《数字运营韧性法案》(DORA) 是欧盟的一项新法规,于 2023 年 1 月 16 日通过并计划于 2025 年 1 月 17 日生效,旨在确保金融行业机构具备足够的运营韧性,轻松化解从轻微中断到网络攻击之类的灾难性破坏等诸多挑战。监管框架要求各组织机构证明他们有能力抵御和应对各类数据、通信和技术相关的中断和威胁,可顺利从中恢复。规则包括保护、检测、遏制、恢复和修复能力。
该法案适用于 20 多种类型的金融实体,例如银行、保险公司和投资公司以及与之有业务往来的第三方。这些规则还覆盖所有信息与通信技术第三方服务提供商。如同 GDPR 统筹数据隐私规定一般,《数字运营韧性法案》(DORA) 旨在巩固和提升金融服务领域的网络韧性、信息与通信技术风险和网络风险管理。
《数字运营韧性法案》的严格要求和结构化方法将助力金融部门化解复杂的数字风险和网络安全威胁,确保整个欧盟迎来一个稳定安全和韧性十足的金融环境。企业若将这些要求整合到运行框架之中,即可轻松应对当前的数字挑战,奠定长足发展基础,适应不断进步的未来科技。
信息与通信技术风险管理并非新概念。不过,DORA 的全面规定要求金融实体对现行实践和框架进行深入彻底的修订。然而,该法案不仅要求金融实体全面修订信息与通信技术风险管理实践,还强化了内部管理组织在制定和批准公司数字运营韧性战略方面承担的重大责任。战略必须对标 DORA 的强化信息与通信技术安全标准,明确规定信息与通信技术的中断风险承受能力、关键绩效指标和风险指标。
在发生严重业务中断后,DORA 要求金融实体严格执行业务影响分析,旨在:
这种前瞻式方法有利于确保金融实体做好应对中断的准备,维稳运营连续性,将影响或停机时间控制在最低水平。
《数字运营韧性法案》(DORA) 规定了网络安全保护措施,包括围绕以下主题的政策:
网络韧性最佳做法涵盖了这些网络安全保护措施,旨在帮助金融机构做好容灾准备,从容应对出现的网络事件,尽量减少网络攻击造成的停机时间和影响。
为了进一步强调透明度和问责制的必要性,DORA 授权在每个企业内制定一项强有力的沟通战略,包括指定一名专职人员负责管理和报告信息与通信技术的相关事件。这些清晰的沟通渠道有力保证报告和响应及时到位,减少信息与通信技术的问题对实体运作造成的潜在影响。
此外,深入了解实体的信息与通信技术资产、流程和系统之间的相互联系也至关重要。DORA 要求金融机构和服务提供商对这些组件进行全面映射,找出关键漏洞,并在发生事故或违规时提高整体运营韧性。制定恢复操作手册和桌面演练的最佳做法可明确各部门的流程,并在相互关联映射的基础上提高业务恢复韧性。
他们还应与“关键”信息与通信技术服务提供商接触,确保他们也为变革做好准备,并了解他们在新监管环境下支持金融机构的作用。
DORA 不仅适用于银行和金融机构。它的目标对象直指整个欧盟金融部门,包括技术经理和支付服务提供商等关键供应商和销售商。
受 DORA 法规影响的主要行业和实体包括:
DORA 第 2(3) 条规定,某些实体因其规模或重要性有限而免于适用,其中包括:
各成员国也可自行决定豁免特定的国家信贷或投资实体。
DORA 是一项意义重大的综合性监管举措,为解决欧盟金融业数字系统日益复杂和互联互通的问题制定了精确的框架。该标准为各成员国制定统一标准,确保金融部门的所有实体,包括银行、保险公司、投资公司和支付服务提供商,都有足够的能力管理和降低信息与通信技术系统和服务相关的风险。
DORA 的一个重点领域是加强网络安全措施。金融机构必须实施强有力的网络安全政策和控制措施,预防、检测和应对各种网络威胁,包括持续监控和测试其网络防御系统,以及快速恢复和响应机制,以最大限度地减少潜在网络事件的影响。
数据保护也是 DORA 的严格审查内容,其规定要求金融实体建立全面的数据管理框架,确保数据完整性、机密性和可用性。包括实施零信任安全措施,保护敏感的客户数据和金融数据免遭未经授权的访问、数据泄露和丢失,从而增强公众对金融部门数字运营的信任。
众所周知,蓝图提供了精确的建筑规格,而乐谱几乎没有即兴发挥的余地,DORA 也是如此,具有明显的规范性,包含具体的说明、标准和合规模板。这种臻于细节的方法表明,监管机构打算在其监督和执行过程中亲力亲为。
DORA 的存在意义不仅仅是统一整个金融部门的韧性实践。它还有利于确保金融机构随时做好准备,从容面对数字环境带来的挑战,最终保障金融业的稳定性,维护宏观经济环境,其精髓可提炼为五大核心要素,其内容覆盖信息与通信技术和网络安全的方方方面。
DORA 五大“运营韧性要素”分别是:
接下来,我们深入了解下各个要素及其功能。
要素 1:信息与通信技术风险管理:
DORA 下的 ICT 风险管理涉及广泛的原则和要求,深化了以前的标准。它建立了一个正式的信息与通信技术风险管理框架,要求定期执行风险评估、全面识别风险、制定明确的风险缓解战略以及持续监控措施。DORA 一改往日做法,在严格程度和范围上加大实施力度,为整个欧盟制定了统一的标准,确保所有金融实体采用一致的方法来管理 ICT 风险。例如,银行如今必须定期测试自身的网络安全防御系统,针对新兴威胁更新风险缓解战略,还必须实施网络安全保护措施,包括 IAM(身份与访问管理)、异常检测、恶意软件扫描、威胁响应、数据洞察、SIEM、SOAR 和补丁管理方面的策略。大多数机构需要审查自身的数据管理协议、政策、风险评估、控制和映射活动,确保它们符合 DORA 的具体要求。
DORA 明确规定,实体的管理机构需对信息与通信技术管理负责。这包括董事会成员、行政人员和高级管理人员,他们必须制定和实施风险管理战略。不合规可能会追究个人责任。
要素 2:信息与通信技术相关的事件报告:
DORA 督促各企业建立检测、管理和及时通报重大网络事件的统一流程。它推出了统一的报告要求,简化了信息与通信技术有关的事件报告。简而言之,它要求各企业遵循统一流程来检测、管理和及时通报重大网络事件,确保所有金融机构以高度一致的方式报告事件,力促数据收集和监管流程的顺利进行。它比 GDPR 覆盖的范围更广泛,除了数据泄露,还涵盖信息与通信技术事件。
以往的报告标准往往因辖区而异,导致效率低下和监管知识的缺失,而根据《数字运营韧性法案》(DORA),所有实体都必须遵守标准化惯例。例如,发生数据泄露的支付服务提供商现在必须按照特定协议向监管机构报告事件,以确保整个行业做出及时和统一的反应。
要素 3:数字运营韧性测试:
以往的要求往往缺乏具体指向性或标准不统一,而如今金融机构必须执行基本和高级韧性测试。这种测试包括定期的漏洞评估和渗透测试,旨在发现和解决数字系统中的潜在薄弱环节。例如,证券公司每年都要进行高级情景测试,模拟复杂的网络攻击,其目的在于深入了解灾备现状,进一步完善响应策略。
要素 4:ICT 第三方风险:
该要素引入了基于原则的规则,用于监控和管理外部服务提供商的相关风险。它比以往的标准更为全面,先前的标准往往没有系统性地涵盖第三方风险。DORA 要求金融机构实施严格的监督框架,并纳入具体的合同条款,确保第三方始终恪守 DORA 标准。例如,启用外部云服务提供商的银行如今必须确保提供商满足 DORA 运营韧性要求,定期审查相关部署。
DORA 要求各实体开展全面的第三方服务提供商评估,映射依赖关系,确保安全性和完整性,包括明确退出战略的协议。关于如何将数据、应用程序和服务从云计算环境回归到本地部署或迁移至其他云服务提供商,须落实合理有据的计划。值得注意的是,各实体有权阻止服务提供商与未达到 DORA 要求的提供商签订合同。
要素 5:信息共享:
该要素标志着标准程序的重大转变,鼓励金融实体之间自愿交流网络威胁的相关信息和情报。不同于以往组织不严谨、相对孤立的早期做法,这种新型合作方式有利于透过指定渠道促进共享,同时增强集体的数字韧性。例如,金融机构如今可以参与一个共享平台,DORA 称之为“可信赖的金融实体社区”,可在此报告和讨论网络威胁指标,帮助整个行业更好地应对潜在的网络事件。
遵守 DORA 的严格标准,企业可从以下方面受益:
遵守 DORA 还表明,企业承诺遵循统一方法,促进欧盟金融市场内部乃至不同监管机构之间的顺畅运作和互动。
DORA 的影响注定深远,势必掀起金融机构当前信息与通信技术系统和管理的全面改革。为了做好转型准备,机构必须采用严苛的措施管理 ICT 风险,包括开发强有力的管理框架、详细具体的事件报告程序和严格的韧性测试。要想取得成效,这一重大转变势必唤起初步变革,同时要求企业庄重做出可持续承诺,不断适变调整和优化。
随着企业一步步夯实网络安全措施和运营韧性,它们会自然而然向 DORA 目标看齐,从而推动建设更安全的金融环境。
由欧洲银行管理局 (EBA)、欧洲保险和职业养老金管理局 (EIOPA) 以及欧洲证券和市场管理局 (ESMA) 组成的欧洲监管局 (ESA) 在这一转型中发挥的作用举足轻重,确保欧盟各国的金融机构统一采用 DORA 标准。欧洲监管局负责监督实施、提供指导并监控金融机构的合规情况,全力维护欧盟金融体系的完整性和韧性。这种监督可确保该部门达到既定标准要求,将数字韧性原则奉为运营之基础要点。
为确保合规,金融机构应制定相应的计划,有条不紊地将这些新要求融入到日常运营中:
培养应变能力文化,与欧洲监管局和其他监管机构保持开放式沟通,确保金融实体在合规工作中时刻保持敏捷性。在持续整合过程中,机构紧跟不断迭代的法规和最佳实践,保护好 DORA 框架机制内的互联影响、监督和合规方面优势。
对于企业而言,遵守 DORA 的最大挑战往往体现在对现有的 ICT 框架进行全面检查,以满足该法案严苛的新规定,包括:
对于诸多实体而言,尤其是小型实体,这些要求需要实体调用大量资源从财务和业务层面做出重大调整。
企业有 24 个月的时间来攻克上述挑战,通常采用分阶段的合规方法,优先考量最关键的因素,然后逐步拓展韧性措施。投资培训和发展将确保所有员工理解新要求。此外,寻求外部专业人员的帮助,携手网络安全和合规专业人士,合力量身定制战略和解决方案,不失为明智之举。采纳战略型循序渐进的方法,企业能够切实履行 DORA 的要求,保障运营合规且有充足的韧性。
DORA 将于 2025 年 1 月 27 日生效。在此日期之前,所有符合条件的金融实体都要提供一份综合登记表,其上列出与 ICT 第三方服务提供商的全部合同协议。这些登记表有利于:
为帮助金融企业准备并提交关于其 ICT 第三方服务提供商的 DORA 信息登记表,欧洲监管局和其他当局将在 2024 年尽力开展模拟演练。
Veritas 多年来倾力支持金融行业达到数据安全要求,积累了丰富的行业经验,完全有能力满足 DORA 新颁布的严格安全要求。我们为金融实体提供安全、可靠且可扩展的软硬件系统,确保关键业务系统高效运行,支持他们始终做到合规。
在线联系我们,了解 DORA 合规详情,看看我们如何助您一臂之力。