什么是数字运营弹性法案 (DORA)？

数字运营弹性法案 (DORA) 是一项加强欧盟 (EU) 金融机构数字安全的法规。 虽然 DORA 于 2023 年生效，但从 2025 年 1 月起，所有欧盟金融机构和信息通信技术 (ICT) 第三方服务提供商将全部采纳，以改善其对潜在网络威胁的防范。

继续阅读，了解 DORA 的目标、合规的主要支柱以及贵机构如何为 DORA 做好准备。

DORA 的目标

DORA 有两个主要目标，即改进金融服务管理 ICT 风险的方式，以及统一欧盟成员国现有 ICT 风险管理法规。

解决金融部门 ICT 风险管理

在欧盟金融机构中，风险管理法规侧重于确保机构有足够的资金处理其运营风险。 然而，问题是一些组织有 ICT 准则，而另一些组织没有。 如果没有统一的 ICT 风险管理安全标准或规则，每个欧盟成员国都可以自行制定要求。 通过标准化这些要求，DORA 可让金融部门更安全，更好地处理与其在线系统和技术漏洞相关的风险。

将风险管理法规协调到一个框架中

有了 DORA，欧盟就可以依靠一致的安全框架管理 ICT 风险，主要是在金融服务部门。 这将消除不同欧盟国家之间在其标准方面的不一致，并使金融机构更容易遵循合规流程。 DORA 可帮助机构更好地了解出现安全风险时该怎么办。

DORA 合规的 5 大支柱

受 DORA 影响的欧盟机构需要在 2025 年 1 月 17 日之前遵循其五大合规支柱。

1. ICT 风险管理

ICT 风险管理是 DORA 的基础，因为它检测并分析与机构使用技术相关的风险。 金融机构必须在关键利益相关者及高级管理人员帮助下遵循 ICT 风险管理框架，以建立有关潜在安全风险的强沟通。 ICT 风险管理应该提供适当的工具、文档和流程的详细说明，以保护机构免受运营风险和网络威胁。 如果缺乏适当的 ICT 风险管理，机构遭受数据泄露和其他可能损害其业务和声誉的安全问题的风险会更高。

2. ICT 事件报告

建立 ICT 风险管理框架后，机构需要知道在出现事件后如何报告。 有了 DORA，ICT 事件报告将会是一个将这些报告合并为更顺畅的渠道的更简单的流程。 金融机构必须根据新的欧盟报告规则，在发生严重 ICT 相关事件后一个月内向统一的欧盟中心提交根本原因报告。 提交根本原因报告后，欧盟中心会审查所有主要 ICT 相关报告并收集所有数据，以确定金融机构中是否存在常见安全漏洞。

3. 数字运营弹性测试

有些金融实体目前会邀请独立方定期进行数字运营弹性测试，即测试他们的方法、程序、工具和恢复系统，为应对所有 ICT 相关风险做好准备。 虽然已有涵盖某些金融机构数字运营弹性测试的现有框架，但 DORA 要求在整个金融服务领域普及测试。 这将增加进行数字运营弹性测试所需的机构数量，从而最大限度地降低雇用独立方的成本，并减少机构遭受网络攻击的机会。

4. 信息和情报共享

DORA 全面生效后，将要求机构在值得信赖的金融社区中共享网络威胁信息。 主要目标是帮助其他机构意识到潜在的网络威胁，以便开发自己的解决方案以保护私人信息。 机构会概述并共享用于打击网络威胁的策略，以改善金融服务社区的整体安全。

5. ICT 第三方风险管理

金融实体必须与任意“关键” ICT 服务提供商签订合同，强调数据保护和事件管理等主题。 某些 ICT 服务提供商之所以被视为“关键”，是因为其提供的服务对机构日常运营至关重要。 与关键第三方提供商签订的合同可确保他们在发生数据泄露或其他网络攻击时为其附属金融机构提供支持。 例如：签署合同后，由于其“关键”状态，将要求第三方提供商共享适当信息，并遵守最高级别的安全标准，以向符合 DORA 标准的金融机构提供服务。

如何为 DORA 合规做好准备

贵机构可采用多种方式做好准备，以满足 DORA 的要求，包括执行 DORA 差距分析、识别关键第三方提供商以及评估您当前的事件响应计划。

执行 DORA 差距分析

要确定 ICT 系统的所有差距，贵机构应该执行 DORA 差距分析。 您可以通过将其与 DORA 的要求进行比较来评估您目前的实践，这将帮助您更好地确定贵机构需要改进的任何领域，以符合新要求。 根据 DORA 差距分析的结果，您可能需要创建修复路线图以解决贵机构内的所有差距。 例如，如果差距分析表明贵机构没有参与信息共享，则需要确定行动并建立时间表，以确保贵机构符合 DORA。

确定关键第三方 ICT 提供商

贵机构必须确定您是否与任何“关键”第三方 ICT 提供商合作，确定确定此分类的所有特征。 如果您使用任何第三方云服务提供商 (CSP)，则您的安全团队需要确保这些供应商也符合 DORA，并签订合同。 确定哪些第三方服务提供商属于“关键”类别非常重要，因为您可能需要建立团队并更改软件以确保符合 DORA 。

访问您的当前事件响应计划

事件响应计划会分配责任，并提供发生数据泄露或网络攻击时机构员工遵循的程序。 使用既定的事件响应计划，贵机构不需要在出现问题时感到恐慌，而是准备好进行确定、评估、补救，并防止再次发生攻击。 假设贵机构已经制定事件响应计划，则需要重新评估您当前的计划是否符合 DORA。 根据 DORA 的要求评估当前计划，以确定贵机构是否遵循具体规定。 如果您通过模拟数据泄露测试事件响应计划，并发现漏洞，则还需要修改内部报告，以满足 DORA 的标准。

如果公司未能遵守 DORA，会发生什么？

如果金融实体未能遵守 DORA，当局可以处以最高相当于该组织全球年度收入 2% 的罚款。 整个机构因不遵守 DORA 而遭受损失的同时，个人经理也可以获得高达 100 万欧元的经济处罚。 如果“关键”第三方 ICT 提供商未能遵守 DORA，罚款可能高达 500 万欧元。

KeeperPAM® 如何帮助您满足 DORA 合规

贵机构可通过投资权限访问管理 (PAM) 解决方案，比如 KeeperPAM，帮助加强机构安全并满足某些 DORA 合规要求。 使用 KeeperPAM 后，贵机构就可以密切监控和管理处理敏感数据和关键帐户的员工和系统，从而显著减少可能导致数据泄露或网络攻击的任何错误或漏洞。 KeeperPAM 可帮助金融领域内的机构减少其攻击面、确保授权用户安全访问以及实现每个特权帐户的完整报告以满足 DORA 合规。

立即申请 KeeperPAM 演示，以确保贵机构为 DORA 合规要求做好准备，并为您的敏感数据提供最高保护。