11 年 2022 月 XNUMX 日、欧州連合 (EU) は、新しいデジタル オペレーション レジリエンス法 (DORA) に関する暫定合意に達しました。 言い回しとはいえ、DORA には「仮」というものは何もありません。 実際、金融サービスとそのサプライ チェーンに対する世界で最も広範囲にわたるサイバーセキュリティ規制の XNUMX つは、ほぼ完了した取引です。
今年の24月に予定されている正式な採用の前に残っているのは、主にいくつかの技術的な変更と、EU加盟国のXNUMXの公用語への翻訳です。
DORA は、増え続ける金融機関に対するサイバー攻撃に対する EU の対応を表しています。 これは、レジリエンス要件を課し、サプライ チェーンを規制することにより、銀行、保険会社、投資会社などの EU 金融会社のセキュリティを強化するように設計されています。 しかし、私が指摘したように、 以前の投稿、DORA の信条は、EU とその金融部門をはるかに超えて広がっています。
ネットワークおよび情報システムのセキュリティに関する DORA の統一要件には、金融部門の企業だけでなく、クラウド プラットフォームやデータ分析などの情報通信技術関連サービスを金融部門に提供する重要なサードパーティ ベンダーも含まれます。
実際、DORA の範囲は基本的に、欧州の金融セクターをサポートするサプライ チェーンにとって重要と見なされる情報通信技術 (ICT) サービスを提供するすべての企業にまで及びます。その企業やサービスが EU 内にあるかどうかは関係ありません。 実際、DORA の下では、サプライ チェーンの複雑さや EU での存在感の欠如が、両方ともリスク要因と見なされています。
新しい規制の視点の義務化
DORA は、多種多様なグローバル企業に新しいレベルの規制監視をもたらすという点でユニークです。 DORAの要件 委任 — 単に提案するだけでなく — その規定の遵守。 同様に重要なことは、この新しいレベルの規制精査の影響は、企業の視点によって異なることです。
主に金融リスクと安定性を評価するために設計された規制環境に慣れている金融機関は、ICT 運用によってもたらされる潜在的なリスクを真剣に受け止めなければならなくなります。 金融機関は、資本要件という形でリスクに対処することに慣れています。 DORA は、特定の動作とパフォーマンス ベースの要件を義務付けることで、異なるアプローチを採用しています。 金融機関の観点から見ると、リスクの上昇は、テクノロジーの利用方法や、クラウド コンピューティングなどの新しいテクノロジーへの移行によるビジネスの変革方法など、ビジネスの複数の側面に影響を及ぼします。 これには、適切な ICT リスク評価とコンプライアンスを確保するための全体的なリスク管理戦略と機能、サプライ チェーン セキュリティ、および組織の人員配置とポリシーが含まれます。
DORA はまた、ICT 組織の規制の見方を変えます。 これまで、個人データやデジタル主権などの政治的目的に関する懸念に基づいて、主にデータ プライバシーやデータ侵害通知などのデータ関連の問題について規制されてきました。 ヨーロッパの一般データ保護規則 (GDPR) や、米国の最近のカリフォルニア州消費者プライバシー法 (CCPA) などの画期的な規則が思い浮かびます。
ICT 組織は、セキュリティに関する他の規制上の義務を負ったり、重要なインフラストラクチャとして分類されたりする場合もあります。 ネットワークおよび情報セキュリティ指令 (NIS) ヨーロッパでは、 2018 年サイバーセキュリティ法 シンガポール、または 部門別の法律 米国の電気通信などの専門産業向け。
現在、ICT 企業が EU 内の金融機関にサービスを提供している場合、それらの企業も DORA の対象となる可能性が最も高いでしょう。 そのため、以前の規制の枠組みに加えて、重要なサービスを提供していると指定された ICT プロバイダーは、DORA の下で突然規制されるようになります。 エクステンション 彼らがサービスを提供しているEUの金融機関の。 どのように見ても、これは金融機関と ICT プロバイダーの両方にとって劇的な変化です。
しかし、それだけではありません。 DORA は、EU の規制体制に対する見方を変えます。 金融機関のコンプライアンスの専門家である規制当局は、クラウド プロバイダー、データ分析サービス、その他の非金融ビジネスなどの重要なサービスを提供する ICT プロバイダーを含めるように範囲を拡大する必要があります。 複雑な規制構造を持つ国では、これらの追加の種類の非金融産業の規制を担当する他の機関と協力する必要もあります。
課題への対応
DORA では、EU の金融機関が自社のサイバーセキュリティとリスク管理の成熟度を評価する必要があります。 サプライ チェーンのリスク パフォーマンスを理解し、管理することが、この取り組みの中心となります。
一般に、金融機関は、セキュリティと金融の安定性を判断するためのストレス テストに長けています。 このような種類のテストを他の組織に拡張することは、別の課題です。 そのため、EU の金融部門にとって、これまで以上に複雑で拡張されたサプライ チェーンでベンダー、リスク管理、運用能力をどのように管理するかが最大の難問です。
たとえば、金融機関がヨーロッパに本社を置いていても、すべてのサポート活動をインドに拠点を置く企業にアウトソーシングしている場合があります。 これらのサポート サービスは厳密には金融機関ではない場合があります。 ただし、DORA は、金融機関に対し、ベンダーが業務にとって重要であるかどうかを評価し、関連する DORA 要件をその関係に適用することを要求します。
EU に拠点を置いていない企業にとって重要な問題は、管轄権と市場アクセスの XNUMX つです。 EU外で事業を行っている金融機関やICTプロバイダーは影響を受けません。 しかし、企業が何らかの方法で EU の金融部門にサービスを提供している金融機関または ICT サービス プロバイダーである場合、直接的または間接的に DORA の対象となる可能性が最も高くなります。
2024年までのカウントダウン
最終的なテキストで何かが変更されない限り、DORA は正式な採用から 24 か月後に発効します。 現実的には、それは 2024 年の終わり近くになる可能性が高いです。良いニュースは、これにより、組織がコンプライアンスに備えるための十分な時間が提供されることです。 最も重要なことは、典型的な企業の予算サイクルに含めるには長すぎないことです。
でも、その締め切りが迫る前に、準備を始めましょう 今. 以下に XNUMX つの重要な手順を示します。
- 2024年までの時間を賢く使ってください。
- あなたがどこにいるかを理解してください。 コンプライアンスのギャップを検索、発見、特定します。
- ギャップを修正するために何が必要かを判断します。
- 教育し、上級管理職から賛同を得ます。
- 24 か月の予算。
時計が時を刻んでいる。
