你准备好遵守DORA了吗? 确保不断变化的数字业务环境的稳定性 2您准备好遵守DORA吗? Content DORA的五个弹性支柱6 问专家9 尾注9 11/23 Introduction 自2008年金融危机以来,欧盟委员会(EU)一直在努力加强欧盟金融服务部门的金融弹性,采取旨在增加资本资源和流动性以及降低市场和信用风险的措施。实际上,欧洲的监管环境每年都变得更加复杂,需要整个金融服务行业的参与者进行转型项目和补救措施。虽然业务弹性的其他方面也受到了一些关注——信息技术、基础设施等等——但在各个国家的司法管辖区,这里的努力往往是零碎的,有时甚至是不同的。 欧盟最近的一项监管举措旨在扩大整个金融服务行业的弹性镜头。虽然金融和资本管理弹性仍然至关重要,但《数字运营弹性法案》或DORA确保基础设施和软件弹性也是要求的一部分 在欧盟内运营的金融机构以及关键信息和通信技术(ICT)提供商的运营风险管理。该法规旨在保护 ,促进和加强业务的技术发展,同时保护消费者的财务。 本文重点介绍了作为DORA合规方法的截止日期-2025年1月17日对金融服务机构的影响和需要采取的行动。通过介绍 DORA是整个行业一致的监管方法,可确保在欧盟运营的公司之间安全和弹性实践的融合。 了解DORA及其对组织的影响 数字运营弹性法案是欧洲议会于2022年12月实施的一项新法律。它要求公司进行详细的风险评估,并找出其数字系统可能出现的问题;此外,企业必须报告发生的任何问题,以便他们 canbetracked,controlled,andstoppedfromhappeningagain.DORAimposesnewresponsibilitiesonEUfinancial 该法规还引入了欧盟金融监管机构对关键ICT服务提供商进行直接监管的新框架。 加快欧洲金融服务行业的数字创新至关重要,并将于2025年1月17日全面生效:欧盟受影响的组织及其关键的ICT提供商必须在此日期之前准备遵守DORA。 DORA和金融服务企业 DORA和ICT提供商 银行、审计师和审计公司 信息和通信技术供应商 经纪人、信用评级机构 数字和数据服务提供商 支付机构 云计算服务提供商 信贷机构 软件提供商 投资公司 数据分析服务提供商 众筹服务 数据中心和托管提供商 交易场所和存储库保险和再保险公司加密资产提供商 总而言之,DORA旨在始终如一地针对所有金融实体的网络和数字风险。它旨在解决机构中非法活动和随之而来的数字服务中断的不断增长的风险 ,这些中断可能对社会和经济产生直接的负面影响。 DORA为金融服务组织带来了新的挑战 虽然新法规的许多方面并不是全新的,而是建立在风险管理和其他已经实施或处于不同发展阶段的举措的基础上,但由于DORA,行业参与者将需要应对多种技术和数字层面的新挑战: •弹性的正式方法:DORA在整个金融服务部门引入了一套标准化的要求。DORA设定了高弹性预期,实体有望在网络事件后能够快速恢复服务。这需要先进的灾难恢复和业务连续性措施。 金融机构必须创建并定期更新ICT风险管理框架,其中包含 关于战略、程序和工具的信息。ICT第三方风险战略必须是总体框架的关键组成部分。 •网络风险管理:必须积极管理网络风险:流程包括风险分类、 监控、文档和报告。必须实施响应和恢复以及业务连续性管理策略。 •测试和报告:必须定期测试IT系统,并不断审查和更新测试 策略以确保合规性。测试将 包括漏洞扫描、网络评估和渗透评估。 •事件报告和协作:DORA要求实体及时向主管当局报告重大网络事件。尽管不是强制性的,但也鼓励金融机构在行业内建立协作联盟;应定义和制定程序和规则,所有这些都应与 实体之间共享网络威胁情报和信息的目标。 •第三方风险:第三方ICT提供商将受到合同变更的影响,并对其ICT弹性进行严格评估。DORA强调实体需要管理和监控这些外部风险。必须对合同进行审查和修改以符合DORA规则,并停止与不合规提供商的合作。 违规处罚正在制定中 尚未确定对金融实体的罚款;成员国将在适当时候制定框架,DORA也为不遵守规定的潜在刑事责任敞开大门。关键ICT第三方服务提供商的罚款最高为上一营业年度全球平均每日营业额的1%,每天执行,直至达到合规,最长六个月。 简短地谈谈英国和美国的相关发展 虽然是欧洲法规,但DORA可能适用于在欧盟开展业务的外国注册企业,包括美国和英国的企业。 •如果某些金融服务公司在欧盟开展业务,DORA将适用于某些英国金融服务公司:英国实体将需要根据所包括的广泛类型的金融市场活动以及这些活动是否在欧盟辖区内进行,确定它们是否属于DORA的范围。此外,还计划扩大英国的运营弹性制度:2022年7月,英国议会提出了对各种法律的修正案,允许英国金融当局直接监管英国金融部门的关键第三方服务提供商,类似于DORA。已经发布了一份讨论文件,描述了其拟议的新权力的实施方案,磋商过程于2022年12月结束,但任何更广泛实施的时间表仍不确定。 •在美国,纽约金融服务部目前正在修订其2017年网络安全条例,除其他外,对大型实体施加更严格的业务连续性和数据保留要求。尽管DORA对金融机构施加了更广泛的义务,但纽约更新的网络规则在某些方面可能更加严格。 DORA的所有五个支柱都需要重点关注 DORA法规基于以下五个弹性支柱。 1.ICT风险管理 ICT风险管理通过进行有效和详尽的风险评估,寻求在网络威胁站稳脚跟之前预防和检测,从而大大降低了意外网络攻击的可能性。该支柱将最终责任分配给每个公司的管理机构,以实施适当的措施和控制,确保运营和安全风险管理以及强大的,有据可查的ICT风险管理框架。为了遵守,企业必须确定其影响容忍度,风险关联和关键功能。 行动步骤: •制定全面的风险识别、分类和管理框架 •定义风险预防、响应和恢复计划 •管理层和员工培训计划 2.ICT事件报告 该支柱要求公司提交有关已发生的任何与ICT相关的事件或威胁的报告 。 报告必须包括有关受影响的用户数量,数据丢失量,对ICT系统的影响严重程度,地理分布,受影响的服务的重要性以及经济影响的详细信息。通过提交详细报告,事件可以 适当的监控和管理,组织和监管机构可以获得知识,以不断提高恢复 。 行动步骤: •更新事件分类方法 •设置内部和外部通知通道 3.数字化运营弹性测试 金融机构必须每三年进行一次比例的、基于威胁的渗透测试。公司不应自行进行这些评估:相反,独立测试人员应提前安排DORA监管机构的制裁,以确保测试结果准确。此程序的规定计划时间约为两年。这可能是最具挑战性的支柱:敦促公司尽快开始准备工作,以在2024年年底前完成监管机构授权。 行动步骤: •开发威胁导致的渗透测试 •寻求测试方案和流程的批准和认证 •在弹性测试中包括所有第三方系统 4.ICT第三方风险 这一支柱认为,各组织必须实施第三方风险管理,作为其信通技术风险管理框架的一个基本要素。这包括多供应商信通技术第三方风险政策战略,信息登记册,其中包括所有信通技术提供商、他们提供的服务和他们支持的职能的详细信息,以及关于信息登记册变化的年度报告。此外,DORA对基本提供商进行年度监管评估,以确保组织遵守法律;任何发现不合规的标准检查都将导致法律和金钱制裁。 行动步骤: •制定明确的战略和政策 •开发第三方注册 •执行第三方审计和评估 8您准备好遵守DORA吗? 结论:加速DORA合规性 2025年1月即将到来,必须实现DORA合规性:确保整个组织的领导层充分理解真正的运营弹性-面对不可预见的中断和障碍,所有业务运营的持续需要。虽然已经讨论了具体的DORA支柱和每个支柱中的合规性考虑因素,但随着您的计划的推进,请记住将重点放在以下方面,以加强实施和评估工作: •确保业务连续性规划稳健,并包括快速有效地恢复正常运营的策略;数据中心迁移、数据恢复规划、备份系统和利益相关者沟通计划都是必要的组成部分。 •创建执行关键操作所需的内部和外部依赖关系和互连的详细和具体的映射;文档需要包括所有相关的联系人和元素,包括个人,设施,技术和流程。 •定期进行自我评估,以获取有关任何漏洞或威胁机会的一致且最新的信息,然后努力减轻这些潜在风险并保持最高的弹性水平。 对于任何企业来说,获得完全的DORA准备都是不小的提升,除了所有其他工作流之外,它甚至可能需要对某些参与者进行一些技术架构的重建。确保正确的内部资源得到充分参与和集中,并且与第三方提供商,ICT和其他公司的必要合作正在全力以赴。虽然有一些挑战需要克服,但DORA将为您的组织和整个金融服务行业带来巨大的好处。 关于凯捷 凯捷是全球领导者,与公司合作,通过利用技术的力量来转变和管理他们的业务。该集团的宗旨是通过技术释放人类能源,实现包容性和可持续的未来。它是一个负责任的多元化组织,在50多个国家拥有超过360,000名团队成员。凭借其强大的55年历史和深厚的行业专业知识,凯捷受到客户的信任,能够满足从战略和设计到运营的整个业务需求,这得益于云、数据、人工智能、连接 、软件、数字工程和平台的快速发展和创新世界。该集团报告2022年全球收入为220亿欧元。 获得你想要的未来|www.capgemini.com 免责声明 此处包含的信息本质上是一般性的,不旨在也不应被解释为提供给用户的专业建议或意见。本文档并不是对方法或步骤的完整陈述,这些方法或步骤可能会根据企业实现任何特定业务目标所需的个别因素和情况而有所不同。本文档仅供参考,旨在向用户提供有用的信息。本文件不是对任何特定方法的建议,不应依赖它来处理或解决任何特定问题。本文档的文本最初是用英语写的。为方便我们的用户提供英语以外的其他语言的翻译。凯捷对翻译不准确不承担任何责任。本文提供的信息是基于原样。凯捷否认任何形式的陈述和保证。 发布11/23。版权所有©2023Capgemini。保留所有权利。