DORA – 探索欧盟的运营弹性景观

DORA – 增强和协调整个欧盟的运营弹性。 

请参阅完整文章：https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

欧盟的 DORA 是不可避免的，并将产生联盟以外的连锁反应。它取代了之前特定行业的运营弹性指南，并克服了国家差异，协调了整个金融领域关键重点领域的指南
建立跨行业价值链的共同框架联盟。这一见解探讨了 DORA 的宏观影响，总结了 DORA 全文的关键部分来定义：

1. DORA 是什么及其 5 个重点领域？
2. 为什么朵拉很重要？
3. DORA适用于谁？
4. DORA 合规与不合规。

数字技术对于全球金融和资本市场公司支持复杂系统至关重要，对于交付典型业务功能和创收活动至关重要。数字化和由此产生的互连性
提高效率并节省成本，但也会放大信息和通信技术 (ICT) 风险，并增加金融系统面对网络威胁或破坏的脆弱性。

尽管在国家层面采取了有针对性的政策和立法举措，欧盟 (EU) 认识到迫切需要协调和增强其成员国的运营弹性，以保护内部组织的完整性和效率。
市场，特别是考虑到不断升级的网络威胁1 和破坏
事故2。 Liquidnet 最近也赞同这一观点3:

“该行业的实力取决于其最薄弱的环节……到 2024 年，不仅意味着对合规性、风险和控制以及技术互操作性进行更严格的监管审查，而且意味着个人有责任使生态系统发挥最佳功能。”

为了应对持续的弹性挑战，欧盟推出了《数字运营弹性法案》(DORA)，以加强金融实体的 ICT 安全性和运营稳健性。

DORA 是什么及其 5 个重点领域？

DORA 于 14 年 2022 月 17 日获得欧洲议会和理事会通过，并要求在 2025 年 XNUMX 月 XNUMX 日之前遵守规定。该法规旨在巩固和增强整个金融领域的数字运营弹性，
到目前为止，已通过共同框架在各种欧盟法律法案中分别解决4 数字化运营弹性
金融实体更好地抵御违规和 ICT 事件并从中恢复。

DORA 的 5 个重点领域：

1. 信息通信技术风险管理。
2. ICT 相关事件管理、分类和报告。
3. 数字运营弹性测试。
4. ICT 第三方风险管理。
5. 信息共享安排。

为什么朵拉很重要？

DORA 建立并取代了早期的行业特定指南，以克服差异，并不断整合整个价值链关键领域的指南。它的独特之处在于它引入了工会层面的共同监督框架
欧洲监管机构 (ESA) 指定的关键 ICT 第三方提供商5.

随着金融部门对数字 ICT 系统的依赖以及互联性的增强，ICT 风险和漏洞将对整个联盟产生越来越大的破坏性跨境影响，从而放大运营中断和网络的影响。
对金融公司的威胁。 DORA 承认数字化现在涵盖了关键的财务职能6 喜欢
支付、证券清算、算法交易和后台操作。其目的是增强这些职能的运营弹性，以维持整体金融稳定并保护内部市场内消费者的信任。 DORA 旨在保护
即使在充满挑战的情况下也能确保无缝提供金融服务，从而增强市场信心。

DORA适用于谁？

DORA 适用于欧盟的所有金融机构以及为其提供服务的 ICT 第三方服务提供商。最近的见解10 解决
这。欧盟的 DORA 法规为所有金融市场参与者提出了具体的规定性要求。

DORA – 金融实体

为了遵守 DORA，金融实体必须加强与 ICT 风险相关的管理实践，其中包括识别、评估和减轻与数字运营相关的风险。 DORA 还向政府引入了及时报告 ICT 事件的义务
关键功能中断的相关当局。此外，机构必须定期模拟各种中断，以测试运营弹性和恢复能力。

值得注意的是，DORA 强调金融实体必须评估和管理其服务提供商的第三方 ICT 风险，并确保合同安排解决运营弹性问题。这与风险的集中有关（DORA 第 29 条11)
并跟踪 OPRA 中断等事件12，以及针对关键供应商的网络犯罪
在金融供应链中，就像去年 Ion Group 黑客事件一样13 or
云计算供应商14，其中
单一事件可能会影响多个金融实体。

应该指出的是，中断的影响不仅限于公司和最终用户，星展银行所证明的影响可能会波及个人财务15 早期
今年。

DORA – 第三方依赖性和运营弹性

金融实体越来越依赖第三方提供商来提供其运营和服务的关键部分，因此，DORA 也显着影响了第三方依赖性。这些第三方包括云服务提供商、
数据供应商、软件开发商和其他技术合作伙伴。外包某些功能可以提高效率并降低成本，但正如我们在 Ion 中看到的那样，它也带来了新的风险。当局现在必须超越个人监管的弹性
公司并评估该行业更广泛的运营弹性。

DORA 强调针对第三方依赖性的稳健风险管理实践的重要性，旨在增强数字时代金融部门的整体弹性。这些包括：

1. 广泛的 ICT 第三方风险——为了增强整个金融服务行业的运营弹性，DORA 撒下一张广泛的网来定义 ICT 第三方风险。例如，DORA 第 3 (18) 条16 定义
   ICT 第三方风险与任何 ICT 风险一样 – 第 3 条 (5)17 – 因使用所提供的 ICT 服务而衍生的金融实体可能出现的情况
   由第三方服务提供商、分包商或外包安排。
2. 第三方供应商的风险管理实践——DORA 要求第三方供应商采取适当的风险管理实践，以降低与第三方关系相关的运营风险并确保弹性。它还旨在实施统一的
   整个欧盟第三方供应商风险管理的监管框架（第 15 条18).
3. 重要的 ICT 第三方提供商 – DORA 认识到 ICT 服务提供商在金融服务中的关键作用。如果第三方被视为关键（例如某些情况下的 CJC），则他们必须遵守 DORA 的要求。值得注意的是，关键的第三方
   欧盟以外国家必须在欧盟境内设立子公司——第 31 (12) 条19 – 尽管序言 (82)20 笔记
   该要求“不应阻止关键的 ICT 第三方服务提供商通过位于欧盟以外的设施和基础设施提供 ICT 服务和相关技术支持。”

在谈到运营弹性和 DORA 合规性时，CJC 首席信息官 Gina Wee 表示：“从实施强大的加密和严格的访问控制到进行定期审计，CJC 坚持高水平的合规性以确保数据
安全。结合主动规划、适应性程序和持续改进的文化，我们确保为客户提供不间断的服务。我们希望我们对信息安全、运营弹性和问责制的承诺能够为我们提供帮助
客户对我们的托管服务感到安心和信心。”

DORA 合规性与不合规性

不合规风险

不遵守 DORA 可能会导致声誉受损、经济损失和监管处罚。不遵守 DORA 要求的公司可能会面临运营中断、客户不满意和潜在法律后果的风险。

DORA 合规性 – 3 个注意事项和最佳实践

为了遵守 DORA，金融机构必须全面映射现有的第三方依赖关系，并了解外包功能的服务以识别关键依赖关系。步骤 2 评估映射依赖关系的弹性
评估其服务提供商的运营能力、安全措施和灾难恢复计划。最后，与第三方的合同协议应具体解决运营弹性要求。这包括针对事件的规定
报告、业务连续性和恢复时间目标。

为了保持合规性，金融机构可以采取几个步骤来实施最佳实践，以确保持续遵守 DORA。这些包括：

1. 尽职调查——在选择第三方提供商时，考虑他们的成就记录、财务稳定性和运营弹性，进行彻底的尽职调查。
2. 场景测试 – 与第三方模拟各种场景，以测试恢复计划的有效性。这应该包括网络攻击、系统故障和自然灾害。
3. 持续监控——定期监控第三方绩效和合规性，准备好在弹性状况发生变化时进行调整。

最后的话：

DORA 不仅仅是一项规定；更是一项规定。这是增强您的运营弹性并在数字时代建立信任的战略机遇。作为全球金融市场领先的市场数据技术咨询和服务提供商，CJC 对待自己的地位
作为市场数据管理服务的重要第三方供应商，认真对待资本市场界。无论服务水平如何，CJC 都提供符合 DORA 的标准和透明度，提供屡获殊荣的咨询服务、
针对任务关键型市场数据系统的托管服务、云解决方案、可观测性和专业商业管理服务。 CJC 是供应商中立的，并通过了 ISO 27001 认证，使 CJC 的合作伙伴能够自由地专注于其核心业务。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs