数字操作弹性法案 (DORA) 概述

关键要点

数字操作弹性法案DORA要求金融机构加强信息通讯技术ICT风险管理。所有金融服务提供商和ICT第三方服务提供商需在2025年1月17日之前遵守规定。DORA旨在简化当前复杂的监管，保障金融稳定。

来源：Thinkstock

什么是数字操作弹性法案 (DORA)

数字操作弹性法案 (DORA) 旨在“整合和升级金融实体的ICT风险要求”，确保所有公司遵循统一标准以降低ICT风险。金融服务提供商和ICT第三方服务商必须在2025年1月17日之前遵守相关要求，之后将会开始执行。

此法案在2020年2月提出，背景是欧洲系统性风险监测机构警告称，单个网络事件可能导致威胁金融稳定的系统性危机。鉴于金融机构越来越依赖数字系统，欧盟决定迫使公司确保其运营尽可能强韧。

该法案适用于几乎所有金融行业的各种规模的金融公司，从信贷机构、投资基金到加密资产服务提供商，旨在创建一个统一的立法框架来处理整个欧洲的金融ICT风险。欧盟表示，DORA将减少监管复杂性，降低因现有规章带来的财务和行政负担。

xfs8cc旋风加速官网

该法案涵盖四个ICT风险管理领域：

ICT风险管理和治理：董事会成员和高管负责ICT管理，需建立和维护韧性的ICT系统和工具，以持续识别和降低ICT风险，制定保护和预防措施，并建立全面的业务连续性政策和灾难恢复计划。

事件响应和报告：公司必须建立和实施管理流程，实时监控、分类和报告重大ICT相关事件给相关监管机构。对于严重事件，需提交三份不同的报告：一份初步报告，一份中期报告，及一份最终报告，需阐述事件的原因、实际影响以及缓解措施。

数字操作弹性测试：企业需每年测试其ICT风险管理框架下包含的能力和功能，以找出弱点、缺陷或差距。这些测试包括脆弱性评估和基于场景的测试，威胁驱动的渗透测试则需每三年进行一次。

ICT第三方风险管理：该法案要求企业评估、监控和记录ICT第三方风险，并确保所有合同中明确其在法案下的义务。此外，DORA还要求金融部门的关键ICT第三方服务提供商遵守监管框架。

DORA鼓励但不强制信息共享。

技术高管Farhan Chaudhry表示，DORA提案正式化了企业的成熟度追求，但其影响会因企业的规模和成熟度而异。“DORA为推动网络、运营和技术韧性的成熟性提供了明确的方向。”他指出，DORA整合了新的监管措施，例如欧洲银行管理局[EBA]关于外包安排和ICT与安全风险管理的指南，且与英国央行、审慎监管局PRA和金融行为监管局FCA的要求相一致。

哪些公司受DORA影响？

根据DORA的规定，受影响的公司包括：

信贷机构支付机构电子货币机构投资公司加密资产服务提供商中央证券存管公司中央对手方交易场所交易报告机构替代投资基金和管理公司的管理者