什麼是數位營運復原法 (DORA)?
概述
數位營運彈性法 (Digital Operational Resilience Act, DORA)是一項全面性的歐盟 法規,旨在加強金融業的數位營運彈性。DORA 於 2023 年 1 月正式生效,為金融機構建立統一的架構,以管理資訊與通訊技術 (ICT) 風險、事故報告及第三方服務供應商關係。這一里程碑式的立法代表了歐盟對金融服務日益數位化以及強大網路安全措施需求的回應。
瞭解您的 CMDB、IT 服務管理 (ITSM) 和可觀察性解決方案如何有助於符合 DORA 規範。
數位營運彈性法
瞭解 DORA 的範圍和應用
DORA 適用於在歐盟境內營運的各種金融實體。銀行和信貸機構 (包括傳統和數位銀行和信貸機構) 是受監管實體的核心。但 DORA 的範圍非常深遠,超越了傳統的銀行和信貸機構,包括:
- 支付機構,包括根據指令 (EU) 2015/2366 獲豁免的支付機構
- 帳戶資訊服務供應商
- 電子貨幣機構,包括根據指令 2009/110/EC 獲得豁免的電子貨幣機構
- 投資公司
- 根據歐洲議會和理事會關於加密資產市場的法規,以及修訂法規 (EU) No 1093/2010 和 (EU) No 1095/2010 以及指令 2013/36/EU 和 (EU) 2019/1937 (「加密資產市場法規」)授權的加密資產服務提供商,以及資產參考代幣的發行商
- 中央證券保管機構
- 中央交易對手
- 交易場所
- 貿易儲存庫
- 另類投資基金經理
- 管理公司
- 資料報告服務供應商
- 保險和再保險業務
- 保險中介人、再保險中介人及輔助保險中介人
- 職業退休準備的機構
- 信用評等機構
- 關鍵基準的管理員
- 集資服務提供者
- 證券化儲存庫
- ICT 第三方服務供應商
DORA 合規的核心要素是什麼?
ICT 風險管理
金融實體必須實施包含多層安全與監督的全面 ICT 風險管理架構。這些架構需要具體處理數位復原能力的詳細策略與政策,包括網路威脅預防與回應的具體措施。各機構必須定期進行風險評估,以找出整個數位基礎架構中現有及新出現的弱點。
安全措施必須包括精密的存取控制,以管理使用者權限並保持資料完整性,以及最先進的加密通訊協定,以保護敏感的財務資訊。此架構要求持續監控系統,以提供對潛在安全威脅和系統效能的即時洞察力。必須建立明確的管理架構,並指定具體的角色與責任,以確保風險管理程序的問責性。
事件管理與報告
DORA 規定了精密的事件管理與報告程序,超越了基本的網路安全規範。各機構必須開發並維護健全的偵測系統,能夠識別明顯與微妙的 ICT 相關事件。這項要求包括實施多層分類系統,根據預先定義的標準和對財務作業的潛在影響,準確評估事件的嚴重性。
必須保留詳細的事件日誌,並全面記錄回應程序、解決步驟和結果分析。重大事故必須透過既定的管道迅速向相關主管機關報告,並訂定初步通知和後續報告的特定時程。組織必須針對不同的利害關係人群體,包括客戶、合作夥伴、法規機構,以及必要時的媒體,制定並定期更新溝通計劃。
數位作業彈性測試
DORA 要求透過多種方法有系統地測試數位復原能力。必須使用先進的測試工具和方法定期進行弱點評估,以找出 ICT 系統中的潛在弱點。獨立單位必須執行滲透測試,以確保對安全措施進行公正的評估,並找出潛在的攻擊點。以情境為基礎的測試應模擬真實世界的網路威脅和作業中斷情況,以評估應變能力和系統彈性。
必須對安全措施執行定期驗證,以確保它們能持續有效地對抗不斷演化的威脅。所有測試活動都需要詳細的文件記錄,包括所使用的方法、結果和所採取的修復步驟。
第三方風險管理
DORA 強調透過結構化的監督與文件,全面管理與 ICT 服務供應商之間的關係。組織必須對第三方供應商進行徹底的風險評估,評估其技術能力、安全措施及業務連續性計劃。服務協議需要定期審查,以確保符合目前的法規要求和作業需求。
組織必須維護詳細的提供者名冊,記錄所有關鍵與非關鍵服務安排,包括所提供的特定服務、資料存取層級,以及所採取的安全措施。關鍵服務安排必須向監管機構報告,並針對重大變更提供更新。合約義務必須明確處理合規性要求,包括安全措施、事故報告和稽核權。
OpenText IT Operations 解決方案如何協助符合 DORA 規範?
OpenText IT Operations 解決方案透過滿足主要監管要求的技術平台,協助金融機構達成並維持 DORA 合規性。
OpenText™ Universal Discovery and CMDB透過提供組織 ICT 基礎架構的深入可見性,成為 DORA 合規性的基礎元素。此解決方案具備無代理和基於代理的發現功能,可建立 IT 環境的全面檢視,包括透過安全 VPN 或間歇性網際網路連線連接的裝置。它可針對多雲環境執行以事件為基礎的更新,確保金融機構能精確、即時地維護其整體基礎架構,無論是內部部署或是雲端環境。其服務對應功能可讓組織在實施前預測變更會如何影響關鍵金融服務,直接滿足 DORA 的風險管理和營運彈性需求。
OpenText™ Service Management整合了基本的 ITSM 和 IT 資產管理功能,以建立服務、應用程式和支援 ICT 設備的明確擁有權和管理。此解決方案包含 ITIL 認證的最佳實務範本,涵蓋事件、問題、變更、發行和組態管理 - 所有符合 DORA 的重要元素。這些範本可協助組織建立自動回應鏈,將服務中斷降至最低,並確保一致處理 ICT 相關事件,符合 DORA 對事件管理和報告的要求。
OpenText™ Core Infrastructure Observability透過提供多雲端和內部部署資源的端對端可視性,滿足 DORA 的監控需求。AI 驅動的異常偵測功能可讓金融機構在潛在問題影響服務遞送之前加以識別。機構還可以建立機制,快速偵測異常活動 (包括網路效能問題和 ICT 相關事件),並找出可能影響營運復原能力的潛在單點故障。
OpenText™ Core Application Observability專注於應用程式效能與服務遞送,以補足基礎架構監控。此解決方案可協助組織確保重要的金融服務應用程式維持最佳效能與可用性。它可以進行全面的根本原因分析並記錄事件,支援 DORA 對於事件處理和解決的要求。整合式監控與後續追蹤功能可確保組織維持一致的服務品質,同時符合法規報告要求。
DORA 準備就緒:是時候行動了
DORA 代表著金融機構必須處理數位營運和風險管理方式的重大轉變。成功的 DORA 合規需要結合強大的技術解決方案、明確的流程,以及持續致力於數位復原的全面性策略。各機構必須在 2025 年 1 月的最後期限之前,及早開始其合規之旅,以確保符合所有要求,並維持數位時代所需的營運復原能力。透過OpenText的 IT 作業解決方案,金融機構可為 DORA 合規性建立堅實的基礎,同時提升整體 IT 作業效率和安全勢態。
