本文共字，预计阅读时间。

【中国金融案例中心   编译：谢彬彬、胡畔】

为进一步增强欧盟金融机构复原力，欧盟委员会在2022年12月发布了《数字运营弹性法案》（Digital Operational Resilience Act，以下简称DORA法案）。经过两年多关于法案细则的研究与确定，DORA法案将在2025年1月17日起正式执行。该法案针对欧盟地区提供了统一的规则，以满足所有受监管金融实体的数字运营弹性需求，并为信息通信技术（Information and Communications Technology，以下简称ICT）的第三方提供商建立了监督框架。随着执行时间将近，欧盟所有金融机构与第三方信息服务提供商也将为此做好监管准备。

何为DORA法案？

DORA法案涉及数字金融战略、加密资产、区块链技术和数字运营弹性以及零售支付战略等领域，适用于欧盟所有金融机构，包括银行、投资公司和信贷机构等传统金融实体，以及加密资产服务提供商和众筹平台等非传统实体。重要的是，DORA为欧盟金融部门建立了具有约束力的ICT风险管理框架，涵盖了提供关键第三方信息服务的公司，如信用评级服务和数据分析提供商。

该法案有两个主要目标：全面解决金融服务领域的ICT风险管理问题，以及协调欧盟各成员国现有的ICT风险管理法规。通过协调整个欧盟的风险管理规则，DORA力求消除不同欧盟国家之间可能出现的不同法规之间的差距、重叠和冲突。同时，通过要求银行、保险公司、投资公司等金融机构加强IT安全，DORA旨在确保金融服务业在发生严重运营中断时能够快速恢复，包括导致计算机关闭的勒索软件攻击，或迫使公司网站下线的DDOS（分布式拒绝服务）攻击等场景。根据DORA法案，银行被要求进行严格的ICT风险管理、事件管理、分类和报告、运营弹性测试、与网络风险相关的信息情报共享以及管理第三方风险的措施等。

在2022年发布DORA法案之后，欧洲银行管理局（EBA）、欧洲保险和职业养老金管理局（EIOPA）和欧洲证券和市场管理局（ESMA）等欧洲监管当局（ESA）联合对该法案的相关细则进行了起草，包括监管技术标准（RTS）和实施技术标准（ITS）。2024年7月，ESA发布了最终的技术标准草案，其中RTS和ITS规定了报告重大ICT相关事件和重大网络风险的内容、格式、模板和时间表，RTS还就协调开展监督活动的条件、联合审查小组组成的标准等内容进行了规定。相关细则将于2025年1月17日开始实施。

DORA法案的核心

DORA法案本质可分为ICT风险管理、ICT相关事件报告、数字运营弹性测试、ICT第三方风险、信息共享5个核心支柱，涵盖了ICT和网络安全的各个方面，为相关金融实体提供了全面的数字弹性框架。

1.ICT风险管理

法案对ICT风险管理框架提出了一系列要求，包括：建立并维护有弹性的ICT系统和工具，以最大限度地减少ICT风险的影响；不断识别所有ICT风险源，以便制定保护和预防措施；建立异常活动的快速检测机制；制定专门且全面的业务连续性政策以及事故恢复计划，以确保在ICT相关事件发生后能迅速恢复正常运营；建立从外部事件和实体自身ICT实践中学习和发展的机制。

2.ICT相关事件报告

法案要求，金融机构应建立并实施管理流程来监控和记录与ICT相关的事件；根据法规中详细列出的以及欧洲监管当局（ESA）进一步制定的标准对事件进行分类；确保使用各自监管机构制定的通用模板和协调程序向相关部门报告事件；向机构的用户提交与ICT相关事件的初步、中期和最终报告。

3.数字运营弹性测试

金融机构应定期测试ICT风险管理框架内的要素是否准备就绪；需及时发现任何弱点、不足并及时消除或减轻，同时实施反制措施；数字运营弹性测试要求必须与实体的规模、业务和风险状况成比例；需进行威胁主导渗透测试（Threat Led Penetration Testing，简称TLTP），也称为红/紫团队评估（Red / Purple Team Assessment），以解决更高级别的风险暴露问题。

4.ICT第三方风险

金融机构需确保对依赖ICT第三方提供商而产生的风险进行完善的监控；协调服务的关键要素以及与ICT第三方提供商的关系，以保证监控完整性；确保与ICT第三方提供商签订的合同包含所有必要的监控和可访问性详细信息，例如完整的服务级别描述、数据处理位置指示等；将服务提供商纳入联盟监督框架，以促进对ICT第三方风险监管方法的融合。

5.信息共享

法案鼓励其他金融实体的可信社区之间的合作，这种合作将：增强金融实体的数字化运营弹性；提高对ICT风险的认识；最大限度地降低ICT风险的传播能力；支持实体的防御和检测技术、缓解策略或响应和恢复阶段。此外，还鼓励金融实体通过保护共享信息潜在敏感性的安排相互交换网络风险信息和情报。

DORA法案处罚标准

距离DORA法案的执行尚有半年时间，对于违反该法案所将遭受的处罚细则也有了相关规定。对于违反新规的金融机构，欧盟当局将有权处以最高达其全球年收入2%的罚款；管理者也可能因违规行为承担责任，金融实体内个人的处罚金额最高可达100万欧元（约合110万美元）。对于第三方ICT服务提供商，监管机构可处以达其上一财年全球日均收入1%的罚款；公司还可能每天被罚款，最长可达六个月，直到其达到合规要求。而被监管机构视为“至关重要”的第三方IT公司可能面临高达500万欧元的罚款，或者就个人管理者而言，最高罚款为50万欧元。

相比《通用数据保护条例》（General Data Protection Regulation，简称GDPR）等法案，DORA法案的处罚细则较为温和。根据GDPR法案，公司最高可被处以1000万欧元（约合1090万美元）或其全球年收入的4%的罚款，以较高者为准。

---

参考资料：

https://www.pwc.com/mt/en/publications/technology/dora.html

https://www.cnbc.com/2024/08/08/what-is-the-eus-digital-operational-resilience-act-dora-explained.html

https://www.ibm.com/topics/digital-operational-resilience-act

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。