Indeks Cloud-Native Banking 2026: DORA, Rekayasa Platform, Sovereign Cloud, dan Ketahanan Operasional

TL;DR. Indeks cloud-native banking 2026 untuk mengukur kesiapan DORA, kematangan rekayasa platform, risiko konsentrasi cloud, bukti exit, dan ketahanan operasional.

Points clés

Mengapa Ketahanan Cloud DORA Berada di Fase Audit. Tiga alasan framing "persiapan" sudah salah pada 2026.
Sinyal yang Harus Diperhatikan. Kematangan cloud-native pada 2026 menyusut menjadi lima primitif rekayasa yang saling-kunci untuk menghasilkan bukti pengawasan secepat pipeline deployment.
Rekayasa Platform: Lima Primitif yang Ditetapkan. Kematangan cloud-native pada 2026 menyusut menjadi lima primitif rekayasa yang saling-kunci untuk menghasilkan bukti pengawasan secepat pipeline deployment.
Sovereign Cloud sebagai Rekayasa, Bukan Branding. Strategi sovereign-cloud pada 2026 harus menjawab empat pertanyaan Schrems II + DORA + outsourcing EBA tertentu:.

Cloud-native banking pada 2026 berada di fase audit DORA. Regulasi (EU) 2022/2554 ⧉ telah berlaku sejak 17 Januari 2025. Rezim penetapan critical third-party provider (CTPP) berdasarkan Pasal 28-44 sedang dibuka sepanjang 2025-2026, dengan AWS, Microsoft (Azure), Google (GCP), dan Salesforce berada di dalam atau dekat perimeter penetapan. European Supervisory Authorities (EBA, EIOPA, ESMA) menerbitkan RTS dan ITS final tentang Register of Information ⧉ pada 2024. Tim ECB Banking Supervision memuat program eksplisit tentang kesiapan menghadapi gangguan cloud dan threat-led penetration testing dalam prioritas pengawasan 2026-28 ⧉. Pertanyaan institusional bukan apakah strategi cloud diselaraskan dengan DORA — itu sudah selesai — melainkan apakah primitif rekayasa platform institusi menghasilkan bukti secepat pipeline deployment, bukan dalam PDF yang dirakit seminggu sebelum ujian.

Ringkasan Eksekutif / Poin Utama

Ketahanan cloud DORA dalam penegakan aktif sejak 17 Januari 2025. Pasal 6, 8, 18, 26 dan 28-44 semuanya berlaku. Temuan pengawasan dari gelombang ujian pertama mendarat pada Q4 2025. Framing "persiapan" sudah ketinggalan dua siklus.

Rezim penetapan CTPP sedang dibuka. AWS, Microsoft, Google, Salesforce — di dalam atau dekat. Penetapan memberi ESA hak pengawasan langsung termasuk permintaan informasi, inspeksi on-site, dan rekomendasi pengawasan.

Rekayasa platform adalah deliverable-nya. Paved roads Kubernetes (EKS / AKS / GKE / OpenShift), portal developer gaya Backstage, GitOps (ArgoCD atau Flux), Open Policy Agent di admission, OpenTelemetry end-to-end. Lima primitif yang ditetapkan; apa pun yang hilang adalah temuan.

Sovereign cloud adalah rekayasa, bukan branding. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — masing-masing menangani dimensi Schrems II + DORA Pasal 28 tertentu; tidak ada yang merupakan jawaban siap pakai.

Bukti exit teruji diperlukan. EBA/GL/2019/02 paragraf 81 dan 113-117. Tabletop kuartalan tidak cukup; pengawas mengharapkan pengujian eksekusi exit end-to-end tahunan untuk setiap fungsi kritis atau penting.

RTO / RPO dari inventaris CIF. Tier 1: 2 jam / 15 menit. Tier 2: 4 jam / 1 jam. Tier 3: 24 jam / 4 jam. Diturunkan dari analisis dampak bisnis, bukan kapasitas tim platform.

Mengapa Ketahanan Cloud DORA Berada di Fase Audit #

Tiga alasan framing "persiapan" sudah salah pada 2026.

Pertama, timeline. DORA diterbitkan pada Desember 2022. Periode aplikasi 24 bulan ditutup pada 17 Januari 2025. RTS dan ITS final dari ESA — termasuk ITS tentang Register of Information yang digunakan untuk penetapan CTPP — terbit sepanjang 2024. Gelombang pertama ujian pengawasan berjalan sepanjang 2025; temuan tentang kelengkapan kerangka manajemen risiko TIK Pasal 6 dan rekonsiliasi register Pasal 8 mendarat pada Q4 2025 di beberapa institusi tier-1.

Kedua, rezim penetapan CTPP. Pasal 31 menetapkan kriteria penetapan sebagai critical third-party provider: dampak sistemik jika terjadi kegagalan, kritikalitas layanan yang disediakan, skala dan kompleksitas layanan, substitutabilitas. ESA memelihara register dan menerbitkan keputusan penetapan. AWS, Microsoft (Azure), Google (GCP), dan Salesforce berada di dalam atau dekat perimeter penetapan, bergantung pada pangsa pasar jasa keuangan per negara anggota. Penetapan memberi lead overseer (salah satu ESA, dialokasikan per penyedia) otoritas pengawasan langsung: permintaan informasi berdasarkan Pasal 37, inspeksi on-site berdasarkan Pasal 38, rekomendasi berdasarkan Pasal 35, dan rezim pengungkapan publik berdasarkan Pasal 41. Bank yang diawasi atas CTPP tersebut tunduk pada ekspektasi pengawasan yang sesuai tentang bagaimana mereka mengelola ketergantungan yang ditetapkan tersebut.

Ketiga, prioritas pengawasan ECB 2026-28. Dokumen prioritas menyebut dua program eksplisit yang langsung memengaruhi cloud-native banking: kesiapan menghadapi gangguan layanan cloud besar (skenario pengawasan yang dimodelkan menguji kemampuan institusi menyerap gangguan berkelanjutan dari CTPP yang ditetapkan) dan TLPT yang selaras TIBER-EU (setiap latihan TIBER-EU mencakup fungsi kritis dan penting institusi, yang kini mencakup layanan yang di-host di cloud publik). Gelombang ujian 2026 akan menghasilkan temuan tentang keduanya.

Framing 2026 bukan "DORA akan datang"; melainkan "temuan ujian DORA sudah tiba di kotak surat institusi Anda, dan keputusan rekayasa platform yang Anda ambil sepanjang 2024-2025 adalah yang diteliti pengawas dalam temuan tersebut."

Arsitektur Indeks 2026 #

Lapisan Indeks	Seperti Apa "Siap"	Metrik Kesiapan	Failure Mode
Kematangan platform	>80% workload berjalan di platform Kubernetes paved-road (EKS / AKS / GKE / OpenShift) dengan policy-as-code admission, deployment GitOps, pengujian DR otomatis	% CIF di platform paved-road; jumlah shadow-deployment; mean time onboarding layanan baru ke platform	Platform bayangan dengan kontrol tidak konsisten; CIF berjalan di infrastruktur tidak ter-paved yang tidak terlihat oleh rekonsiliasi register Pasal 8
Integritas register Pasal 8	Register of Information ter-rekonsiliasi otomatis ke konsumsi API pihak ketiga platform + cloud bill-of-materials; klasifikasi kritikalitas konsisten dengan inventaris CIF institusi	% entri register ter-rekonsiliasi ke telemetri platform; jumlah entri orphan; pemeriksaan integritas perimeter CTPP	ESA mengidentifikasi ketergantungan CTPP yang ditetapkan yang gagal diungkap institusi berdasarkan Pasal 8; temuan individual dan konsekuensi perimeter CTPP
Konsentrasi cloud	Fungsi kritis dipetakan ke penyedia cloud DAN sub-region cloud DAN layanan DAN asesmen substitutabilitas; eksposur terkorelasi lintas CIF terkuantifikasi	Skor konsentrasi per CIF; eksposur terkorelasi lintas CIF yang berbagi region CTPP yang ditetapkan	Satu gangguan IAM AWS us-east-1 menumbangkan empat CIF yang dikira institusi sumber dayanya independen
Kapabilitas exit teruji	Uji eksekusi exit end-to-end tahunan untuk setiap CIF yang bergantung pada CTPP yang ditetapkan; RTO / RPO terdokumentasi memenuhi target turunan BIA; jalur portabilitas data teruji	Tingkat keberhasilan uji per CIF; mean exit-execution time vs target RTO; latensi jalur portabilitas data	Rencana exit yang hanya ada sebagai PDF; tabletop menyebut RTO 4 jam, uji aktual menunjukkan 48 jam pada percobaan pertama
Observabilitas + pelaporan insiden	Trace OpenTelemetry end-to-end lintas layanan; helper klasifikasi 4 jam Pasal 18 otomatis terhubung ke platform manajemen insiden	% lalu lintas CIF tercakup trace OTel; mean time dari deteksi insiden ke keputusan klasifikasi Pasal 18	Insiden besar terklasifikasi di luar jendela 4 jam karena penentuan kritikalitas memerlukan rapat triase; temuan Pasal 18
Integrasi TLPT	Lingkup TLPT diturunkan dari inventaris CIF dan disegarkan terus-menerus; temuan diumpankan kembali ke policy-as-code platform; temuan yang ditutup menghasilkan paket bukti siap-pengawasan	Tingkat penutupan temuan TLPT; waktu siklus dari temuan ke pembaruan kebijakan	TLPT menemukan kerentanan yang tidak bisa diperbaiki tim rekayasa platform institusi dalam kurang dari dua siklus rilis

Sinyal yang Harus Diperhatikan #

Sinyal	Artinya untuk Bank	Sumber
DORA dalam penegakan aktif sejak 17 Jan 2025	Temuan pengawasan gelombang pertama mendarat Q4 2025; temuan gelombang kedua diharapkan sepanjang H2 2026	EUR-Lex ⧉
Penetapan CTPP dibuka sepanjang 2025-2026	AWS, Microsoft, Google, Salesforce di dalam atau dekat perimeter; penetapan memberi ESA hak pengawasan langsung	EBA ⧉
Prioritas pengawasan ECB 2026-28 menyebut gangguan cloud secara eksplisit	Skenario pengawasan yang dimodelkan menguji kemampuan menyerap gangguan berkelanjutan CTPP yang ditetapkan	ECB Banking Supervision ⧉
TIBER-EU diselaraskan ke DORA Pasal 26	Lingkup TLPT mencakup fungsi kritis / penting termasuk layanan yang di-host di cloud	ECB TIBER-EU ⧉
Panduan outsourcing EBA (EBA/GL/2019/02) saling-kunci dengan DORA Pasal 28	Substantive presence (¶64), asesmen substitutabilitas (¶81), strategi exit (¶113-117) — paragraf yang benar-benar diuji pengawas	EBA ⧉
Draf EU Cloud Services Scheme (EUCS) berkembang	Skema sertifikasi sovereign-cloud mendatang berdasarkan EU Cybersecurity Act; draf yang diterbitkan ENISA	ENISA EUCS ⧉

Rekayasa Platform: Lima Primitif yang Ditetapkan #

Kematangan cloud-native pada 2026 menyusut menjadi lima primitif rekayasa yang saling-kunci untuk menghasilkan bukti pengawasan secepat pipeline deployment. Hilangnya salah satu adalah temuan yang menunggu terjadi.

1. Paved Roads Berbasis Kubernetes #

Setiap CIF berjalan di platform Kubernetes terkelola — EKS, AKS, GKE, atau OpenShift di CTPP yang ditetapkan, atau alternatif yang dikelola vendor. Tim platform mengoperasikan pola golden cluster tunggal dengan deviasi terkontrol: node dari base image yang terdokumentasi; isolasi namespace-per-tim; profil pod-security-standards-restricted; kebijakan jaringan; injeksi service-mesh (Istio atau Linkerd) untuk autentikasi inter-layanan dan observabilitas. Layanan baru bergabung ke paved road melalui workflow onboarding bertemplat yang menghasilkan entri register Pasal 8 sebagai artefak deployment.

2. Portal Developer Gaya Backstage #

Portal developer terpusat — Backstage ⧉ sumber terbuka dari Spotify adalah implementasi rujukan, dengan berbagai alternatif enterprise — menyediakan system of record untuk apa yang berjalan di mana. Katalog mendaftar setiap layanan, owner, dependency, klasifikasi kritikalitas, runbook, rotasi on-call. Portal saling-kunci dengan register Pasal 8: setiap entri katalog memetakan ke entri register; entri tanpa referensi register memicu kegagalan CI; entri register tanpa kehadiran katalog memicu peringatan yang mendahului pengawas.

3. Deployment GitOps via ArgoCD atau Flux #

Deployment produksi berjalan melalui controller GitOps — ArgoCD atau Flux adalah standar produksi pada 2026 — yang merekonsiliasi state deklaratif yang ter-versi di Git ke cluster yang berjalan. kubectl apply manual dinonaktifkan; satu-satunya jalan ke produksi adalah pull request yang ter-merge. Repositori Git adalah audit trail; pengawas yang bertanya "tunjukkan konfigurasi layanan X pada tanggal Y" mendapat tag Git, bukan screenshot.

4. Open Policy Agent di Admission #

Open Policy Agent (OPA) duduk di rantai admission cluster yang menegakkan kebijakan platform: kepatuhan profil pod-security, provenans image, batas sumber daya, kehadiran network-policy, replikasi sesuai tier kritikalitas, penempatan sub-region di bawah kendala sovereign-cloud. Kebijakan ter-versi di Git dan dikelola perubahannya bersama konfigurasi layanan. Deployment yang ditolak menghasilkan rasional yang dapat ditinjau dan diumpankan ke paket bukti manajemen perubahan.

5. OpenTelemetry End-to-End #

Setiap layanan memancarkan trace, metrik, dan log OpenTelemetry. Tim platform mengoperasikan pipeline observabilitas tersentralisasi — umumnya Tempo atau Jaeger untuk trace, Prometheus untuk metrik, Loki atau OpenSearch untuk log — yang memunculkan kesehatan CIF end-to-end, pemetaan dependency, dan input klasifikasi insiden. Jendela klasifikasi 4 jam Pasal 18 dimulai dengan deteksi; pipeline OTel memendekkan jalur dari deteksi ke klasifikasi menjadi pencarian yang dapat di-query, bukan rapat triase.

Sovereign Cloud sebagai Rekayasa, Bukan Branding #

Strategi sovereign-cloud pada 2026 harus menjawab empat pertanyaan Schrems II + DORA + outsourcing EBA tertentu:

Di mana data diproses dan disimpan? Lokasi negara anggota EU; sub-region untuk arus berkritikalitas tinggi; komitmen data residency secara tertulis.
Siapa yang memiliki akses hukum ke data? Operasi hanya oleh karyawan lokal; permintaan akses pemerintah asing tunduk pada proses pengadilan lokal; respons teruji terhadap permintaan akses yang sah.
Apa profil substitutabilitasnya? Asesmen substitutabilitas EBA/GL/2019/02 ¶81; eksekusi exit teruji; penyedia alternatif teridentifikasi dan terkontrak (atau terdokumentasi mengapa tidak feasible).
Apa model kedaulatan teknisnya? Kunci yang dikendalikan pelanggan; pemisahan kriptografis; management plane berdaulat; rantai pasok yang dapat diaudit.

Opsi vendor 2026 yang menjawab pertanyaan-pertanyaan ini:

AWS European Sovereign Cloud (diumumkan 2023, GA diharapkan H2 2026): region fisik yang dioperasikan anak perusahaan AWS berdomisili EU; operasi dan dukungan berdomisili EU; kunci yang dikendalikan pelanggan via pola KMS-XKS. Penyelarasan isi kontraktual DORA Pasal 28 masih tertunda pada 2026.
Microsoft EU Data Boundary (GA 2024) + Bleu (Capgemini + Orange + Microsoft, khusus Prancis): Data Boundary menjaga data pelanggan EU di region EU; Bleu adalah sovereign cloud Prancis yang selaras SecNumCloud menjalankan stack Microsoft Azure di bawah kendali operasional Prancis.
Kemitraan sovereign Google Cloud: Thales / S3NS di Prancis (setara Bleu); T-Systems di Jerman.
Oracle EU Sovereign Cloud (GA 2023): pola dual-region (Frankfurt + Madrid) dengan operasi berdomisili EU; bersih dari sisi kepatuhan Schrems II.
Penyedia yang selaras Gaia-X (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): penyedia native-EU dengan pelabelan Gaia-X; skala dan ekosistem lebih kecil daripada hyperscaler tetapi tanpa eksposur Foreign Intelligence Surveillance Act.

Keputusan strategis jarang biner. Bank tier-1 umumnya menjalankan konfigurasi hyperscaler-dengan-Data-Boundary untuk sebagian besar workload, opsi sovereign-cloud untuk arus bersensitivitas tinggi yang ditetapkan (mis. sistem manajemen kasus AML / sanksi yang menangani data pribadi penduduk EU), dan jalur substitutabilitas kontinjensi yang diuji tahunan berdasarkan DORA Pasal 28.

Eksekusi Exit Teruji #

EBA/GL/2019/02 ⧉ paragraf 113-117 adalah ketentuan strategi exit. Teksnya eksplisit tentang apa yang dipersyaratkan: "Institusi dan lembaga pembayaran harus memastikan bahwa mereka mampu keluar dari pengaturan outsourcing tanpa gangguan yang tidak semestinya terhadap aktivitas bisnis mereka… Strategi exit juga harus didokumentasikan dan diuji sebagai bagian dari peninjauan rutin atas pengaturan outsourcing."

Ekspektasi pengawasan pada 2026 adalah pengujian eksekusi exit end-to-end tahunan untuk setiap CIF yang bergantung pada CTPP yang ditetapkan. Latihan tabletop dan peninjauan dokumen tidak cukup. Uji harus menghasilkan:

Pengukuran time-to-restore: waktu aktual yang berlalu dari deklarasi exit hingga restorasi workload di penyedia alternatif, terhadap target RTO turunan BIA.
Bukti portabilitas data: ekspor data teruji dari primary, divalidasi terhadap jalur impor penyedia tujuan, dengan bukti rekonsiliasi.
Ekuivalensi fungsional: workload teruji berjalan di penyedia alternatif dengan SLO yang setara.
Bukti biaya: biaya eksekusi exit terdokumentasi vs asumsi cost-of-restoration dalam perencanaan kontinjensi institusi.

Percobaan pertama uji exit end-to-end untuk sebuah CIF umumnya mengungkap gap 5-10× antara RTO terdokumentasi dan RTO aktual. Menutup gap itu adalah pekerjaan rekayasa yang memakan waktu berbulan-bulan. Bank yang menemukannya saat inspeksi pengawasan, bukan saat siklus uji tahunan mereka sendiri, menghadapi siklus temuan Q3 yang sebenarnya bisa dihindari.

Target RTO / RPO dari Inventaris CIF #

Setiap fungsi kritis atau penting memetakan ke klasifikasi tier yang diturunkan dari analisis dampak bisnis institusi. Tier menggerakkan target RTO dan RPO yang dijanjikan tim rekayasa platform untuk disampaikan.

Tier	Contoh	RTO	RPO
Tier 1 (mission-critical)	Konektivitas RTGS (CHAPS / T2 / Fedwire), otorisasi pembayaran ritel, autentikasi pelanggan untuk kanal digital	2 jam	15 menit
Tier 2 (kritis)	Skrining AML / sanksi, pipeline deteksi fraud, otorisasi ATM, pemrosesan pembayaran batch	4 jam	1 jam
Tier 3 (penting)	Pelaporan dan pengajuan regulasi, basis pengetahuan menghadap pelanggan, platform kolaborasi internal	24 jam	4 jam
Tier 4 (non-kritis)	Sistem HR internal, perkakas pemasaran, pelaporan non-menghadap-pelanggan	72 jam	24 jam

Angka-angka ini ilustratif — BIA institusi menghasilkan angkanya sendiri. Deliverable rekayasa platform adalah kapabilitas teruji-regresi untuk memenuhi target turunan BIA, dibuktikan melalui pengujian DR otomatis per layanan dan divalidasi melalui uji eksekusi exit tahunan untuk CIF yang bergantung CTPP.

Apa Artinya Berdasarkan Tipe Bank #

Bank Sistemik Global #

Masalah sulitnya adalah skala lintas lini bisnis: ribuan layanan, ratusan CIF, eksposur CTPP yang ditetapkan ganda lintas produk, yurisdiksi, dan profil ketahanan. Investasinya adalah kapabilitas rekayasa platform terpusat — paved roads Kubernetes, portal Backstage, GitOps, OPA, OTel — yang menghasilkan rekonsiliasi register Pasal 8, peta konsentrasi CTPP, dan kapabilitas eksekusi exit per CIF tanpa konstruksi bespoke per lini bisnis.

Bank Universal dan Menengah #

Investasi rekayasa platform terjustifikasi di tier ini tetapi lingkupnya dibatasi: pilih dua atau tiga CIF berkritikalitas tertinggi, bangun pola paved-road di sekitarnya, terima bahwa estat legacy melanjutkan kontrol yang ada untuk jangka menengah. Posisi pengawasan lebih penting daripada keluasan platform — kemampuan membuktikan integritas register DORA Pasal 8 dan exit teruji untuk tiga CIF teratas mencakup kekhawatiran utama pengawas.

Bank Regional dan yang Lebih Kecil #

Seleksi vendor di atas build internal. Pilih vendor banking-platform yang arsitektur Kubernetes-native-nya terdokumentasi, yang integrasi register Pasal 8-nya sudah built-in, dan yang komitmen isi kontraktual DORA Pasal 28-nya jelas. Kapabilitas rekayasa internal seputar konfigurasi, monitoring, dan respons insiden — bukan konstruksi platform.

Fintech, PSP, dan Penyedia SaaS yang Melayani Bank #

Pertanyaan produk bagi vendor yang menjual ke bank EU pada 2026 adalah apakah platform menghasilkan entri register Pasal 8 dan isi kontraktual DORA Pasal 28 yang dibutuhkan fungsi compliance bank. Vendor dengan output terstruktur memenangi kesepakatan enterprise; vendor dengan template PDF kalah dari pesaing dengan JSON terstruktur.

Kesimpulan #

Ketahanan cloud DORA berada di fase audit. Keputusan rekayasa platform yang diambil sepanjang 2024-2025 adalah yang diteliti siklus pengawasan 2026. Institusi yang tampak kredibel bagi ECB dan EBA pada 2026-2028 adalah mereka yang menjalankan paved roads Kubernetes dengan portal gaya Backstage dan deployment GitOps di bawah admission Open Policy Agent dengan OpenTelemetry end-to-end — menghasilkan bukti register Pasal 8 sebagai artefak deployment dan bukti eksekusi exit teruji sebagai siklus tahunan, bukan respons atas permintaan pengawasan.

Institusi yang tidak melakukan investasi tersebut akan tahu apakah tim compliance second-line mereka mampu menyerap putaran pertama temuan pengawasan sebelum putaran kedua tiba.

Ukur platform seperti Anda mengukur program operasional mana pun: cakupan paved-road, tingkat rekonsiliasi register, skor konsentrasi CTPP, waktu exit teruji vs target RTO, mean time klasifikasi Pasal 18, tingkat penutupan TLPT. Bukti secepat pipeline; paket dokumentasi hanya ketika pengawas memintanya.

Pertanyaan yang Sering Diajukan #

Apakah ketahanan cloud DORA masih dalam fase persiapan pada 2026?

Tidak. DORA dalam penegakan aktif sejak 17 Januari 2025. Rezim penetapan CTPP berdasarkan Pasal 28-44 dibuka sepanjang 2025-2026. Temuan ujian ECB tentang manajemen risiko TIK Pasal 6 dan integritas register Pasal 8 mendarat di beberapa institusi tier-1 pada Q4 2025. Pertanyaan pengawasan 2026 adalah bukti ujian spesifik institusi, bukan kesiapan regulasi.

Penyedia cloud mana yang ditetapkan sebagai CTPP?

ESA menerbitkan keputusan penetapan di situs web mereka. Institusi yang berada di dalam atau dekat perimeter pada 2026 meliputi AWS, Microsoft (Azure), Google (GCP), Salesforce, dan sejumlah kecil lainnya bergantung pada pangsa pasar jasa keuangan per negara anggota. Bank yang diawasi atas penyedia tersebut menghadapi ekspektasi pengawasan yang sesuai tentang bagaimana mereka mengelola ketergantungan itu.

Apakah sovereign cloud menghilangkan kebutuhan akan isi kontraktual DORA Pasal 28?

Tidak. Sovereign cloud menangani dimensi Schrems II + data residency; isi kontraktual DORA Pasal 28 adalah kewajiban terpisah yang berlaku tanpa memandang di mana data berada. Kontrak penyedia sovereign-cloud tetap harus mencakup aksesibilitas data, keamanan, residency, hak audit, strategi exit, dan kontinuitas sesuai Pasal 28.

Apa deliverable rekayasa yang menunjukkan ketahanan cloud DORA?

Lima primitif rekayasa platform yang saling-kunci: paved roads Kubernetes (cluster terkelola dengan deviasi terkontrol kebijakan), portal developer gaya Backstage (katalog yang merekonsiliasi ke register Pasal 8), deployment GitOps (ArgoCD atau Flux), Open Policy Agent di admission, OpenTelemetry end-to-end. Bukti secepat pipeline ketimbang saat ujian.

Seberapa sering eksekusi exit perlu diuji?

Pengujian eksekusi exit end-to-end tahunan per CIF yang bergantung pada CTPP yang ditetapkan. Latihan tabletop dan peninjauan dokumen tidak cukup. Uji harus menghasilkan time-to-restore, bukti portabilitas data, ekuivalensi fungsional, dan bukti biaya — diukur terhadap target RTO dan RPO turunan BIA.

Referensi #

European Union, (2022). Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
European Banking Authority, (2019). EBA/GL/2019/02 — Guidelines on outsourcing arrangements ⧉.
European Banking Authority, (2026). Digital Operational Resilience Act ⧉.
European Supervisory Authorities, (2024). Final Report on the ITS on the Register of Information under DORA ⧉.
ECB Banking Supervision, (2025). Supervisory priorities 2026-28 ⧉.
European Central Bank, (2024). TIBER-EU framework ⧉.
ENISA, (2024). EU Cybersecurity Scheme for Cloud Services (EUCS) ⧉.
Spotify, (2020-2024). Backstage developer portal ⧉.
Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.

Terakhir ditinjau 2026-06-05.