《数字运营弹性法案》(DORA)是欧盟(EU)制定的一项全面的新框架,旨在解决金融领域的数字运营弹性问题。这项监管举措统一了欧盟各成员国之前发布的零散规则。下面我们来看看 DORA 对金融机构和其他金融实体在管理信息和通信技术(ICT)风险方面意味着什么。
DORA 核心目标
DORA 的核心是 ICT 风险管理框架,它为金融部 whatsapp 号码数据 门制定规则,以确保强大的数字弹性,并在整个欧盟范围内规范实践,以有效处理和缓解网络威胁和技术相关的中断。DORA 的一个关键方面是不仅注重为潜在的 ICT 相关事件做好准备,还注重确保数字运营的业务连续性和可靠性。DORA 将促进欧洲金融部门采取更协调、更高效的数字弹性方法,并确保欧盟金融市场的高度安全和稳定。
DORA 于 2020 年由欧盟委员会首次提出,并于 2022 年由 数字弹性框架 欧盟理事会和欧洲议会正式通过。该法规将于 2025 年 1 月 17 日生效,从生效日起开始强制遵守。需要遵守该法规的人必须在此之前了解这些规则,并且不要违反它们。
谁必须遵守 DORA?
DORA 在遵守框架方面范围很广。这些规则 社区银行的数字化转型:并没有你想象的那么难 适用于广泛的金融实体,包括信贷机构、投资公司、保险和再保险公司、支付和电子货币机构以及加密资产服务提供商。它还不仅限于金融实体本身,还扩展到第三方 ICT 服务提供商,例如对金融部门数字化运营至关重要的许多云服务提供商和数据分析公司。这些服务提供商受到严格监督,还必须遵守 DORA 规定的运营和风险管理标准。
各成员国的主管部门最终负责执行规则。每个主管部门都可以要求金融实体采取补救措施,例如修复网络安全漏洞。主管部门还可以施加行政处罚,每个成员国都有权决定对违规行为的适当处罚。
DORA:风险管理的 4 个关键部分
DORA 对金融机构的要求分为风险管理的四个 克罗地亚商业指南 关键领域。下面深入探讨这四个领域以及金融服务机构和其他相关实体需要采取哪些措施才能遵守。
ICT风险管理与治理
管理关键 ICT 风险首先要让组织管理层承担最终责任。法规的这一部分从治理角度开始,要求董事会成员、执行领导和其他高级管理人员制定 ICT 风险管理战略并协助执行。
这里的重要要求包括映射 ICT 系统、记录 ICT 环境中的依赖关系、进行风险评估以及记录减轻网络风险的步骤。这些构成了每个实体必须建立的强制性风险管理监督框架的要素。这里的规则与欧洲银行管理局 (EBA) 于 2019 年发布的风险管理指南以及欧洲保险和职业养老金管理局 (EIOPA) 于 2020 年发布的治理指南大致一致。
ICT 事件响应
有效的事件响应对于金融行业至关重要,因为网络攻击可 数字弹性框架 能从攻击一家组织蔓延到影响整个行业的稳定性。DORA 中包含有关事件报告和分类重要功能的规则。这包括对构成重大网络威胁的因素进行分类并分析根本原因。
报告事件的时间表尚未公布,但欧盟监管机构并没有忽视事件管理这一同样重要的部分。欧洲监管机构 (ESA) 将在技术标准中规定截止日期。
ICT数字运营弹性测试
进行数字运营弹性测试是为了确保金融实体能够承受 ICT 相关的中断和威胁并从中恢复。该测试包括检查漏洞、网络安全措施的有效性以及在网络事件期间和之后维持关键功能的能力。
这种弹性测试需求包括一项规则,即对金融系统具有系统重要性或足够成熟度的公司每三年进行一次高级威胁主导渗透测试 (TLPT)。监管技术标准 (RTS) 规定了哪些公司符合系统重要性或足够成熟度的标准,必须遵守此规则。
ICT第三方风险
由于 DORA 要求为金融部门提供服务的 ICT 提供商遵守规定,因此该法规的范围已经在很大程度上解决了软件供应链攻击等第三方威胁日益增长的风险。
金融实体必须规划其对第三方的依赖关系,并确保它们不会依赖单个提供商或少数提供商来实现关键的数字功能。这样做的目的显然是为了避免业务连续性因一两个故障或针对关键 ICT 第三方服务提供商的攻击而受到阻碍的情况。
该框架关注第三方风险的另一个方面是,当第三方不满足可访问性、完整性和安全性要求时,金融实体不能将关键功能外包。金融实体必须就这些要求协商合同安排,经审查发现不合规的合同可能会被主管部门暂停或终止。
该法规不仅涵盖对云服务提供商 (CSP) 的外包——现有的 ESMA 和 EIOPA 指南仅限于 CSP——还涵盖非 CSP 的 ICT 功能外包。
DORA 和信息共享
DORA 的另一个重要部分是鼓励实体参与自愿威胁情报共享安排的部分。重点关注这一安排的理由是,它可以促进对现有和新出现的信息安全风险的集体意识和理解,并有助于改善事件响应。共享信息仍必须受到任何相关法规(例如GDPR)的保护。