NIS2 + DORA: Verifikasi Identitas untuk Infrastruktur Kritis (ID)

Dua regulasi UE sedang membentuk ulang cara organisasi esensial dan keuangan mempertahankan diri. NIS2 (Arahan Keamanan Jaringan dan Informasi kedua) meningkatkan dasar keamanan siber di seluruh sektor kritis dan penting — energi, transportasi, kesehatan, infrastruktur digital, dan banyak lagi. DORA (Undang-Undang Ketahanan Operasional Digital) melakukan hal yang sama secara khusus untuk sektor keuangan, dengan fokus tajam pada risiko Teknologi Informasi dan Komunikasi (TIK) dan pihak ketiga yang diandalkan oleh entitas keuangan.

Keduanya mendekati masalah dari sudut yang berbeda, tetapi mereka bertemu pada kontrol yang sama: ketahui siapa yang memiliki akses, buktikan identitas secara ketat, dan kelola risiko yang diperkenalkan oleh vendor Anda. Verifikasi identitas berada di pusat ketiganya. Posting ini menjelaskan apa yang disyaratkan NIS2 dan DORA, mengapa identitas sangat penting, dan bagaimana Didit — baik sebagai mesin verifikasi maupun sebagai vendor yang diakui — membantu Anda memenuhinya.

Poin-poin penting

• NIS2 mewajibkan langkah-langkah manajemen risiko, kontrol akses yang kuat, dan keamanan rantai pasok di seluruh sektor esensial dan penting.
• DORA mengatur risiko TIK dalam layanan keuangan, termasuk daftar penyedia pihak ketiga TIK dan manajemen risiko vendor yang ketat.
• Kedua rezim sangat bergantung pada verifikasi identitas dan kontrol akses — Anda tidak dapat mengamankan sistem tanpa jawaban yang dapat dipercaya atas pertanyaan "siapa orang ini?"
• Didit menyediakan verifikasi identitas dengan jaminan tinggi — verifikasi dokumen, NFC, liveness, pencocokan wajah biometrik — untuk orientasi karyawan, kontraktor, dan pelanggan bernilai tinggi.
• Sebagai pihak ketiga TIK itu sendiri, Didit mengurangi beban risiko vendor Anda dengan atestasi konkret: SOC 2 Tipe 1 (ATOM, per 09-04-2026), ISO/IEC 27001:2022 (Bureau Veritas, sertifikat nº ES144068, berlaku hingga 03-06-2027), dan iBeta Level 1 PAD.
• Jejak audit berbasis webhook (status.updated, data.updated) memberi Anda bukti yang diharapkan oleh kedua rezim.

Apa yang disyaratkan oleh aturan

NIS2 memperluas cakupan arahan asli ke lebih banyak sektor dan memperketat kewajiban. Di antara persyaratan intinya: langkah-langkah manajemen risiko keamanan siber yang proporsional dengan risiko, penanganan dan pelaporan insiden, perencanaan keberlanjutan bisnis, dan — yang krusial untuk identitas — kebijakan kontrol akses, penggunaan otentikasi multi-faktor atau berkelanjutan jika sesuai, dan keamanan rantai pasok yang memperhitungkan keamanan pemasok langsung dan penyedia layanan. Badan manajemen bertanggung jawab, dan otoritas pengawas dapat bertindak jika kontrol tidak memadai.

DORA memfokuskan lensa pada entitas keuangan dan ketahanan mereka terhadap gangguan TIK. Ini menetapkan persyaratan di lima pilar: manajemen risiko TIK, pelaporan insiden, pengujian ketahanan operasional digital, berbagi informasi, dan manajemen risiko pihak ketiga TIK. Pilar terakhir itulah yang menyentuh setiap vendor: entitas keuangan harus menjaga daftar informasi tentang semua pengaturan pihak ketiga TIK, menilai risiko yang diperkenalkan oleh penyedia sebelum dan selama hubungan, dan memastikan ketentuan kontrak dan pengawasan tersedia. Kontrol identitas dan akses yang kuat mendukung pilar manajemen risiko dan pengujian ketahanan.

Benang merahnya: Anda tidak dapat menunjukkan ketahanan operasional atau keamanan jaringan jika Anda tidak dapat menetapkan identitas secara andal — dari orang yang mengakses sistem, dan dari vendor dalam rantai Anda.

Mengapa itu penting

Infrastruktur kritis adalah tempat para penyerang berkonsentrasi, karena radius ledakannya paling besar. NIS2 dan DORA ada karena regulator telah menyaksikan insiden pada satu pemasok berakibat pada pemadaman, pelanggaran, dan risiko sistemik. Sanksi mencerminkan hal itu: denda yang signifikan, akuntabilitas manajemen, dan intervensi pengawasan.

Khusus untuk identitas, dua mode kegagalan sering terjadi. Pertama, verifikasi yang lemah — membiarkan identitas palsu atau penyamaran melewati orientasi atau pemulihan akun, yang kemudian menjadi kegagalan kontrol akses. Kedua, risiko pihak ketiga yang tidak dikelola — mengandalkan vendor (seperti penyedia identitas) yang postur keamanannya tidak dapat Anda buktikan. Kedua rezim memaksa Anda untuk menutup celah-celah tersebut, dan untuk menyimpan catatan yang membuktikan bahwa Anda telah melakukannya.

Bagaimana Didit membantu

Didit menangani kedua sisi persamaan identitas di bawah NIS2 dan DORA.

Sebagai lapisan verifikasi identitas Anda:

• Verifikasi jaminan tinggi untuk orientasi pelanggan, karyawan, dan kontraktor: verifikasi dokumen di lebih dari 14.000 jenis dokumen ($0,15), pembacaan chip NFC ($0,15), liveness pasif ($0,10) dan aktif ($0,15), serta Pencocokan Wajah 1:1 ($0,05).
• Biometrik tahan serangan — Deteksi Serangan Presentasi yang diuji hingga iBeta Level 1 (ISO/IEC 30107-3) dengan keberhasilan serangan 0% di 360 percobaan — jenis bukti yang harus menjadi dasar kebijakan kontrol akses.
• Penyaringan AML dan sanksi ($0,20, 1.300+ daftar) dan pemantauan berkelanjutan ($0,07/pengguna/tahun) di mana hubungan yang diatur menuntutnya.
• Orkestrasi yang dapat dikomposisikan melalui Workflow Builder tanpa kode, sehingga Anda menerapkan kontrol yang proporsional dengan risiko.

Sebagai pihak ketiga TIK yang diakui — meringankan kewajiban daftar DORA dan rantai pasok NIS2 Anda:

• Atestasi SOC 2 Tipe 1 oleh ATOM, mencakup Keamanan, Ketersediaan, dan Kerahasiaan, per 09-04-2026 (laporan lengkap penggunaan terbatas di bawah NDA).
• Sertifikasi ISO/IEC 27001:2022 oleh Bureau Veritas, sertifikat nº ES144068, berlaku hingga 03-06-2027 — bukti yang dapat didistribusikan dari sistem manajemen keamanan informasi yang bersertifikat.
• Surat kepatuhan iBeta Level 1 PAD — dapat didistribusikan, untuk jaminan kontrol biometrik.

Ini memberikan artefak yang dibutuhkan oleh tim pengadaan dan risiko Anda ketika mereka menilai Didit sebagai penyedia dalam daftar pihak ketiga TIK Anda.

Melihat lebih dalam: identitas dalam daftar pihak ketiga DORA

Di bawah DORA, setiap pengaturan pihak ketiga TIK masuk ke dalam daftar informasi yang dapat diminta oleh pengawas Anda. Untuk setiap penyedia, Anda diharapkan memahami fungsi yang didukungnya, kritikalitas fungsi tersebut, dan risiko yang diperkenalkan oleh penyedia — didukung oleh bukti.

Ketika penyedia adalah vendor verifikasi identitas Anda, bukti yang Anda inginkan persis seperti yang dapat disediakan Didit: atestasi SOC 2 independen yang menjelaskan desain kontrolnya, sertifikat ISO/IEC 27001 yang membuktikan sistem keamanan informasi yang terkelola, dan hasil iBeta biometrik yang mengukur kinerja anti-spoofing. Pasangkan itu dengan jejak audit berbasis webhook Didit — peristiwa status.updated dan data.updated yang mencatat siklus hidup setiap verifikasi — dan Anda memiliki jaminan tingkat vendor untuk daftar dan catatan tingkat transaksi untuk pengujian ketahanan dan investigasi insiden.

Kombinasi itu mengubah vendor yang bisa menjadi item risiko menjadi vendor yang memperpendek siklus uji tuntas Anda.

Kasus penggunaan

• Bank, EMI, dan lembaga pembayaran yang mengukur risiko pihak ketiga TIK DORA untuk stack identitas mereka.
• Penyedia layanan aset kripto di bawah cakupan sektor keuangan DORA.
• Operator layanan esensial (energi, transportasi, kesehatan, infrastruktur digital) di bawah NIS2 yang memperketat kontrol akses dan keamanan rantai pasok.
• Penyedia layanan terkelola yang harus membuktikan keamanan alat identitas yang mereka gunakan untuk klien.

Pertanyaan yang sering diajukan

Apakah NIS2 dan DORA berlaku untuk organisasi yang sama?

Tidak persis. NIS2 mencakup entitas esensial dan penting di banyak sektor; DORA mencakup entitas keuangan dan penyedia TIK mereka. Banyak organisasi keuangan berada di bawah keduanya, dan kontrolnya sangat tumpang tindih.

Apakah verifikasi identitas benar-benar diwajibkan oleh aturan ini?

Aturan tersebut mensyaratkan kontrol akses yang kuat, manajemen risiko, dan pengawasan pihak ketiga. Verifikasi identitas yang andal adalah dasar dari ketiganya — Anda tidak dapat menegakkan kontrol akses atau memeriksa pengguna vendor tanpanya.

Apa yang Didit sediakan untuk daftar pihak ketiga TIK DORA?

Didit dapat menyediakan bukti SOC 2 Tipe 1, ISO/IEC 27001:2022 (sertifikat ES144068), dan iBeta Level 1 PAD, ditambah jejak audit berbasis webhook — artefak yang dibutuhkan tim risiko Anda untuk menilai dan mendokumentasikan Didit sebagai penyedia.

Apakah SOC 2 Didit Tipe 1 atau Tipe 2?

Ini adalah atestasi Tipe 1 (desain kontrol per 09-04-2026). Pemeriksaan Tipe 2 direncanakan. Laporan lengkap penggunaan terbatas dan dibagikan di bawah NDA.

Bisakah saya mendapatkan sertifikat ISO 27001 untuk dibagikan secara internal?

Ya — sertifikat ISO/IEC 27001:2022 (Bureau Veritas, sertifikat nº ES144068) dapat didistribusikan berdasarkan permintaan.

Siap untuk memulai?

Lihat atestasi dan postur keamanan Didit di pusat kepercayaan, jelajahi produk Verifikasi ID, dan tinjau harga transparan di halaman harga. Ketika Anda siap, mulai gratis — 500 pemeriksaan KYC gratis setiap bulan, dengan alur verifikasi inti mulai dari $0,33.