DORA는 금융 서비스 부문의 ICT 위험 관리를 포괄적으로 다루고 개별 EU 회원국에 이미 존재하는 ICT 위험 관리 규정을 조화시킨다는 두 가지 주요 목표를 가지고 있습니다.

DORA 이전에 EU의 금융 기관에 대한 위험 관리 규정은 주로 기업이 운영 위험을 감당할 수 있는 충분한 자본을 확보하는 데 중점을 두었습니다. 일부 EU 규제 당국이 ICT 및 보안 위험 관리에 대한 가이드라인을 발표했지만, 이러한 가이드라인이 모든 금융 기관에 동일하게 적용되는 것은 아니며 특정 기술 표준이 아닌 일반적인 원칙에 의존하는 경우가 많습니다. EU 수준의 ICT 위험 관리 규칙이 없는 경우 EU 회원국은 자체 요구 사항을 발표했습니다. 이러한 패치워크 방식의 규정은 금융 기관이 탐색하기 어려운 것으로 입증되었습니다.

DORA를 통해 EU는 금융 부문의 ICT 위험을 관리하고 완화하기 위한 보편적인 프레임워크를 구축하는 것을 목표로 합니다. DORA는 EU 전역의 위험 관리 규정을 조화시킴으로써 서로 다른 EU 국가의 상이한 규정 간에 발생할 수 있는 격차, 중복 및 충돌을 제거하고자 합니다. 공유된 규칙을 사용하면 모든 금융 기관이 동일한 표준을 준수하도록 함으로써 전체 EU 금융 시스템의 복원력을 개선하는 동시에 금융 기관이 규정을 더 쉽게 준수하게 할 수 있습니다.

DORA는 EU의 모든 금융 기관에 적용됩니다. 여기에는 은행, 투자회사, 신용 기관과 같은 전통적인 금융 기관과 암호 자산 서비스 제공자, 크라우드 펀딩 플랫폼과 같은 비전통적인 기관이 포함됩니다.

특히 DORA는 일반적으로 금융 규제에서 제외되는 일부 기업에도 적용됩니다. 예를 들어, 클라우드 서비스 제공업체 및 데이터 센터와 같이 금융 회사에 ICT 시스템 및 서비스를 제공하는 제3자 서비스 제공업체는 DORA 요건을 준수해야합니다. DORA는 신용 평가 서비스 및 데이터 분석 제공업체와 같은 주요 제3자 정보 서비스를 제공하는 회사에도 적용됩니다.

DORA는 법률 도입을 담당하는 EU 행정부 기관인 유럽 위원회가 2020년 9월에 처음 제안했습니다. 이는 암호 자산을 규제하고 EU의 전반적인 디지털 금융 전략을 강화하기 위한 이니셔티브를 포함하는 대규모 디지털 금융 패키지의 일부입니다. 유럽 연합 이사회와 유럽 의회(EU 법률 승인을 담당하는 입법 기관)는 2022년 11월에 DORA를 공식적으로 채택했습니다. 금융 기관 및 제3자 ICT 서비스 제공업체는 2025년 1월 17일까지 시행이 시작되기 전에 DORA를 준수해야 합니다.  

EU가 공식적으로 DORA를 채택했지만 유럽 감독 당국(ESA)에서는 주요 세부 사항을 아직 정리하고 있습니다. ESA는 유럽 은행 감독청(EBA), 유럽 증권 감독청, 유럽 보험 및 직업 연금 감독위원회 등 EU 금융 시스템을 감독하는 규제 기관입니다.

ESA는 규제 기술 표준(RTS) 초안을 작성하고 해당 기관이 구현해야 하는 기술 표준(ITS) 구현을 담당합니다. 이 표준은 2024년에 최종 확정될 것으로 예상합니다. 유럽 연합 집행위원회는 ICT 제공업체에 대한 감독 프레임워크를 개발 중이며, 이 프레임워크도 2024년에 마무리될 것으로 예상됩니다.

표준이 확정되고 2025년 1월 기한이 도래하면 각 EU 회원국의 지정된 규제 기관("관할 당국")에서 시행하게 됩니다. 관할 당국은 금융 기관에 특정 보안 조치를 취하고 취약점을 해결하도록 요청할 수 있습니다. 또한 규정을 준수하지 않는 기업에 대해 행정적 처벌(경우에 따라 형사 처벌)을 부과할 수도 있습니다. 각 회원국은 자체적으로 처벌을 결정합니다.

유럽위원회에서 "중요하다"고 판단한 ICT 제공업체는 ESA의 책임 감독관이 직접 감독합니다. 관할 당국과 마찬가지로 책임 감독관은 보안 조치 및 교정을 요청하고 규정을 준수하지 않는 ICT 제공업체를 처벌할 수 있습니다. DORA를 통해 책임 감독관은 ICT 제공업체에 이전 사업연도의 전 세계 일일 평균 매출액의 1%에 해당하는 벌금을 부과할 수 있습니다. 제공업체는 규정을 준수할 때까지 최대 6개월 동안 매일 벌금이 부과될 수 있습니다. 

DORA는 다음 네 가지 영역에 걸쳐 금융 기관 및 ICT 제공업체에 대한 기술 요구 사항을 설정합니다.

• ICT 리스크 관리 및 거버넌스
• 인시던트 대응 및 보고
• 디지털 운영 복원력 테스트
• 서드파티 위험 관리

정보 공유는 권장되지만 필수는 아닙니다.

요구 사항은 비례적으로 시행될 것입니다. 이는 소규모 기업은 대규모 금융 기관과 동일한 기준을 따르지 않는다는 것을 의미합니다. 각 도메인에 대한 RTS 및 ITS는 아직 개발 중이지만 기존 DORA 법률은 일반적인 요구 사항에 대한 인사이트를 제공합니다.

ICT 리스크 관리 및 거버넌스

DORA는 법인의 관리 기관이 ICT 관리를 책임지도록 하고 있습니다. 이사회 구성원, 경영진 및 기타 고위 관리자는 적절한 위험 관리 전략을 정의하고 실행을 적극적으로 지원하며 ICT 위험 환경에 대한 최신 지식을 유지해야 합니다. 관리자는 기업의 규정 준수 실패에 대해 책임져야 할 수도 있습니다.

대상 기업은 포괄적인 ICT 위험 관리 프레임워크를 개발해야 합니다. 기업은 ICT 시스템을 매핑해야 합니다. 중요한 자산과 기능을 식별하고 분류합니다. 자산, 시스템, 프로세스 및 공급자 간의 종속성을 문서화합니다. 기업은 ICT 시스템에 대한 지속적인 위험 평가를 수행하고, 사이버 위협을 문서화 및 분류하고, 확인된 위험을 완화하기 위한 단계를 문서화해야 합니다.

위험 평가 프로세스의 일환으로 기업은 비즈니스 영향 분석을 수행하여 특정 시나리오와 심각한 중단이 비즈니스에 어떤 영향을 미칠 수 있는지 평가해야 합니다. 기업은 이러한 분석 결과를 사용하여 위험 허용 수준을 설정하고 ICT 인프라 설계를 알려야 합니다. 또한 기업은 확장 탐지 및 대응 시스템, 보안 정보 및 이벤트 관리(SIEM) 소프트웨어, 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구와 같은 기술적 제어와 함께 ID 및 액세스 관리 정책, 패치 관리 등 적절한 사이버 보안 보호 조치를 구현해야 합니다.

또한 기업은 ICT 서비스 장애, 자연재해, 사이버 공격 등 다양한 사이버 위험 시나리오에 대비한 비즈니스 연속성 및 재해 복구 계획을 수립해야 합니다. 이러한 계획에는 데이터 백업 및 복구 조치, 시스템 복원 프로세스, 영향을 받는 고객, 파트너 및 당국과의 통신 계획이 포함되어야 합니다. 

기업의 위험 관리 프레임워크의 필수 요소를 지정하는 RTS가 곧 출시될 예정입니다. 전문가들은 ICT 및 보안 위험 관리에 대한 기존 EBA 가이드라인과 유사할 것으로 보고 있습니다.

인시던트 대응 및 보고

대상 기관은 ICT 관련 사고를 모니터링, 관리, 기록, 분류 및 보고하기 위한 시스템을 구축해야 합니다. 인시던트의 심각도에 따라 기업은 규제 기관과 영향을 받는 고객 및 파트너 모두에게 보고해야 할 수 있습니다. 기관은 중대한 인시던트에 대해 당국에 알리는 초기 보고서, 인시던트 해결 진행 상황에 대한 중간 보고서, 인시던트의 근본 원인을 분석하는 최종 보고서 등 세 가지 종류의 보고서를 제출해야 합니다. 

인시던트를 분류하는 방법, 보고해야 하는 인시던트, 보고 일정에 대한 규칙이 곧 발표될 예정입니다. ESA는 또한 중앙 허브와 공통 보고서 템플릿을 구축하여 보고를 간소화하는 방법을 모색하고 있습니다.

디지털 운영 복원력 테스트

기업은 보호 강도를 평가하고 취약점을 식별하기 위해 ICT 시스템을 정기적으로 테스트해야 합니다. 이러한 테스트 결과와 발견된 약점을 해결하기 위한 계획은 관련 관할 당국에 보고되고 검증됩니다.

기업은 1년에 한 번씩 취약성 평가 및 시나리오 기반 테스트와 같은 기본 테스트를 수행해야 합니다. 금융 시스템에서 중요한 역할을 하는 것으로 판단되는 금융 기관도 3년마다 위협 기반 침투 테스트(TLPT)를 받아야 합니다. 기업의 주요 ICT 제공업체도 이러한 침투 테스트에 참여해야 합니다. TLPT를 수행하는 방법에 대한 기술 표준은 곧 발표될 예정이지만, 위협 인텔리전스 기반 윤리적 레드팀을 위한 TIBER-EU 프레임워크와 일치할 가능성이 높습니다.

서드파티 위험 관리

DORA의 독특한 측면 중 하나는 금융 기관뿐만 아니라 금융 부문에 서비스를 제공하는 ICT 제공업체에도 적용된다는 점입니다. 

금융 회사가 ICT 제3자 리스크 관리에 활발한 역할을 할 것이라 기대하고 있습니다. 중요한 기능을 아웃소싱할 때 금융 기관은 무엇보다도 접근성, 무결성 및 보안에 대한 출구 전략, 감사 및 성과 목표에 관한 구체적인 계약 사항을 협상해야 합니다. 기업은 이러한 요구 사항을 충족할 수 없는 ICT 제공업체와 계약을 맺을 수 없습니다. 관할 당국은 이를 준수하지 않는 계약을 중단하거나 종료할 수 있는 권한을 갖습니다. 유럽 위원회는 기업 및 ICT 제공업체가 계약이 DORA를 준수하도록 보장하는 데 사용할 수 있는 표준화된 계약 조항의 초안을 작성할 가능성을 모색하고 있습니다. 

금융 기관은 또한 타사 ICT 종속성을 매핑해야 하며, 중요한 기능이 단일 제공업체 또는 소수의 제공업체 그룹에 지나치게 집중되지 않도록 해야 합니다. 

주요 ICT 제3자 서비스 제공업체는 관련 ESA의 직접적인 감독을 받게 됩니다. 유럽연합 집행위원회는 어떤 제공자가 중요한지 결정하기 위한 기준을 계속 개발하고 있습니다. 표준을 충족하는 기업에는 ESA 중 한 명이 리드 오버바이저로 지정됩니다. 책임 감독관은 중요 제공업체에 DORA 요건을 시행하는 것 외에도 제공업체가 DORA를 준수하지 않는 금융회사 또는 기타 ICT 제공업체와 계약을 체결하는 것을 금지할 수 있는 권한을 갖게 됩니다.

정보 공유

금융 기관은 내부 및 외부 ICT 관련 인시던트로부터 학습할 수 있는 프로세스를 수립해야 합니다. 이를 위해 DORA는 기업이 자발적인 위협 인텔리전스 공유 협약에 참여하도록 권장합니다. 이러한 방식으로 공유되는 모든 정보는 관련 가이드라인에 따라 보호되어야 합니다. 예를 들어 개인 식별 정보는 여전히 일반 데이터 보호 규정의 고려 대상입니다.