11년 2022월 XNUMX일, 유럽연합(EU)은 새로운 디지털 운영 탄력성법(DORA)에 대한 잠정 합의에 도달했습니다. 이러한 표현에도 불구하고 DORA에는 "임시" 항목이 없습니다. 실제로 금융 서비스 및 공급망에 대한 세계에서 가장 광범위한 사이버 보안 규정 중 하나는 대부분 이미 완료된 상태입니다.
올해 24월로 예상되는 공식 채택 이전에 남은 작업은 주로 몇 가지 기술적 변경과 EU 회원국의 XNUMX개 공식 언어로의 번역을 포함합니다.
DORA는 금융 기관을 대상으로 점점 증가하는 사이버 공격에 대한 EU의 대응을 나타냅니다. 이는 탄력성 요구 사항을 부과하고 공급망을 규제함으로써 은행, 보험 회사, 투자 회사 등과 같은 EU 금융 회사의 보안을 강화하도록 설계되었습니다. 그러나 내가 언급했듯이 이전 게시물, DORA의 신조는 EU와 금융 부문을 훨씬 뛰어넘는 범위로 확장됩니다.
네트워크 및 정보 시스템의 보안에 대한 DORA의 통일된 요구 사항은 금융 부문의 기업뿐만 아니라 클라우드 플랫폼 및 데이터 분석과 같이 금융 부문에 정보 통신 기술 관련 서비스를 제공하는 중요한 제3자 공급업체도 포함합니다.
실제로 DORA의 범위는 해당 기업이나 서비스가 EU 내부에 있는지 여부에 관계없이 기본적으로 유럽 금융 부문을 지원하는 공급망에 중요하다고 간주되는 정보 통신 기술(ICT) 서비스를 제공하는 모든 기업으로 확장됩니다. 실제로 DORA에서는 공급망의 복잡성이나 EU 존재감 부족이 모두 위험 요인으로 간주됩니다.
새로운 규제 관점의 의무화
DORA는 다양한 글로벌 기업에 새롭고 다른 수준의 규제 조사를 제공한다는 점에서 독특합니다. DORA의 요구 사항 위임 – 단순히 제안하는 것이 아니라 – 해당 조항의 준수. 마찬가지로 중요한 것은 이 새로운 수준의 규제 조사가 기업의 관점에 따라 미치는 영향이 다르다는 것입니다.
주로 금융 위험과 안정성을 평가하도록 설계된 규제 환경에 익숙한 금융 기관은 이제 ICT 운영으로 인해 발생하는 잠재적 위험을 심각하게 받아들여야 합니다. 금융 기관은 자본 요구 사항의 형태로 위험을 해결하는 데 익숙합니다. DORA는 특정 행동과 성과 기반 요구 사항을 의무화함으로써 다른 접근 방식을 취합니다. 금융 기관의 관점에서 볼 때 이러한 위험 증가는 기술을 소비하는 방법, 클라우드 컴퓨팅과 같은 신기술로 전환하여 비즈니스를 변화시키는 방법 등 비즈니스의 여러 측면에 영향을 미칩니다. 여기에는 전반적인 위험 관리 전략 및 역량, 공급망 보안, 적절한 ICT 위험 평가 및 규정 준수를 보장하기 위한 조직 인력 및 정책이 포함됩니다.
DORA는 또한 ICT 조직의 규제 관점을 변화시킵니다. 지금까지는 개인 데이터 및 디지털 주권과 같은 정치적 목표에 대한 우려를 바탕으로 데이터 개인 정보 보호, 데이터 침해 알림 등 데이터 관련 문제에 대해 주로 규제를 받아왔습니다. 유럽의 일반 데이터 보호 규정(GDPR), 미국의 최신 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 획기적인 규칙이 떠오릅니다.
ICT 조직은 보안에 대한 기타 규제 의무가 있거나 다음과 같이 위치에 따라 중요 인프라로 분류될 수도 있습니다. 네트워크 및 정보 보안 지침(NIS) 유럽에서는 2018년 사이버보안법 싱가포르에서 또는 부문별 법률 미국의 통신과 같은 전문 산업을 위한 것입니다.
이제 ICT 회사가 EU의 금융 기관에 서비스를 제공하는 경우 DORA도 적용될 가능성이 높습니다. 따라서 이전 규제 프레임워크 외에도 중요한 서비스를 제공하는 것으로 지정된 ICT 제공업체는 갑자기 DORA에 따라 규제를 받게 될 것입니다. 확장 그들이 서비스를 제공하는 EU 금융 기관 중 하나입니다. 어떻게 보든 이는 금융 기관과 ICT 제공자 모두에게 극적인 변화입니다.
하지만 그게 전부는 아닙니다. DORA는 EU의 규제 수립에 대한 관점을 바꿉니다. 금융 기관 규정 준수 전문가인 규제 기관은 이제 클라우드 제공업체, 데이터 분석 서비스, 기타 비금융 비즈니스 등 중요한 서비스를 제공하는 ICT 제공업체를 포함하도록 범위를 확장해야 합니다. 규제 구조가 복잡한 국가에서는 이러한 추가적인 비금융 산업 유형을 규제하는 다른 기관과 협력할 필요도 있습니다.
도전 과제 충족
DORA는 EU 금융 기관이 자체 사이버 보안 및 위험 관리 성숙도를 평가하도록 요구합니다. 공급망 위험 성과를 이해하고 관리하는 것이 이러한 노력의 핵심이 될 것입니다.
일반적으로 금융기관은 보안과 금융 안정성을 판단하기 위한 스트레스 테스트에 능숙합니다. 이러한 종류의 테스트를 다른 조직으로 확장하는 것은 또 다른 과제입니다. 따라서 EU 금융 부문의 경우 더욱 복잡하고 확장된 공급망에서 공급업체, 위험 관리 및 운영 기능을 관리하는 방법이 가장 큰 문제입니다.
예를 들어 금융 기관의 본사는 유럽에 있지만 모든 지원 활동은 인도에 본사를 둔 기업에 아웃소싱될 수 있습니다. 이러한 지원 서비스는 기술적으로 금융 기관이 아닐 수도 있습니다. 그러나 DORA는 금융 기관이 공급업체가 운영에 중요한지 평가하고 해당 관계에 관련 DORA 요구 사항을 적용하도록 요구합니다.
EU에 기반을 두지 않은 기업의 경우 핵심 질문은 관할권과 시장 접근 중 하나입니다. EU 외부에서 운영되는 금융 기관이나 ICT 제공업체는 영향을 받지 않습니다. 그러나 기업이 어떤 방식으로든 EU 금융 부문에 서비스를 제공하는 금융 기관 또는 ICT 서비스 제공업체라면 직간접적으로 DORA의 적용을 받을 가능성이 높습니다.
2024년까지 카운트다운
최종 내용에 변경 사항이 없는 한 DORA는 공식 채택 후 24개월 후에 발효됩니다. 현실적으로 그 시기는 2024년 말쯤이 될 가능성이 높습니다. 좋은 소식은 이것이 조직이 규정 준수를 준비할 수 있는 충분한 시간을 제공한다는 것입니다. 가장 중요한 것은 일반적인 기업 예산 주기에 포함되기에는 너무 길지 않다는 것입니다.
하지만 마감일이 다가오기 전에 준비를 시작하세요 지금. 다음은 5가지 주요 단계입니다.
- 2024년까지의 시간을 현명하게 활용하세요.
- 당신이 어디에 있는지 이해하십시오. 규정 준수 격차를 검색하고 찾고 식별하세요.
- 격차를 해소하기 위해 필요한 것이 무엇인지 결정하십시오.
- 고위 경영진으로부터 교육을 받고 동의를 얻으세요.
- 24개월 동안의 예산입니다.
시계가 똑딱 거리며 가고있다.
