. Sasaran kami adalah menjadikan Google Cloud sebagai layanan paling baik untuk transformasi digital yang ramah lingkungan bagi organisasi Eropa sesuai keinginan mereka.

Meskipun teks DORA telah diselesaikan, beberapa persyaratan penting masih harus ditentukan lebih lanjut dalam legislasi sekunder yang disebut sebagai peraturan DORA Level 2. Hal ini berisi standar teknis peraturan atau “RTS” mengenai aspek utama seperti pelaporan insiden, uji penetrasi berbasis ancaman, dan subkontrak. 

Kami memahami bahwa persyaratan Level 2 yang diselesaikan nanti harus dipenuhi jika relevan. Namun, karena sifatnya yang dapat berubah sewaktu-waktu, draf Level 2 ini menjadi tidak mungkin untuk diantisipasi. 

Untuk mendukung pembuat kebijakan dan pelanggan kami, Google Cloud terlibat aktif dalam diskusi kebijakan EU mengenai peraturan DORA Level 2. Kami akan terus berpartisipasi dalam dialog tentang DORA dengan cara yang transparan dan konstruktif. Khususnya, kami akan mendukung:

Konsistensi di setiap peraturan Level 2 dan dengan mandat yang tersedia dalam DORA.

Harmonisasi dengan mematangkan pendekatan dalam sektor keuangan global dan sistem EU paralel lain (misalnya di pelaporan insiden).

Proporsionalitas terutama ketika pendekatan peraturan yang mungkin pantas bagi beberapa layanan ICT berpotensi memiliki dampak negatif yang tidak diinginkan terhadap ketahanan sektor keuangan jika diterapkan ke layanan cloud publik.

Framework pengawasan bagi penyedia ICT penting di bawah DORA menciptakan peluang nyata untuk meningkatkan pemahaman, transparansi, dan kepercayaan di antara penyedia ICT, entitas keuangan, serta badan pengatur keuangan, yang pada akhirnya menstimulasi inovasi dalam sektor keuangan di Eropa. DORA akan membuat saluran komunikasi langsung antara badan pengatur dan penyedia ICT yang ditetapkan melalui interaksi tahunan, termasuk rencana pengawasan, inspeksi, dan rekomendasi. Kami yakin bahwa dialog terstruktur ini akan membantu meningkatkan pengelolaan risiko dan ketahanan di seluruh sektor.

Google Cloud berkomitmen dalam mendukung badan pengatur untuk secara efektif mengawasi penggunaan layanan kami oleh entitas keuangan. Kami memberikan hak informasi, audit, dan akses kepada entitas keuangan, badan pengatur, dan pihak yang mereka tunjuk, serta mendukung pelanggan kami ketika mereka atau badan pengatur mereka memilih untuk menggunakan hak-hak tersebut. Kami akan menjalin hubungan bersama Lead Overseer dengan komitmen yang sama untuk transparansi, kolaborasi, dan jaminan berkelanjutan. 

Kami berupaya untuk memastikan fungsi pengawasan langsung kami secara efektif mendukung komunikasi badan pengatur, audit yang efisien, dan komitmen untuk perbaikan sesuai batas waktu. Meskipun kami sangat berfokus pada perencanaan untuk persyaratan langsung, cara kerja pengawasan peraturan dalam penerapannya masih perlu diselesaikan dalam standar teknis peraturan tentang pengawasan.

Mulai Februari 2024, kami akan menawari entitas keuangan persyaratan kontrak yang diperbarui untuk Google Cloud dan Google Workspace guna memenuhi ketentuan kontraktual utama di Pasal 30. Jika memerlukan persyaratan kontrak DORA, silakan hubungi perwakilan Google Cloud Anda untuk mengetahui detail lebih lanjut. 

Kami juga telah membuat pemetaan terhadap Pasal 30 untuk Google Cloud dan Google Workspace guna membantu Anda memahami cara kontrak, kontrol, dan proses kami mendukung Anda dalam memenuhi persyaratan DORA.

Kami terlibat dalam pengembangan kebijakan sektor jasa keuangan yang secara signifikan memengaruhi Google Cloud dan penggunaan layanan kami secara global oleh pelanggan. 

Saat pembuat kebijakan mempertimbangkan pendekatan yang serupa dengan DORA, mereka sering kali mempertimbangkan terlebih dahulu bagaimana pendekatan tersebut sesuai dengan framework peraturan lokal yang sudah ada, termasuk aspek-aspek yang dianggap dapat ditingkatkan. Komisi Eropa telah mengonsultasikan masalah ini pada tahun 2020 sebelum mengajukan draf awal DORA. 

Jika pembuat kebijakan telah mengonfirmasi perlunya pendekatan peraturan yang berbeda (dan berpotensi langsung), kami akan mulai berbagi keahlian teknologi mengenai layanan cloud dan secara konsisten memberikan dukungan untuk:

harmonisasi dan penghapusan duplikat untuk persyaratan (baik di dalam dan di antara negara)

persyaratan yang proporsional dan sesuai untuk tujuan

pendekatan netral teknologi yang mendorong inovasi

- pendekatan yang menghormati keamanan dan integritas layanan kami untuk semua pelanggan

Inggris adalah contoh negara lain yang saat ini mempertimbangkan framework peraturan langsung bagi penyedia pihak ketiga penting untuk sektor keuangan. Kami terlibat dalam Consultation Paper berdasarkan prinsip-prinsip di atas. 

Penting untuk diperhatikan bahwa DORA bukanlah satu-satunya peraturan yang akan berlaku bagi penyedia cloud di Eropa. NISD2 Directive juga akan memperkenalkan pengawasan sektor-agnostik bagi pihak ketiga penting, dan terdapat banyak persyaratan nasional yang berlaku bagi layanan cloud dalam industri teregulasi. 

Adopsi cloud dalam jasa keuangan merupakan hal yang baru, dan peraturan berikutnya harus menstimulasi jenis inovasi ini. Negara lain akan mengambil pendekatan yang berbeda untuk menjamin keamanan dan ketahanan operasional ekosistem jasa keuangan, serta peraturan atau pengawasan langsung bukanlah satu-satunya solusi yang sesuai di beberapa pasar. Kami mengerti bahwa badan pengatur di wilayah hukum lain sama-sama berfokus pada standar, aturan horizontal, dan praktik peraturan mandiri. Apa pun pendekatan yang diambil oleh pembuat kebijakan, penting untuk memastikan konsistensi peraturan dan harmonisasi prinsip yang diterapkan di seluruh sektor karena akan memengaruhi para pemain teknologi global serta ekosistem keuangan digital lintas perbatasan.