DORA 有两个主要目标：全面解决金融服务行业的 ICT 风险管理问题，以及协调各个欧盟成员国已有的 ICT 风险管理法规。

在 DORA 出台之前，欧盟金融机构的风险管理法规主要侧重于确保企业有足够的资本来应对运营风险。虽然一些欧盟监管机构发布了有关 ICT 和安全风险管理的指南，但这些指南并没有平等地适用于所有金融实体，而且通常依赖于一般原则，而不是具体的技术标准。在缺乏欧盟层面的 ICT 风险管理规则的情况下，欧盟成员国发布了自己的要求。事实证明，这种错综复杂的监管对金融实体来说难以驾驭。

欧盟旨在通过 DORA 建立一个管理和减轻金融行业 ICT 风险的通用框架。通过协调整个欧盟的风险管理规则，DORA 力求消除欧盟不同成员国的不同法规之间可能出现的差距、重叠和冲突。一套共享的规则可以使金融实体更容易遵守，同时通过确保每个机构都遵循相同的标准来提高整个欧盟金融体系的弹性。

DORA 适用于欧盟的所有金融机构。其中包括银行、投资企业和信贷机构等传统金融实体，以及加密资产服务提供商和众筹平台等非传统实体。

值得注意的是，DORA 还适用于一些通常被排除在金融监管之外的实体。例如，为金融公司提供 ICT 系统和服务的第三方服务提供商（例如云服务提供商和数据中心）必须遵守 DORA 的要求。DORA 还涵盖提供关键第三方信息服务的公司，例如信用评级服务和数据分析提供商。

DORA 最初由欧盟委员会（负责制定立法的欧盟行政部门）于 2020 年 9 月提出。它是更大的数字金融一揽子计划的一部分，其中还包括监管加密资产和加强欧盟整体数字金融战略的举措。欧盟理事会和欧洲议会（负责批准欧盟法律的立法机构）于 2022 年 11 月正式通过了 DORA。金融实体和第三方 ICT 服务提供商必须在 2025 年 1 月 17 日之前遵守 DORA，然后才能开始执行。

虽然欧盟已正式采用 DORA，但欧洲监管局 (ESA) 仍在敲定关键细节。ESA 是监督欧盟金融体系的监管机构，包括欧洲银行管理局 (EBA)、欧洲证券和市场管理局以及欧洲保险和职业养老金管理局。

ESA 负责起草监管技术标准 (RTS) 和所涵盖实体必须执行的实施技术标准 (ITS)。这些标准预计将于 2024 年定稿。欧盟委员会正在为关键 ICT 提供商制定监督框架，预计也将于 2024 年定稿。

标准定稿并且到 2025 年 1 月的最后期限时，执行工作将由每个欧盟成员国的指定监管机构（即“主管机关”）负责。主管机关可以要求金融实体采取具体的安全措施并修复漏洞。他们还可以对不遵守规定的实体实施行政处罚，在某些情况下还可以实施刑事处罚。每个成员国将决定自己的处罚。

欧盟委员会视为“关键”的 ICT 提供商将直接受到 ESA 的“首席监管机构”的监督。与主管机关一样，首席监管机构可以要求采取安全措施和补救措施，并对不合规的 ICT 提供商进行处罚。DORA 允许首席监管机构对 ICT 提供商处以相当于该提供商上一财年全球每日平均营业额 1% 的罚款。提供商可能每天都要接受罚款处罚，时间长达六个月，直到他们达到合规性为止。

DORA 在四个领域为金融实体和 ICT 提供商制定了技术要求：

• ICT 风险管理和治理
• 事件响应和报告
• 数字化运营弹性测试
• 第三方风险管理

鼓励但不要求信息共享。

要求将按比例执行，这意味着小型实体将不需要遵守与主要金融机构相同的标准。虽然每个领域的 RTS 和 ITS 仍在开发中，但现有的 DORA 立法提供了对一般要求的一些洞察。

ICT 风险管理和治理

DORA 规定实体的管理机构负责 ICT 管理。董事会成员、执行领导者和其他高级管理人员应制定适当的风险管理策略，积极协助执行这些策略，并及时了解有关 ICT 风险状况的最新知识。领导者还可能因实体未能遵守规定而承担个人责任。

预计所涉实体将制定全面的 ICT 风险管理框架。实体必须绘制 ICT 系统地图；确定关键资产和功能并进行分类；并记录资产、系统、流程和提供商之间的依赖关系。实体必须对 ICT 系统进行持续风险评估，记录和分类网络威胁，并记录缓解已识别风险的步骤。

作为风险评估流程的一部分，实体必须进行业务影响分析，以评估特定场景和严重中断对业务的潜在影响。实体应利用这些分析结果来设定风险承受度，并为其 ICT 基础设施的设计提供信息。还要求实体实施适当的网络安全保护措施例，例如身份和访问管理与补丁管理政策，以及扩展检测和响应系统、安全信息和事件管理 (SIEM) 软件与安全编排、自动化和响应 (SOAR) 工具等技术控制措施。

实体还需要针对各种网络风险场景（例如 ICT 服务故障、自然灾害和网络攻击）制定业务连续性和灾难恢复计划。这些计划必须包括数据备份和恢复措施、系统恢复流程以及与受影响的客户、合作伙伴和机关的沟通计划。

指定实体风险管理框架所需要素的 RTS 即将发布。专家认为，这些 RTS 将与 EBA 现有的 ICT 和安全风险管理指南类似。

事件响应和报告

相关实体必须建立监控、管理、记录、分类和报告 ICT 相关事件的系统。根据事件的严重程度，实体可能需要向监管机构以及受影响的客户和合作伙伴报告。实体需要针对关键事件提交三种不同类型的报告：通知机关的初始报告、关于解决事件进展的中间报告以及分析事件根本原因的最终报告。

关于如何对事件进行分类、必须报告哪些事件以及报告时间表的规则即将出台。ESA 还在探索通过建立中央枢纽和通用报告模板来简化报告的方法。

数字化运营弹性测试

实体必须定期测试 ICT 系统，以评估保护强度并识别漏洞。这些测试的结果以及关于解决所发现任何漏洞的计划将报告给相关主管机关并由其进行验证。

实体必须每年进行一次基本测试，如漏洞评估和场景测试。被判定在金融体系中发挥关键作用的金融实体还需要每三年进行一次威胁主导的渗透测试 (TLPT)。实体的关键 ICT 提供商也必须参加这些渗透测试。关于如何实施 TLPT 的技术标准即将出台，但它们很可能与 TIBER-EU 框架保持一致，用于确定基于威胁情报、合乎道德的红队。

第三方风险管理

DORA 的一个独特之处是：它不仅适用于金融实体，也适用于为金融行业提供服务的 ICT 提供商。

预计金融公司将在管理 ICT 第三方风险方面发挥积极作用。在外包关键和重要职能时，金融实体必须就退出策略、审计以及可访问性、完整性和安全性的绩效目标等方面的具体合同安排进行协商。不允许实体与不符合这些要求的 ICT 提供商签订合同。主管机关有权暂停或终止不符合这些要求的合同。欧盟委员会正在探索是否可以起草标准化合同条款，以便实体和 ICT 提供商使用这些条款来确保其协议符合 DORA 规定。

金融机构还需要映射其第三方 ICT 依赖关系，并且需要确保其关键和重要职能不会过于集中于单个提供商或一小群提供商。

关键的 ICT 第三方服务提供商将接受相关 ESA 的直接监督。欧盟委员会仍在制定相关标准，以确定关键提供商。符合标准的提供商将指定其中一个 ESA 作为首席监管机构。除了对关键提供商执行 DORA 要求外，首席监管机构还有权禁止提供商与不遵守 DORA 要求的金融公司或其他 ICT 提供商签订合同。

信息共享

金融实体必须建立从内部和外部 ICT 相关事件中吸取教训的流程。为此，DORA 鼓励实体参与自愿的威胁情报共享安排。以这种方式共享的任何信息仍必须受到相关准则的保护，例如，个人身份信息仍受《通用数据保护条例》的注意事项的约束。