Přeskočit na hlavní obsah

SOC2+ report přizpůsobený DORA

Strategické řešení pro poskytovatele ICT služeb

Naši odborníci vás provedou SOC2+ programem a pomohou vám začlenit další relevantní regulatorní požadavky – například ty, které vyplývají z nařízení o digitální operační odolnosti (DORA) –  do jediného auditu. Výsledkem bude silnější a komplexnější úroveň bezpečnosti a souladu s předpisy, s minimální duplicitou a vyšší efektivitou.

Kontaktujte nás
Žádost o vypracování nabídky

Evropské nařízení o digitální provozní odolnosti (DORA) ukládá od ledna 2025 finančním institucím a poskytovatelům ICT služeb povinnost prokazovat svou digitální provozní odolnost a plnění dalších požadavků – například v oblasti řízení rizik a dodavatelů nebo hlášení incidentů. V této souvislosti představuje SOC2+ report, přizpůsobený specifickým požadavkům DORA, ideální řešení.

Hodnota SOC2+ 

SOC2+ představuje rozšířenou verzi SOC2 reportu, jež kromě standardních oblastí – bezpečnosti, dostupnosti a ochrany dat – obsahuje také specifické požadavky vyplývající z relevantních regulací.  V případě nařízení DORA jde o řízení ICT rizik, hlášení incidentů, testování digitální provozní odolnosti a správu dodavatelských rizik. Takto nastavený rámec umožňuje:

  • Koordinovat plnění překrývajících se regulatorních požadavků, snížit administrativní zátěž spojenou s vícero compliance procesy a zefektivnit auditní procesy.
  • Prokázat plnění příslušných regulatorních požadavků prostřednictvím jednoho přehledného dokumentu.
  • Zvýšit transparentnost a důvěru u klientů i regulátorů.

Compliance jako konkurenční výhoda

SOC2+ není jen nástroj pro zjednodušení reportingu. Příprava na SOC2+ audit v kontextu nařízení DORA znamená i celkovou optimalizaci řízení ICT, interních kontrol, způsobu dokumentace či testování. V rámci příprav totiž dochází k identifikaci slabých míst, systematickému odstranění nedostatků a tedy i snížení rizik a zvýšení provozní stability. Zavedení bezpečnostních a odolnostních opatření do každodenního fungování společnosti výrazně posiluje její schopnost reagovat na incidenty, zvládat výpadky a udržovat kvalitu poskytovaných služeb. 

Právě vyšší provozní stabilita a připravenost na krizové situace se promítají do důvěry klientů i obchodních partnerů. Na vysoce regulovaném trhu, kde o důvěru klientů usiluje mnoho hráčů, tak představuje report SOC2+ přizpůsobený nařízení DORA výraznou konkurenční výhodu. Díky němu může vaše společnost doložit, že implementované kontrolní mechanismy splňují nejen standardní kritéria důvěryhodných služeb podle AICPA, ale i požadavky na digitální odolnost. Pro vaše partnery to mimo jiné znamená nižší riziko při zahájení spolupráce a menší náročnost due diligence procesů.

Program SOC2+ zaměřený na DORA nařízení

Příprava na SOC2+ audit přizpůsobený požadavkům DORA nařízení vyžaduje systematický přístup. Mezi základní kroky, kterým je třeba věnovat pozornost, patří:

Získání přehledu o tom, kde se jednotlivé požadavky vyplývající z nařízení prolínají s kontrolním prostředím ve vaší společnosti.

Identifikace oblastí, kde je třeba doplnit kontrolní opatření nebo dokumentaci.

Ověření, že jsou veškeré kontroly řádně popsány, zavedeny a fungují v praxi.

Zapojení zkušených auditorů za účelem ověření souladu a vydání zprávy SOC2+.

Vzhledem k odlišným potřebám různých společností je vždy třeba SOC2+ program plně přizpůsobit konkrétnímu prostředí, včetně cíleného implementačního plánu všech relevantních kontrol.

Jak můžeme pomoci

Náš tým odborníků na kybernetickou bezpečnost, regulatorní compliance a řízení rizik vás podpoří v každé fázi přípravy na SOC2+. Mezi naše služby patří:

Pomůžeme vám vytvořit praktický plán, včetně mapování požadavků, návrhu a implementace kontrol, jejich testování a posouzení připravenosti na audit.

Zmapujeme aktuální stav vaší společnosti proti požadavkům nařízení DORA, identifikujeme případné mezery a navrhneme konkrétní kroky k zajištění plného souladu.

V souladu s potřebami vaší společnosti navrhneme cílový provozní model, který začlení požadavky nařízení DORA do jejího každodenního fungování.

Zrevidujeme, upravíme nebo navrhneme nový rámec pro řízení ICT rizik tak, aby odpovídal nařízení DORA a požadavkům na kritické systémy, toleranci rizik, kontrolní opatření a řízení na úrovni celé organizace.

Vytvoříme systém řízení dodavatelů – od identifikace přes nastavení smluvních ujednání až po hlášení regulátorovi.

Provedeme nezávislou revizi před samotným auditem, pomůžeme odhalit slabá místa a navrhneme nápravná opatření.

Chcete mít jistotu, že jste připraveni na audit podle požadavků nařízení DORA, nebo uvažujete o SOC2+ reportu? Neváhejte nás kontaktovat.

Naše další související služby

Nařízení DORA a Deloitte DORA Maturity Assessment Tool

DORA je stěžejní iniciativou EU v oblasti digitální provozní a kybernetické odolnosti v sektoru finančních služeb. Provedeme Vás kompletním zhodnocením maturity pomocí našeho specializovaného nástroje.
Service

Poradenství v oblasti kybernetické bezpečnosti a digitální regulace

Množství digitálních předpisů se rychle rozšiřuje a s nimi přibývá i nových povinností, které se týkají celé řady různých oblastí – od cloudové infrastruktury přes softwarové dodavatelské řetězce až po systémy umělé inteligence. Sledovat a plnit tyto požadavky každý zvlášť je neefektivní a vede k nadbytečným činnostem a zmatku.
Analýza

Critical Entities Resilience Directive

Otázka IT a informační bezpečnosti patří mezi nejdůležitější faktory konkurenceschopnosti. Pro udržitelný růst společnosti je nezbytné zvýšit transparentnost, relevanci a hodnotu informací o její výkonnosti, které sdílí s investory, regulátory a s tržním prostředím. Naše ověřovací služby v oblasti IT zahrnují auditní analytiku, technologické audity bezpečnosti a interních kontrol a ověření připravenosti třetích stran pro řízení rizik v rámci širšího podniku (EERM).
Service

CISO jako služba (vCISO)

Povinnost NIS2 a další výzvy – proč je to důležité? Směrnice NIS2 a nařízení o odolnosti kritických subjektů přinášejí přísné požadavky na kybernetickou bezpečnost tisícům organizací v Česku, na Slovensku i celé EU. Tyto povinnosti musí být včas zapracovány do národních zákonů, což znamená zásadní změny pro organizace kritické infrastruktury, klíčové služby i široké spektrum veřejných a soukromých subjektů v odvětvích jako finance, zdravotnictví, výroba, energetika a ICT.
Service

Kontaktujte nás

Jakub Höll

Jakub Höll

Partner | Consulting
+420 734 353 815
Martin Antoš

Martin Antoš

Manager