日報
專欄
熱點
國際
活動
歐盟方面表示,《數字運營彈性法案》是強化歐盟金融實體數字運營彈性框架的關鍵一步,解決了現有法律法規在資訊通訊技術風險管理方面的空白和不一致問題,是對歐盟近期其他網路安全法律的有力補充。(首圖來自圖蟲創意)
譯|高旭 原作|Jones Day <<<<
來源|LEXOLOGY <<<<
2025年1月17日,歐盟《數字運營彈性法案》(Digital Operational Resilience Act,簡稱DORA)正式生效。
歐盟方面表示,《數字運營彈性法案》是強化歐盟金融實體數字運營彈性框架的關鍵一步,解決了現有法律法規在資訊通訊技術(Information and Communications Technology,以下簡稱ICT)風險管理方面的空白和不一致問題,是對歐盟近期其他網路安全法律的有力補充。
目標和範圍
據悉,DORA適用於20類金融實體,包括銀行、保險公司、投資公司、管理公司和加密資產服務提供商。
該法案還對金融實體的管理機構以及為金融實體提供支援的“關鍵”資訊和通訊技術服務提供商規定了新的義務,要求他們接受歐盟金融監管機構的直接監督。
關鍵領域
為遵守DORA要求,相關金融實體必須在幾個關鍵領域採取強有力的措施:
-
制定並維護一個全面的ICT風險管理框架,能夠識別、監控、預防和降低ICT相關風險,並進行定期審查和內部審計。
-
建立檢測、應對和向相關監管機構報告ICT相關事件和重大運營或安全支付相關事件的流程。
-
制定穩健的數字運營彈性測試計劃,包括一系列評估和工具,如威脅引導滲透測試(TLPT)。
-
制定並定期審查資訊和通訊技術第三方風險管理戰略,包括與資訊和通訊技術服務提供商簽訂的合同中的強制性條款,以及記錄所有現有合同安排的資訊登記冊。
-
最後,DORA鼓勵(但不要求)金融實體之間共享有關網路威脅的資訊和情報。
執法和處罰
監管機構將對合規情況進行監督,並擁有廣泛的權力,包括查閱檔案和資料、進行現場檢查以及實施行政處罰和補救措施的權力。
DORA要求成員國針對違規行為制定適當的行政處罰和措施,其中可能包括刑事罰款和補救令。成員國還可對金融實體的高階管理層處以個人罰款和制裁。違規的關鍵資訊和通訊技術服務提供商可能面臨長達六個月的罰款,罰款額按其全球日均營業額的1%計算。
下一步工作
金融實體應繪製資訊和通訊技術服務圖,並評估其當前的資訊和通訊技術風險管理做法,以符合DORA的要求。必要時,金融實體應更新並正式確定ICT治理框架、事件響應協議和第三方監控程式。修訂與ICT服務提供商的合同安排對於確保遵守DORA的監督和合規義務也至關重要。反之,為金融實體提供服務的資訊和通訊技術服務提供商應審查客戶合同,以確保其符合DORA的要求,還應相應地重新審查與分包商的安排,以確保整個供應鏈的合規性。
*本文版權歸“未央網”所有,未經授權禁止轉載。如需開通白名單請在評論留言,轉載時在文首註明來源及作者。
REVIEW