本文共字，预计阅读时间。

2025年1月17日，欧盟《数字运营弹性法案》（Digital Operational Resilience Act，简称DORA）正式生效。

欧盟方面表示，《数字运营弹性法案》是加强欧盟金融实体数字运营弹性框架的关键一步，解决了现有法律法规在信息通信技术（Information and Communications Technology，以下简称ICT）风险管理方面的空白和不一致问题，是对欧盟近期其他网络安全法律的有力补充。

目标和范围

据悉，DORA适用于20类金融实体，包括银行、保险公司、投资公司、管理公司和加密资产服务提供商。

该法案还对金融实体的管理机构以及为金融实体提供支持的“关键”信息和通信技术服务提供商规定了新的义务，要求他们接受欧盟金融监管机构的直接监督。

关键领域

为遵守DORA要求，相关金融实体必须在几个关键领域采取强有力的措施：

• 制定并维护一个全面的ICT风险管理框架，能够识别、监控、预防和降低ICT相关风险，并进行定期审查和内部审计。
• 建立检测、应对和向相关监管机构报告ICT相关事件和重大运营或安全支付相关事件的流程。
• 制定稳健的数字运营弹性测试计划，包括一系列评估和工具，如威胁引导渗透测试（TLPT）。
• 制定并定期审查信息和通信技术第三方风险管理战略，包括与信息和通信技术服务提供商签订的合同中的强制性条款，以及记录所有现有合同安排的信息登记册。
• 最后，DORA鼓励（但不要求）金融实体之间共享有关网络威胁的信息和情报。

执法和处罚

监管机构将对合规情况进行监督，并拥有广泛的权力，包括查阅文件和数据、进行现场检查以及实施行政处罚和补救措施的权力。

DORA要求成员国针对违规行为制定适当的行政处罚和措施，其中可能包括刑事罚款和补救令。成员国还可对金融实体的高级管理层处以个人罚款和制裁。违规的关键信息和通信技术服务提供商可能面临长达六个月的罚款，罚款额按其全球日均营业额的1%计算。

下一步工作

金融实体应绘制信息和通信技术服务图，并评估其当前的信息和通信技术风险管理做法，以符合DORA的要求。必要时，金融实体应更新并正式确定ICT治理框架、事件响应协议和第三方监控程序。修订与ICT服务提供商的合同安排对于确保遵守DORA的监督和合规义务也至关重要。反之，为金融实体提供服务的信息和通信技术服务提供商应审查客户合同，以确保其符合DORA的要求，还应相应地重新审查与分包商的安排，以确保整个供应链的合规性。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。