欧盟第 2022/2554 号条例,即《数字运营弹性法案》(DORA:Digital Operational Resilience Act),是欧盟在金融领域数字运营弹性方面最重要的改革之一,自 2025 年 1 月 17 日起适用于金融机构。DORA引入了统一的监管框架,以加强金融机构预防、应对和从网络事件和信息通信技术风险中恢复的能力。
DORA的创立宗旨是:
- 协调27个成员国之间的规则
- 降低系统性数字风险
- 增强对欧洲金融体系的信心
该法规适用范围非常广泛:它涉及 20 多类金融实体(例如银行、保险公司、支付机构、加密资产服务提供商等),总计约 22,000 个实体,但真正的创新之处在于关键的第三方 ICT 服务提供商,例如云提供商和战略技术服务提供商。
DORA 由五大支柱构成:
- 信息通信技术风险管理:金融机构必须实施全面的信息技术风险管理框架。责任直接由管理机构(董事会)承担。
- ICT 事件报告:DORA 引入了统一的事件报告系统,运营商必须及时向主管当局报告重大事件、重大网络攻击和严重中断,以确保所有成员国之间协调一致的应对措施。
- 数字运营弹性测试:金融机构必须定期进行测试(例如漏洞评估、渗透测试、高级威胁驱动渗透测试((TLPT:Threat-Led Penetration Testing)),以模拟真实的攻击场景。
- 信息通信技术供应商风险管理:其中最具创新性的一点是,要求金融机构监控技术供应商,在合同中加入特定条款,并评估对关键供应商的集中度和依赖程度。此外,“关键”信息通信技术供应商将接受欧洲的直接监管。
- 信息共享:DORA 以结构化和安全的方式促进金融运营商之间的网络威胁情报共享。
DORA与欧洲其他法规相整合,例如NIS2指令、通用数据保护条例(GDPR:General Data Protection Regulation)和加密资产市场监管条例(MiCA:Markets in Crypto-Assets)。其目标是为网络安全、数据保护和金融稳定创建一个统一的监管生态系统。
DORA 不仅仅是一项监管义务,它是一种范式转变,使人们能够从“形式上的合规”转向真正的运营弹性;它超越了国家层面的方法,朝着一体化的欧洲监管迈进,并最终使人们能够从被动管理转向真正结构化地预防数字风险。
DORA 和产品安全认证
DORA 与产品安全认证之间的联系是战略性和操作性的,因为 DORA 并未对 ICT 产品引入强制性认证,而是创建了一个监管框架,在该框架中,认证成为一种非常重要的工具。
欧洲信息通信技术产品认证受《网络安全法》(CSA:Cyber Security Act) 管辖,该法建立了欧洲网络安全认证体系(由 ENISA :European Union Agency for Cybersecurity管理)。
根据欧洲方案认证的产品可以构成安全性的客观证据,有助于满足 DORA 对此类服务和产品供应商的尽职调查义务。
实际上,DORA 需要控制,而认证是证明这一点的工具。
atsec 能为您做什么
atsec 在信息安全领域拥有丰富的经验,可以帮助欧洲金融机构实现 DORA 法规的合规性。
具体而言,atsec 在此领域可提供的服务包括:
- 合规性评估,以找出与法规要求相关的差距;
- 支持确定、实施和规划干预措施,以弥补已发现的差距;
- 协助制定和实施符合法规要求并根据客户运营环境定制的关键安全流程(即风险管理、事件管理、第三方管理等);
- 对客户的关键信息通信技术供应商进行独立的第三方尽职调查评估;
- 独立的第三方漏洞评估和渗透测试。
如需了解更多信息,请联系info_cn@atsec.com。
