根据欧盟弹性法规提供组织影响

白皮书:基于欧盟弹性法规的组织影响 ©2022TechTarget,Inc.保留所有权利。 WHITEPAPER 基于欧盟弹性法规的组织影响 通过Capgemini和RedHat了解当前欧盟立法的运营弹性和合规性之路 PaulNashawaty，企业战略集团首席分析师 2023年8月 本企业战略集团白皮书由Capgemini和RedHat委托编写，并根据TechTarget,Inc.的许可分发。 Contents 执行摘要 欧盟（EU）的新法规正在制定中，以简化整个金融机构的第三方风险管理流程。数字运营弹性法案（DORA）是欧盟试图建立一个详细而全面的框架，以协调各种监管举措，并为欧洲创建客观的信息和通信技术（ICT）风险管理标准。DORA旨在提高金融服务部门的运营弹性，有助于确保基于欧盟的金融服务组织减轻因越来越依赖ICT系统和第三方进行关键运营而产生的风险。尽管DORA获得了最大的吸引力，但全球目前正在考虑类似的法规。 DORA包括管理与金融实体外包给技术服务提供商（包括云服务提供商）相关的风险管理的规定，并要求直接监督“关键”TSP。这项拟议的政策旨在确保使用单个云服务提供商（CSP）的基于欧盟的金融服务组织具有关于可移植性的成文策略-即能够快速 ，无缝地将关键数据和工作负载从当前的CSP转移到另一个CSP，例如本地云提供商，托管或其他超大规模提供商。如果情况允许 ，该策略还可能要求证明有能力退出CSP关系。此外，金融服务公司需要证明这种可移植性能力已经过测试的文档。这项立法的主要好处是，它通过赋予组织建立，确保和审查其技术运营完整性的能力，从而在金融生态系统中实现更强大的运营弹性。这意味着 ，当组织面临安全威胁或提供商意外停机或缺乏对应用程序的访问权限时，该组织有能力响应、恢复、学习和适应。另一个好处是 ，它可以增加云主权，并防止过度依赖外国CSP，例如Google，AWS和MicrosoftAzre。尽管这些新的监管要求通过确保减少对单个提供商的依赖而为组织和消费者带来了好处，但它们会影响金融服务公司与CSP和其他第三方的合作方式，并需要重新思考现有的云战略。 尽管DORA的目标是金融服务部门，但该法规可能会在行业，国家和大洲更广泛地采用。凯捷与红帽合作，开发了一种简化的容器化服务方法，以引领全球组织完成这一过程。该方法建立了多云战略，设计和交付了基于“先行者”应用程序的实施，并为技术人员提供了部署正确的红帽技术的能力。根据TechTarget企业战略小组的研究，77%的组织要么在将应用程序迁移到云端之前对其进行评估，要么在迁移到云端时完全致力于重构其应用程序（见图1）。 1资料来源：企业战略集团完整调查结果，分布式云系列：应用基础设施现代化趋势，2022年3月。 ©2023TechTarget,Inc.保留所有权利。 图1.组织迁移到云之前的方法 将应用程序/工作负载移动到云时，在迁移到云之前，以下哪一项最符合您组织的方法 （即，您是重构、重写还是以其他方式修改应用程序）？（受访者的百分比，N=36 我们主要提升和转移或重新托管应用程序以将其移动到云中，除非有人提出令人信服的理由来重构 、重写或重新平台应用程序，23% 我们主要在迁移之前，重构、重写 、重新平台或以其他方式修改云的应用程序/工作负载，除非有人提出了令人信服的不必要案例，18% 在迁移到云之前，我们会单独评估我们的应用程序，然后根据应用程序决定是否重构、重写、重新平台、重新托管或提升和转移，59% 资料来源：TechTarget公司下属的企业战略集团。 此外，凯捷还帮助制定了一个动态路线图，供组织遵循。在本文中，我们探讨了金融服务公司利用DORA的含义，以及它作为统一指令的地位，旨在保证在欧盟内运作的金融服务实体遵守适当的第三方风险管理程序，这些程序经过适当的审查，记录和证明。DORA的一个值得注意的分支涉及其对机构选择的潜在影响，即将重要应用程序和功能迁移到单个或多个云服务提供商（CSP） ，可能会忽略基本的可移植性属性。 跟上不断变化的法规和云部署 大多数金融服务组织在很多年前就开始了他们的云计算之旅，其中一些是云优先战略的早期采用者。现在，随着欧盟即将进行的监管改革，例如DORA，所有基于欧盟的金融服务组织都被迫重新考虑他们如何使用云，他们使用哪些云以及用于哪些服务。DORA是欧盟委员会目前正在起草的立法提案，要求金融机构采取适当的保障措施，以减轻可能导致重大基础设施崩溃的风险，例如全球CSP的整个区域。已颁布的立法的一个组成部分，自2023年1月起生效，并在随后的24个月内强制要求可能的遵守，这意味着金融服务实体建立和。 记录一个结构化的战略。此策略应展示他们在各种云服务提供商之间有效传输基于云的数据（工作负载）和/或迅速恢复到本地数据中心的能力。此外，他们还需要提供证据证明测试这种可移植性能力是一种可行的方法。重要的是要注意DORA并不强加可移植性的义务。该法规的范围包括雇用单个非欧盟云服务提供商（如AWS，Azre或GoogleClod）的金融服务公司，无论CSP位于欧盟内部还是欧盟外部。该法规详细阐述了相关各方的全面范围和考虑因素。 DORA一瞥 WhileDORAbecamelawin2022,itcanbeusedasaproxyforotherregulationsthatarealreadyinplaceorarebeingconsideredaroundtheworld.TheDORArequirementsacrossitsfivepubliersinclude:2 1.ICT风险管理。 通过实施适当的技术和组织缓解措施来保护和预防ICT风险。 2.ICT相关事件的管理、分类和报告。 金融服务和DORA支柱 本文探讨了第二和第四支柱的方面以及对金融服务业的影响，例如支付机构，投资公司，信用评级机构，加密资产服务提供商，众筹服务提供商，金融科技，交易场所，金融系统提供商和信贷机构 。 识别，分类和记录所有与ICT相关的业务功能，支持这些功能的信息资产以及所有风险来源。 至少每年进行一次ICT风险评估。 3.数字操作弹性测试。 通过定期测试检测单点故障和异常活动。 通过实施专门和全面的ICT业务连续性计划和ICT灾难恢复 ，应对中断并从事件中恢复计划，分别定期维护和测试。 4.ICT第三方风险管理。 加强管理对ICT第三方提供商的间接监督的外包规则。 在ICT第三方提供商向金融公司提供服务时，可以直接监督他们的活动。 鼓励金融部门的威胁情报交流。 5.信息和情报共享。 通过分析事件的根本原因以及保护和检测措施的有效性来学习、发展和沟通。 确保沟通计划，以便向客户，同行和公众负责任地披露与ICT相关的事件或重大漏洞。 2资料来源：委员会工作人员工作文件：影响评估执行摘要随附文件，欧洲议会和理事会关于金融部门数字运营弹性的法规提案以及修订法规（EC）No 1060/2009，（EU）No648/2012，（EU）No600/2014和（EU）No909/2014。 准备DORA 尽管公司不会被强制使用本地云提供商，但DORA旨在限制对单个CSP的依赖。这将需要极高的可移植性-也就是说，基础架构能够在云和本地环境之间快速来回移动部分关键工作负载和数据。 实现运营弹性和减少对单个CSP的依赖有三个关键考虑因素： 强制性选择：本质在于制定应急计划，可移植性可以提供解决方案，但法规本身不会为企业规定具体的补救措施，包括实施DORA要求和在非欧盟CSP之上开发云主权层。 选项A：DORA要求包括促进将基于欧盟的CSP用于基本工作负载，特别是在内部托管不可行的情况下。这些法规强调了确保无缝和合规过渡到基于欧盟的CSP以维护运营连续性和监管一致性的重要性。 选项B：这涉及将工作负载或数据移回内部数据中心。根据服务的不同，在内部移动应用程序可能比进行所有编码更改以将其移动到不同的CSP更容易。虽然将所有东西都搬回数据中心的长期战略成本很高，但如果出现问题，继续服务的最快方式(这是监管机构会关心的——客户影响)可能是内部的。 严重依赖非欧盟CSP的公司面临的DORA挑战 DORA强调组织有必要重新评估其战略并探索减轻与第三方外包相关的风险的途径。一种潜在的风险缓解方法包括采用有利于混合云战略的基础设施，将可移植性作为关键要素。通过这样做，公司可以主动提高其运营弹性和监管合规性。 EnterpriseStrategyGroup的研究表明，86%的组织已经在使用多个云服务提供商作为其产业的一部分（见图2）。 偶尔，这种情况会在不经意间发生，即SaaS产品的云托管不被注意到，而在其他情况下，这是一个深思熟虑的选择。像DORA 这样的法规的出现以及即将到来的法规，将迫使组织对其技术堆栈采取更深思熟虑的方法，并使其与多云战略保持一致。 3资料来源：企业战略集团研究报告，《跨分布式云环境的应用基础设施现代化趋势》，2022年3月。 图2.近90%的组织使用多个云服务提供商 您的组织目前使用大约多少个独特的公共云基础设施服务提供商（IaaS和/或PaaS）？ 6% 12% 12% 19% 21% 26% （受访者的百分比，N=321） 2%2% 123456更多超过6不知道 资料来源：TechTarget公司下属的企业战略集团。 然而，当试图从一个单一的U移动时，实现这种水平的可移植性可能特别具有挑战性。S.-由于美国内部的更高级别的服务，例如数据库即服务，因此将拥有的云服务提供商提供给基于欧盟的云服务提供商S.拥有的云。此外，当基础设施基础基于专有工具集时 ，可移植性变得更加成问题。 为合规制定云战略 创建合规性的游戏名称是可移植性和证明性。当无法选择将数据移回本地时，使用单个CSP的金融服务公司将需要： 将“云层”纳入DORA规定，在所选CSP上运行，或与已经采用此类技术的CSP协作。此步骤旨在增强提供商的独立性，数据安全性和恢复能力，通常包括基础云服务，如安全性，合规性和监控，以及与CSP无关的编排，配置，操作，FiOps，安全性和合规性解决方案在CSP服务上分层。 采用补充CSP，可能将一个杰出的行业参与者与基于欧盟的区域CSP合并，以解决特定的、不太广泛的工作负载，由于存储和使用的数据的性质，特别是敏感的专有数据，特别是当本地替代品不可用时。重要的是要注意，虽然这不是DORA强制要求的，但它是一个强有力的建议。 预见OpeShift的明显价值转化为效率。在像OpeShift这样的多功能平台上构建应用程序不仅意味着弹性，而且避免了缺乏高级规划的耗时后果。虽然过渡回本地是一种选择，但它需要细致的计划，并且可能不是最具时间或成本效益的选择，此外，与基于云的策略相比，它可能会抑制创新。 云主权层：它是什么以及为什么需要它 主权云的架构和构建旨在提供安全性和数据访问，满足受监管行业和当地司法管辖区法律对数据隐私、访问和控制的严格要求。 私有和公共部门组织的关键数据价值。创建主权云涉及构建多个子层，并在服务提供商和组织之间分担责任。 当构建在具有开放技术的开放平台上时，云主权层可实现所需的操作弹性以及应用程序和工作负载的可移植性、数据安全性和数据访问，以便在云之间轻松迁移。 研究显示大多数应用在多个云上 EnterpriseStrategyGroup的研究表明，63%的组织拥有多个云上的应用程序，这些云可以包括多个云服务提供商中的整个应用程序，也可以包括利用特定云服务提供商功能的同一应用程序的不同组件（见图3）。 图3.如今，应用程序生活在多个云中 您提到您从至少2个唯一的CSP使用公共云基础设施服务。您如何描述这种用法？（受访者的百分比，N=279） 我们有一个主要的IaaS或PaaSCSP，并将其他IaaS或PaaSCSP