在 DORA 之前,欧盟法规主要侧重运营风险的资本,各国家或地区之间的 ICT 和安全准则并不一致。DORA 旨在改善金融服务行业的 ICT 风险管理,并协调欧盟成员国的法规。
DORA 由一系列具有约束力的监管技术标准 (RTS) 和实施技术标准 (ITS) 作为补充,为有效实施监管要求提供了统一的标准和实用指南。
DORA 适用于广泛的金融机构,如银行、信贷和支付机构、投资公司、交易场所和中央证券存管机构以及非传统机构,包括加密资产服务提供商和众筹平台。对于符合 AIFMD 第 3(2) 条规定豁免条件的另类投资基金经理,以及根据规模、风险状况和运营复杂性达到一定门槛的小型非复杂机构,均可获得豁免。
需要注意的一个独特且有重大影响的方面是,DORA 不仅适用于金融机构,也适用于为金融部门提供服务的关键 ICT 提供商,例如云服务提供商和数据中心。
DORA 的执行工作由欧洲中央银行 (ECB) 和每个欧盟成员国的指定监管机构(称为“国家主管机关”或 NCA)负责。欧洲央行和各国主管机关可以要求金融机构采取具体的风险管理和安全措施,并修复漏洞。他们还拥有执法权,可以对不遵守监管预期的机构实施行政和刑事处罚。每个成员国均有权自行决定其国家主管机关如何实施处罚。
依据 DORA 被视为“关键”的 ICT 提供商将直接受到欧洲监管机构 (ESA) 的首席监管机构的监督。与国家主管机关一样,首席监管机构可以要求采取具体的安全预防和补救措施,以解决漏洞并对不合规的 ICT 提供商进行处罚。DORA 允许首席监管机构对 ICT 提供商处以相当于该提供商上一财年全球每日平均营业额 1% 的罚款。提供商可能每天都要接受罚款处罚,时间长达六个月,直到他们达到首席监管机构期望的合规性为止。
DORA 在四个领域为金融实体和 ICT 提供商制定了技术要求:
- ICT 风险管理和治理
- 事件响应和报告
- 数字运营弹性测试
- 第三方风险管理
第五个领域涵盖信息共享,与其他四个领域不同,信息共享是被鼓励但非强制的。
属于 DORA 适用范围的金融机构应积极参与管理 ICT 第三方风险。在外包关键和重要职能时,金融机构应就退出策略、审计以及数据可访问性、完整性和安全性等方面的绩效目标协商具体的合同安排。机构不得与无法满足这些要求的信 ICT 提供商签订合同。欧洲央行和国家主管机关有权暂停或终止不合规的合同。欧盟委员会正在深入了解起草标准化合同条款的可能性,各机构和 ICT 提供商可以使用这些条款来帮助确保其协议符合 DORA 要求。
金融实体还需要梳理其与第三方 ICT 的依赖关系,并应帮助确保其关键和重要职能不会过度集中于单个提供商或一小群提供商。
关键的 ICT 第三方服务提供商将接受相关 ESA 的直接监督。欧盟委员会仍在制定相关标准,以确定关键提供商。符合标准的提供商将指定其中一个 ESA 作为首席监管机构。除了对关键提供商执行 DORA 要求外,首席监管机构有权禁止提供商与不遵守 DORA 要求的金融公司或其他 ICT 提供商签订合同。
DORA 规定机构的管理机构负责 ICT 管理。董事会成员、执行领导者和其他高级管理人员应制定适当的风险管理策略,积极协助执行这些策略,并及时了解 ICT 风险状况。领导者还可能因机构未能遵守规定而承担个人责任。
所涉机构应制定全面的 ICT 风险管理框架。机构必须梳理其 ICT 系统,识别和分类关键资产和功能,并记录资产、系统、流程和提供商之间的依赖关系。机构必须对其 ICT 系统进行持续的风险评估,记录和分类网络威胁,并记录缓解已识别风险的措施。
作为风险评估流程的一部分,机构必须进行业务影响分析,以评估特定场景和严重中断对业务的潜在影响。机构应利用这些分析结果来设定风险承受水平,并为其 ICT 基础设施的设计提供信息。机构还需要实施适当的网络安全保护措施,如身份和访问管理和补丁管理政策,以及扩展检测和响应系统、安全信息和事件管理 (SIEM) 软件、安全编排、自动化和响应 (SOAR) 工具等技术控制措施。
机构还需要针对各种网络风险场景(如 ICT 服务故障、自然灾害和网络攻击)制定业务连续性和灾难恢复计划。这些计划必须包括数据备份和恢复措施、系统恢复流程以及与受影响的客户、合作伙伴和机关的沟通计划。
相关机构必须建立监控、管理、记录、分类和报告 ICT 相关事件的系统。根据事件的严重程度,机构可能需要向监管机构以及受影响的客户和合作伙伴报告。对于关键事件,机构需要提交三种不同类型的报告:通知当局的初步报告、关于解决事件进展情况的中期报告以及分析事件根本原因的最终报告。
关于如何对事件进行分类、哪些事件必须报告以及报告时间表的规则即将出台。ESA 也在探索通过建立中央枢纽和通用报告模板来简化报告的方法。
各机构必须定期测试其 ICT 系统,以评估其防护能力并识别漏洞。这些测试的结果以及关于解决所发现任何漏洞的计划需要报告给相关主管机关,并由其进行验证。
实体必须每年进行一次测试,如漏洞评估和情景测试。被认为在金融体系中发挥关键作用的金融实体还需要每三年进行一次威胁主导的渗透测试 (TLPT)。实体的关键 ICT 提供商也必须参加这些渗透测试。鉴于 DORA 于 2025 年 1 月 17 日生效,欧洲中央银行理事会于 2025 年 1 月 23 日批准了更新版基于威胁情报的道德红队 (TIBER) - 欧盟框架,使其与 DORA 关于威胁主导的渗透测试的监管技术标准完全一致。更新版 TIBER-EU 框架和指导文档可在欧洲中央银行网站上查阅。
金融机构需要建立从内外部 ICT 相关事件中吸取教训的流程。为此,DORA 鼓励机构参与自愿的威胁情报共享安排。在此背景下共享的任何信息仍需根据相关准则进行保护,例如,个人身份信息仍需遵守《一般数据保护条例》(GDPR) 的相关规定。
IBM® Cloud 致力于支持我们的客户在面临中断时增强数字运营弹性,并帮助他们履行 DORA 义务。凭借与全球一些最知名的金融服务机构在现代化进程中的长期合作经验和深厚专业知识,IBM 致力于支持我们的客户在降低风险和适应不断变化的监管环境的同时实现增长,包括遵守 DORA 的要求。
作为云服务提供商 (CSP),DORA 从两个方面影响 IBM Cloud:
- 间接影响方面,IBM 与我们的金融服务机构 (FE) 客户均需要采取行动,例如修改政策和程序以及调整工具来管理 ICT 系统的安全性、稳定性和弹性,以及客户与 IBM 之间、IBM 与供应商之间的合同协议内容和整体处理方式。
- 直接影响方面,如果 IBM 和 IBM Cloud 被指定为关键 ICT 第三方服务提供商 (CTPP),根据 DORA 的规定,IBM Cloud 为 FE 客户提供 ICT 服务时需要接受监督。
到目前为止,IBM 尚未被欧盟当局正式指定为关键 ICT 提供商。然而,IBM Cloud 正在积极准备,以便在 IBM 被主管机关指定为关键 ICT 第三方服务提供商 (CTPP) 时,满足潜在的直接要求。
IBM Cloud 支持客户进行基于风险的决策。我们的文档为每种云服务提供了详细信息,以突出内置的服务弹性措施,并帮助客户设计应对潜在计划外中断的方案。我们提供详细的合规文档作为强大能力的证据。此外,IBM Cloud Security and Compliance Center Workload Protection 可自动执行针对 IBM Cloud Framework for Financial Services、DORA、PCI 等众多行业相关或最佳实践标准的合规检查 - 适用于您的 IBM Cloud 资源以及多云环境中的资源。
IBM Cloud 提供了一个强大的平台,使客户能够设计最适合其需求的弹性实施方案。我们的多专区区域提供了多种地理位置选择和高度可用的全球和跨区域服务,如身份和访问管理、IBM Cloud Database、容器服务(Kubernetes 和 Red Hat OpenShift)、各种存储服务和虚拟私有云,以满足最苛刻工作负载的应用程序弹性和合规要求。此外,可以使用《参考架构和最佳实践指南》构建跨区域灾难恢复,以应对各种情况。
稳定性非常重要,因此 IBM Cloud 可确保客户具备避免计划外中断所需的弹性能力,例如通过 IBM Cloud Schematics 实施的一切皆代码和可部署架构,到高度可用的网络架构和先进的 IBM Cloud Monitoring。许多服务(包括虚拟私有云、IBM Kubernetes Service、Red Hat OpenShift on IBM Cloud 和 IBM Cloud Databases)的自动扩展功能可确保工作负载具有足够的容量来应对高峰,并能够轻松地在区域甚至跨区域之间实施负载均衡。同时,通过持续交付工具链实施的 DevSecOps 实践增强了自动化发布管理和安全设计实践。
|
1. ICT 风险管理 |
|---|
Cloud Pak for Security
集成现有安全工具,更深入地分析威胁和风险、协调行动并自动做出响应。
IBM Cloud Security and Compliance Center – Data Security Broker – Manager
这是 Security and Compliance Center 套件中的安全解决方案,可提供集中式加密策略和跨不同数据源的数据审计。
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中,您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞,确定其优先级,检测和应对威胁,并管理从源代码到运行的配置、权限和合规。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。该产品服务组合内置企业级 AI 和自动化技术,可显著提高分析人员的工作效率,帮助资源紧张的安全团队更有效地开展跨核心技术工作。它提供通用用户界面、共享洞察分析和互联工作流程,并可为以下功能提供集成式产品:端点安全(EDR、XDR、MDR)、SIEM、SOAR。
IBM X-Force
X-Force 助您建立并管理一整套综合安全计划,以保护您的组织免受全球威胁。我们的团队深谙威胁参与者的思维方式、策略和攻击方式,知道如何预防、检测、应对事件并迅速恢复,以便您能够专注于优先级更高的业务活动。 X-Force 进攻型和防御型服务均以威胁研究、情报和修复服务为基础。
IBM Cloud Hardware Security Module
Gemalto 的 IBM Cloud Hardware Security Module (HSM) 7.0 通过在防篡改硬件设备内更安全地管理、处理和存储加密密钥来保护加密基础架构。它可以帮助您解决在云上迁移和运行工作负载时遇到的复杂安全性、合规性、数据主权和控制挑战。
机密计算
利用 IBM® Z、IBM LinuxONE 和 Intel Xeon on IBM Cloud 广泛数据安全和加密技术,保护静态、传输和使用的数据。
IBM Security Guardium
IBM Security® Guardium® 是 IBM Security 产品组合中的一系列数据安全软件,可发现漏洞并保护敏感的本地部署数据和云端数据。
IBM Cloud 存储服务
我们的云存储服务可为您的数据提供可扩展、高度安全且经济高效的存储空间,同时支持传统和云原生工作负载。配置和部署访问对象、块和文件存储等服务。根据需求变化调整容量并优化性能。只需为所需的云存储付费。
IBM Cloud Backup
IBM Cloud Backup 是一个功能齐全、基于代理程序的备份和恢复系统,通过 Web 界面进行管理,并在一个或多个 IBM Cloud 全球数据中心的 IBM Cloud 服务器之间备份数据。
IBM Cloud Database 服务
IBM Cloud Database-as-a-Service (DBaaS) 可让开发人员和 IT 员工摆脱复杂且耗时的任务,其中包括部署基础设施和数据库软件、基础设施操作、数据库软件更新以及备份。IBM Cloud Database SME 可提供并维护随时可用且高度可用的数据库实例,以便开发人员和 IT 员工有时间专注于其他优先事项。
IBM Cloud Container Registry
在完全托管的私有注册表中,存储和分发容器映像。推送私有映像,以便于在 IBM Cloud Kubernetes Service 和其他运行时环境中运行这些映像。检查映像是否存在安全问题,以便能够为部署做出明智的决策。
DevSecOps 应用程序生命周期管理
DevSecOps 应用程序生命周期管理可部署架构创建了一系列 DevOps 工具链和管道。DevSecOps 采用持续交付 (CD)(Git Repos and Issue Tracking、Tekton Pipelines、IBM Cloud DevOps Insights 和 Code Risk Analyzer)、Secrets Manager、IBM Key Protect、IBM Cloud Object Storage、IBM Cloud Container Registry 和 Vulnerability Advisor。
IBM Cloud 可观察性解决方案
可观测性提供了对现代分布式应用程序的深度可见性,可以加速问题的自动识别和解决。
|
2. 事件报告 |
|---|
IBM X-Force
X-Force 助您建立并管理一整套综合安全计划,以保护您的组织免受全球威胁。我们的团队深谙威胁参与者的思维方式、策略和攻击方式,知道如何预防、检测、应对事件并迅速恢复,以便您能够专注于优先级更高的业务活动。 X-Force 进攻型和防御型服务均以威胁研究、情报和修复服务为基础。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。该产品服务组合内置企业级 AI 和自动化技术,可显著提高分析人员的工作效率,帮助资源紧张的安全团队更有效地开展跨核心技术工作。它提供通用用户界面、共享洞察分析和互联工作流程,并可为以下功能提供集成式产品:端点安全(EDR、XDR、MDR)、SIEM、SOAR。
IBM Security Guardium
IBM Security® Guardium® 是 IBM Security 产品组合中的一系列数据安全软件,可发现漏洞并保护敏感的本地部署数据和云端数据。
IBM Cloud 可观察性解决方案
可观测性提供了对现代分布式应用程序的深度可见性,可以加速问题的自动识别和解决。
|
3. 运营弹性测试 |
|---|
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中,您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞,确定其优先级,检测和应对威胁,并管理从源代码到运行的配置、权限和合规。
IBM X-Force
X-Force 助您建立并管理一整套综合安全计划,以保护您的组织免受全球威胁。我们的团队深谙威胁参与者的思维方式、策略和攻击方式,知道如何预防、检测、应对事件并迅速恢复,以便您能够专注于优先级更高的业务活动。 X-Force 进攻型和防御型服务均以威胁研究、情报和修复服务为基础。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。该产品服务组合内置企业级 AI 和自动化技术,可显著提高分析人员的工作效率,帮助资源紧张的安全团队更有效地开展跨核心技术工作。它提供通用用户界面、共享洞察分析和互联工作流程,并可为以下功能提供集成式产品:端点安全(EDR、XDR、MDR)、SIEM、SOAR。
IBM Security Guardium
IBM Security® Guardium® 是 IBM Security 产品组合中的一系列数据安全软件,可发现漏洞并保护敏感的本地部署数据和云端数据。
DevSecOps 应用程序生命周期管理
DevSecOps 应用程序生命周期管理可部署架构创建了一系列 DevOps 工具链和管道。DevSecOps 采用持续交付 (CD)(Git Repos and Issue Tracking、Tekton Pipelines、IBM Cloud DevOps Insights 和 Code Risk Analyzer)、Secrets Manager、IBM Key Protect、IBM Cloud Object Storage、IBM Cloud Container Registry 和 Vulnerability Advisor。
|
4. 第三方风险管理 |
|---|
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中,您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞,确定其优先级,检测和应对威胁,并管理从源代码到运行的配置、权限和合规。
|
5. 信息和情报共享 |
|---|
IBM X-Force
X-Force 助您建立并管理一整套综合安全计划,以保护您的组织免受全球威胁。我们的团队深谙威胁参与者的思维方式、策略和攻击方式,知道如何预防、检测、应对事件并迅速恢复,以便您能够专注于优先级更高的业务活动。 X-Force 进攻型和防御型服务均以威胁研究、情报和修复服务为基础。
Cloud Pak for Security
集成现有安全工具,更深入地分析威胁和风险、协调行动并自动做出响应。