2023 年 1 月 16 日に採択され、2025 年 1 月 17 日から施行されるデジタルオペレーショナルレジリエンス法 (DORA) は、金融機関がサイバー攻撃などを受けて軽微または壊滅的な中断に直面した場合の回復力を確保するための規制です。この規制フレームワークは、データ、通知、およびテクノロジ関連のあらゆる種類の業務中断や脅威に耐え、対応し、復旧できることを証明するよう企業に要求します。そのルールには、保護、検出、封じ込め、リカバリ、および修復機能が含まれます。
この法は、銀行、保険会社、投資会社などの 20 種類以上の金融機関、およびこれらの機関とやり取りする第三者に適用されます。情報通信技術 (ICT) 関連のすべてのサードパーティサービスプロバイダも対象となります。GDPR によるデータプライバシー規制の統合と同じように、デジタルオペレーショナルレジリエンス法は金融サービス業界におけるサイバーレジリエンス、ICT リスク管理、サイバーリスク管理を統合およびアップグレードするように設計されています。
デジタルオペレーショナルレジリエンス法の要件および構造的なアプローチにより、金融業界は複雑なリスクやサイバーセキュリティ脅威に対する防御を強化し、安定して回復力が高く、安全な金融環境を EU 全域で実現することができます。これらの要件を企業のフレームワークに統合することによって、デジタルに関連する現在の課題に備えるだけでなく、将来のテクノロジの進歩に適応するための基盤が構築されます。
ICT リスク管理は新しい概念ではありませんが、デジタルオペレーショナルレジリエンス法の包括的な要件では、現在の手法とフレームワークを徹底的かつ広範囲にわたって改訂することが金融機関に求められています。ただし、この法は、ICT リスク管理手法の包括的な改訂を義務付けるだけでなく、企業のデジタルオペレーショナルレジリエンス戦略の策定と支援という極めて重要な役割を担う金融機関内部の管理組織の説明責任を強化します。この戦略は、デジタルオペレーショナルレジリエンス法の強化された ICT セキュリティ標準に沿って明確に定義された、ICT 業務中断のリスク許容範囲、重要業績評価指標 (KPI)、リスク指標でサポートされます。
デジタルオペレーショナルレジリエンス法では、重大なビジネス中断の発生直後に、厳密なビジネス影響分析を以下のために実施することを金融機関に求めています。
このプロアクティブなアプローチにより、金融機関は、業務中断に対して備え、影響やダウンタイムを最小限に抑えて業務を継続することができます。
デジタルオペレーショナルレジリエンス法では、以下に関するポリシーを含むサイバーセキュリティ保護対策が義務付けられています。
このようなサイバーセキュリティ保護対策を網羅するサイバーレジリエンスのベストプラクティスに従うことによって、金融機関はサイバーインシデントの発生に備え、サイバー攻撃のダウンタイムと影響を最小限に抑えることができます。
デジタルオペレーショナルレジリエンス法では、透明性と説明責任の必要性をさらに強調し、各企業内での堅牢なコミュニケーション戦略の作成を義務付けています。これには、ICT 関連のインシデントの管理と報告を担当する専任者の割り当ても該当します。このような明確なコミュニケーションラインは、タイムリーな報告と対応/応答のために不可欠であり、ICT の問題が事業体の業務に及ぼす可能性のある影響を軽減します。
さらに、事業体の ICT 資産、プロセス、システム間の相互接続について理解を深めることも極めて重要です。デジタルオペレーショナルレジリエンス法では、金融機関およびプロバイダに、このようなコンポーネントを包括的にマッピングして重要な脆弱性を特定し、インシデントまたは侵害発生時の全体的なオペレーショナルレジリエンスを強化することが求められます。リカバリプレイブックと机上演習の作成というベストプラクティスにより、部門間のプロセスが明確になり、相互接続がマッピングされ、ビジネスレジリエンスが向上します。
「クリティカルな」ICT サービスプロバイダとも連携し、プロバイダも変化に備えて、新たな規制環境で金融機関をサポートするうえでの役割について理解しておく必要があります。
デジタルオペレーショナルレジリエンス法は、銀行と金融機関のみに適用されるわけではありません。テクノロジ管理業者や決済サービスプロバイダなどのクリティカルなサプライヤやベンダーを含む、EU の金融業界全体を対象としています。
デジタルオペレーショナルレジリエンス法規制の影響を受ける主な業界と金融機関は次のとおりです。
規模や重要性が限定的であることから、デジタルオペレーショナルレジリエンス法の第 2(3) 条は次のような事業体には適用されません。
加盟国はその裁量により、特定の国内信用または投資機関を対象外にすることもできます。
デジタルオペレーショナルレジリエンス法とは、EU の金融業界内でのデジタルシステムの複雑さとその接続の増加に対処するために、精密なフレームワークを規定する重要性の高い包括的な規制イニシアチブです。加盟国間で標準を統一することにより、銀行、保険会社、投資会社、決済サービスプロバイダはじめとする金融機関内のすべての事業体が、ICT システムおよびサービスと関連するリスクを適切に管理し、軽減できるようにします。
デジタルオペレーショナルレジリエンス法での主な重点領域は、サイバーセキュリティ対策の強化です。金融機関は、サイバー防御の継続的な監視とテスト、迅速なリカバリと対応メカニズムなど、広範なサイバー脅威の防止、検出、対応のための堅牢なサイバーセキュリティポリシーと制御を実装して、サイバーインシデントの潜在的な脅威を最小限に抑える必要があります。
デジタルオペレーショナルレジリエンス法ではデータ保護も精査されており、データ整合性、機密性、可用性を確保する包括的なデータガバナンスフレームワークを確立することを金融機関に義務付けています。これには、ゼロトラストセキュリティ対策を実装して、機密扱いの顧客データや金融データを不正アクセス、データ侵害、損失から保護し、金融業界のデジタルオペレーションへの信頼を強化することが含まれます。
建物の正確な仕様を示す設計図、あるいは、即興の余地がほとんどない楽譜のように、デジタルオペレーショナルレジリエンス法は、非常に規範的であり、コンプライアンスに関する特定の指示、基準、テンプレートを含んでいます。この細心の注意を払ったアプローチは、監視とエンフォースメントにおいて実践的な役割を果たすという規制当局の意図を示しています。
デジタルオペレーショナルレジリエンス法は、金融業界でのレジリエンス対策の標準化だけではありません。金融機関がデジタル環境のもたらす課題に対して常に備えられるようにして、最終的には金融業界の安定性とより広範な経済環境の保護を実現します。その本質は、ICT とサイバーセキュリティのさまざまな分野、または要素に対応する 5 つの中心的な柱に分類することができます。
デジタルオペレーショナルレジリエンス法のオペレーショナルレジリエンスの 5 つの主な「柱」は次のとおりです。
それぞれの柱とその機能を詳しく見ていきましょう。
柱 1: ICT リスク管理:
デジタルオペレーショナルレジリエンス法に基づく ICT リスク管理には、以前の標準をはるかに上回る広範な原則と要件が含まれています。定期的なリスク評価、徹底的な特定、明確に定義されたリスク軽減戦略、継続的な監視を義務付ける正式な ICT リスク管理フレームワークを確立します。デジタルオペレーショナルレジリエンス法以前の、厳格さや範囲が多岐にわたる手法とは異なり、このデジタルオペレーショナルレジリエンス法は、EU 全域で標準を統一し、すべての金融機関に対して一貫した ICT リスク管理の取り組みを推進します。たとえば、銀行は、定期的にサイバーセキュリティ防御をテストし、新たな脅威に基づいてリスク軽減戦略を更新しなければなりません。サイバーセキュリティ保護対策を実装する必要もあります。その対策は、IAM (アイデンティティ/アクセス管理)、異常検出、マルウェアスキャン、脅威への対応、データインサイト、SIEM、SOAR、パッチ管理に関するポリシーなどです。ほとんどの金融機関は、ガバナンスの取り決め、ポリシー、リスク評価、制御、および対応付け作業を見直して、デジタルオペレーショナルレジリエンス法に固有の要件に整合させる必要があります。
デジタルオペレーショナルレジリエンス法では、ICT 管理を担当する事業体の管理組織が明確に定められています。これには、取締役、経営幹部、上級管理職があり、その管理組織がリスク管理戦略を確立して実装しなければなりません。遵守しない場合、個人の責任を問われる可能性があります。
柱 2: ICT 関連のインシデントレポート:
デジタルオペレーショナルレジリエンス法では、重大なサイバーインシデントの検出、管理、適切な通知を凝集したプロセスの確立が企業に求められます。そのプロセスでは、レポート要件を調和させて、ICT 関連のインシデントレポートを合理化します。つまり、企業は重大なサイバーインシデントの検出、管理、適切な通知を凝集したプロセスを確立しなければなりません。これにより、すべての金融機関が一貫した方法でインシデントを報告できるようになるため、データの収集と規制に関する監視が向上します。GDPR よりも幅広く、データ侵害と ICT インシデントの両方が対象になります。
以前のレポート標準は、法管轄区域によって異なることがあり、非効率なだけでなく、規制に関する知識のギャップが生じていましたが、デジタルオペレーショナルレジリエンス法では、すべての事業体が標準化された規則に従う必要があります。たとえば、データ侵害が発生した決済サービスプロバイダは、特定のプロトコルに従ってインシデントを規制当局に報告しなければなりません。このように、業界全体でのタイムリーで統一された対応が実現します。
柱 3: デジタルオペレーショナルレジリエンスのテスト:
特異性や統一標準を欠くことが多かった以前の要件から進歩して、金融機関には、基本および高度なレジリエンステストの両方の実施が求められています。このテストには、デジタルシステムの潜在的な脆弱性を特定して対処するように設計された、定期的な脆弱性評価と侵入テストが含まれます。たとえば、証券会社は年に 1 回の高度なシナリオベースのテストを実施し、対応/応答戦略を深く理解し、改善することを目標にして、高度なサイバー攻撃をシミュレーションします。
柱 4: ICT サードパーティリスク:
この柱では、外部のサービスプロバイダと関連するリスクを監視および管理するために、原則に基づくルールを導入します。これは、サードパーティリスクを完全には体系的に対応していなかった以前の標準よりも包括的なルールです。デジタルオペレーショナルレジリエンス法では、厳格な監視フレームワークを実装することと、サードパーティによるデジタルオペレーショナルレジリエンス法標準コンプライアンスを確保するための特定の契約条項を含めることを金融機関に求めています。たとえば、外部のクラウドサービスプロバイダを使用する銀行は、プロバイダがデジタルオペレーショナルレジリエンス法のオペレーショナルレジリエンス要件に対応し、定期的にこれらの取り決めを見直せるようにしなければなりません。
デジタルオペレーショナルレジリエンス法では、徹底的なサードパーティサービスプロバイダ評価を実施し、依存関係をマッピングし、明確な出口戦略の取り決めなど、セキュリティと整合性を確保することを事業体に求めています。データ、アプリケーション、サービスをクラウドコンピューティング環境からオンプレミスへ戻す、または別のクラウドプロバイダへ移行する方法について、意義のある計画を策定する必要があります。事業体には、プロバイダがデジタルオペレーショナルレジリエンス法を遵守していないプロバイダと契約することを阻止できる権限があります。
柱 5: 情報共有:
この柱では、標準手順から大きく転換して、金融機関間でのサイバー脅威に関する情報とインテリジェンスの自発的な交換を奨励しています。構造化されておらず、孤立化する傾向があった以前の手法とは異なり、このコラボレーションアプローチによって指定チャネルを通じた共有が促進され、集団全体のデジタルレジリエンスが向上します。たとえば、金融機関は、共有プラットフォームに参加できます。デジタルオペレーショナルレジリエンス法では、このプラットフォームを「信頼できる金融機関コミュニティ」と呼んでいます。ここで、サイバー脅威の兆候を報告して話し合い、業界全体が潜在的なサイバーインシデントにより適切に備えられるようにします。
デジタルオペレーショナルレジリエンス法の厳格な標準に従うことによって、企業には次のような利点がもたらされます。
デジタルオペレーショナルレジリエンス法のコンプライアンスは、EU 金融市場内での運用、および規制当局とのやり取りを円滑化する、統合アプローチに参加するというコミットメントを示すことにもなります。
デジタルオペレーショナルレジリエンス法の影響が大きいことは確かであり、金融機関の現在の ICT システムとガバナンスの包括的な見直しが必要です。企業は移行への備えとして、堅牢なリスク管理フレームワーク、詳細なインシデントレポート手順、厳格なレジリエンステストの開発など、ICT リスクを管理するための厳重な対策を導入する必要があります。この大規模な移行が施行されると、最初の変更だけでなく、継続的な改善と適応に関する企業の継続的な取り組みが必要になります。
企業がサイバーセキュリティ対策とオペレーショナルレジリエンスを強化する際、必然的にデジタルオペレーショナルレジリエンス法の目標に沿ったものになるため、金融環境の安全性がさらに高められます。
欧州銀行監督局 (EBA)、欧州保険年金監督局 (EIOPA)、欧州証券市場監督局 (ESMA) で構成される欧州監督当局 (ESA) は、この移行において不可欠な役割を担っており、EU 全域の金融機関に対し、デジタルオペレーショナルレジリエンス法の標準を一律に適用します。ESA は、実装の監督、ガイドラインの提供、コンプライアンスの監視により、EU が金融システムの整合性とレジリエンスを維持できるようにし、金融業界が必要な標準を満たし、デジタルレジリエンスの原則を運用の基盤として導入するよう監督します。
金融機関がコンプライアンスを確保するには、このような新しい要件の日常的な運用への統合を計画する必要があります。
レジリエンスの文化を促進し、ESA やその他の規制当局とのオープンなコミュニケーションを維持することによって、金融機関は常に俊敏にコンプライアスに取り組むことができます。これを継続的なプロセスとして組み込めば、進化する規制やベストプラクティスにもタイムリーに対応し、デジタルオペレーショナルレジリエンス法のフレームワーク内での影響、監督、コンプライアンスの相互接続性というメリットを確保することができます。
企業にとって、デジタルオペレーショナルレジリエンス法の遵守における最大の課題は、この法の新しく厳格な規制を満たすために、既存の ICT フレームワークを次のように広範囲にわたって見直す必要があることでしょう。
多くの事業体、特に小規模の事業体では、このような必要性によってリソースが集中的に使用されるため、財務上、および運用上の大幅な調整が必要になる可能性があります。
企業には、コンプライアンスに向けて段階的に取り組み、最も重要な要素を最優先し、レジリエンス対策を徐々に拡張してこのような課題に対処するために 24 カ月の猶予が与えられました。トレーニングと開発に投資すれば、すべての従業員が新しい要件を理解できるでしょう。さらに、外部の専門知識を求め、サイバーセキュリティおよびコンプライアンスを専門とするプロフェッショナルと連携すれば、カスタマイズされた戦略とソリューションの開発に役立つ可能性があります。戦略的で段階的なアプローチを導入することによって、デジタルオペレーショナルレジリエンス法の要求に効果的に対応し、コンプライアンスとオペレーショナルレジリエンスの両方を確保できるようになります。
デジタルオペレーショナルレジリエンス法は 2025 年 1 月 17 日から施行されます。対象となるすべての金融機関は、その日までに ICT サードパーティサービスプロバイダとの契約上の取り決めを網羅した登録リストを用意する必要があります。これらの登録リストにより、次のことが可能になります。
デジタルオペレーショナルレジリエンス法における ICT サードパーティサービスプロバイダ情報の登録リスト準備および提出について金融機関を支援するために、ESA およびその他の当局は、2024 年にベストエフォート方式でリハーサルを実施します。
ベリタスは、金融機関のデータセキュリティ要件を長年サポートしてきた実績があり、デジタルオペレーショナルレジリエンス法の新しい厳格なセキュリティ要件に対応できる適切な体制が整っています。安全で信頼性が高く、拡張性に富んだソフトウェアおよびハードウェアシステムを提供して、ビジネスクリティカルなシステムの効率的な運用を実現し、金融機関がコンプライアンスを維持できるようにします。
データオペレーショナルレジリエンス法コンプライアンスの詳細とベリタスができることについては、オンラインでお問い合わせください。