ゼファーネットのロゴ

生成的データ インテリジェンス

Fintech

DORA – EU の運用上の回復力の展望をナビゲートする

プラトン再発行
プラトン再発行

日付:

閲覧数: 34

DORA – EU 全体での運用上の回復力の強化と調和。 

記事全文は https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/ でご覧ください。

EUのDORAは避けられず、EUを越えて波及効果をもたらすだろう。これは、これまでの業界固有の運用回復力ガイドラインに取って代わるものであり、国家間の格差を克服し、財務全体にわたる主要な重点領域のガイドラインを調和させます。
業界のバリューチェーンを強化し、組合全体で共通の枠組みを確立します。この洞察では、DORA のマクロへの影響を調査し、DORA の全文の主要なセクションを要約して以下を定義します。

  1. DORA とその 5 つの重点分野とは何ですか?
  2. DORA が重要な理由
  3. DORA は誰に適用されますか?
  4. DORA 準拠と非準拠。

デジタル技術は、世界の金融資本市場企業が複雑なシステムをサポートする上で極めて重要であり、典型的なビジネス機能と収益創出活動の提供に不可欠です。デジタル化とそれによる相互接続性
効率性とコスト削減の向上を可能にしますが、情報通信技術 (ICT) のリスクも増幅し、サイバー脅威や混乱に対する金融システムの脆弱性も増大します。

国家レベルでの的を絞った政策や立法イニシアチブにもかかわらず、欧州連合(EU)は、国内の健全性と効率性を守るために、加盟国全体の運営上の回復力を調和させ、強化することが重要な必要性を認識している。
特にエスカレートするサイバー脅威を考慮した市場1 と混乱
事件2。最近 Liquidnet によって支持された見解3:

「業界の強さは、その最も弱い部分に比例します。[…] 2024 年は、テクノロジーの相互運用性だけでなく、コンプライアンス、リスク、管理に対する規制の監視が強化されるだけでなく、エコシステムを最適に機能させる上で個人の責任も問われることになります。」

現在進行中のレジリエンスの課題に対処するため、EU は金融機関の ICT セキュリティと運用の堅牢性を強化するためにデジタル オペレーショナル レジリエンス法 (DORA) を導入しました。

DORA とその 5 つの重点分野とは何ですか?

DORA は 14 年 2022 月 17 日に欧州議会および欧州理事会で採​​択され、2025 年 XNUMX 月 XNUMX 日までに準拠する必要があります。この規制は、金融環境全体にわたるデジタル運用の回復力を統合および強化することを目的としています。
これまでは、共通の枠組みを通じてさまざまな連合法で個別に対処されてきました。4 デジタルオペレーショナルレジリエンスのために
金融機関が侵害や ICT インシデントからより適切に耐え、回復できるようにします。

DORA の 5 つの重点分野:

  1. ICTリスク管理。
  2. ICT関連のインシデント管理、分類、レポート。
  3. デジタル運用回復力テスト。
  4. ICT サードパーティのリスク管理。
  5. 情報共有の取り決め。

DORA が重要な理由

DORA は、格差を克服するために以前の業界固有のガイドラインに基づいて構築および置き換え、バリュー チェーン全体にわたる主要分野のガイドラインを一貫して統合します。これは、組合レベルの共通監視枠組みを導入している点でユニークです。
欧州監督当局 (ESA) によって指定された重要な ICT サードパーティプロバイダー5.

金融セクターがデジタル ICT システムに依存しており、相互接続性が高まるにつれ、ICT のリスクと脆弱性は国境を越えて組合全体にますます破壊的な影響を及ぼし、業務の中断とサイバー攻撃の影響が増幅されます。
金融会社への脅迫。 DORA は、デジタル化が重要な金融機能を包含していることを認めています6 ような
支払い、証券清算、アルゴリズム取引、バックオフィス業務。全体的な金融の安定を維持し、内部市場における消費者の信頼を保護するために、これらの機能の運用回復力を強化することを目的としています。 DORA は保存を目指しています
困難なシナリオでも金融サービスのシームレスな提供を確保することで、市場の信頼を高めます。

DORA は誰に適用されますか?

DORA は、EU 内のすべての金融機関と、それらをサポートするサービスを提供する ICT サードパーティ サービス プロバイダーに適用されます。最近の洞察10 対処する
これ。 EU の DORA 規制は、すべての金融市場参加者に特定の規範的な要件を導入しています。

DORA – 金融機関

DORA に準拠するために、金融機関は、デジタル業務に関連するリスクの特定、評価、軽減を含む、ICT リスク関連の管理慣行を強化する必要があります。 DORA は、ICT インシデントの迅速な報告義務も導入しています。
重要な機能の中断については、関連当局が対応します。また、各機関は定期的にさまざまな混乱をシミュレートして、運用の回復力と回復能力をテストする必要があります。

特にDORAは、金融機関はサービスプロバイダーのサードパーティICTリスクを評価および管理し、契約上の取り決めで業務の回復力に確実に対処する必要があると強調しています。これはリスクの集中に関係します(DORA 第 29 条)11)
OPRA の停止などのインシデントに続きます12、重要なサプライヤーを標的としたサイバー犯罪
昨年のイオングループのハッキング事件のような金融サプライチェーンで13 or
クラウド コンピューティング ベンダー14ここで、
単一のインシデントが複数の金融機関に影響を与える可能性があります。

停止の影響は企業やエンドユーザーに限定されず、DBS 銀行が実証したように個人の財務に波及する可能性があることに注意する必要があります。15 前
今年。

DORA – サードパーティの依存関係と運用上の回復力

金融機関は、業務やサービスの重要な部分を提供するためにサードパーティのプロバイダーに依存することが増えており、DORA もサードパーティの依存関係に大きな影響を及ぼします。これらのサードパーティには、クラウド サービス プロバイダーが含まれます。
データ ベンダー、ソフトウェア開発者、その他のテクノロジー パートナー。特定の機能をアウトソーシングすると効率が向上し、コストが削減されますが、Ion で見たように、新たなリスクも生じます。当局は今、規制対象となる個人の回復力を超えて目を向ける必要がある
企業を評価し、この部門のより広範な経営回復力を評価します。

DORA は、デジタル時代の金融セクター全体の回復力を強化することを目的として、サードパーティの依存関係に対する堅牢なリスク管理慣行の重要性を強調しています。これらには次のものが含まれます。

  1. 広範囲にわたる ICT サードパーティ リスク – 金融サービス部門全体の運用回復力を強化するために、DORA は ICT サードパーティ リスクを定義するために幅広い網を張ります。たとえば、DORA 第 3 条 (18)16 定義
    ICT リスクとしての ICT サードパーティ リスク – 第 3 条 (5)17 – 提供される ICT サービスの利用に起因する金融機関に発生する可能性がある
    サードパーティのサービスプロバイダー、下請け業者、またはアウトソーシング契約によるもの。
  2. サードパーティ ベンダーのリスク管理慣行 – DORA は、サードパーティとの関係に関連する運用リスクを軽減し、回復力を確保するために、サードパーティ ベンダーに適切なリスク管理慣行を義務付けています。また、調和された
    EU全域のサードパーティベンダーのリスク管理のための規制枠組み(第15条)18).
  3. 重要な ICT サードパーティ プロバイダー – DORA は、金融サービスにおける ICT サービス プロバイダーの重要な役割を認識しています。場合によっては CJC のように、サードパーティが重要であるとみなされる場合、DORA の要件に従わなければなりません。特に、重要なサードパーティ
    EU外の者はEU内に子会社を設立する必要がある - 第31条(12)19 – 前置きはあるものの (82)20 ノート
    この要件は、「重要な ICT サードパーティ サービス プロバイダーが、連合外にある施設やインフラから ICT サービスや関連技術サポートを提供することを妨げるものであってはなりません。」

CJC の最高情報責任者である Gina Wee 氏は、運用の復元力と DORA コンプライアンスについて次のように述べています。「堅牢な暗号化と厳格なアクセス制御の実装から定期的な監査の実施に至るまで、CJC はデータを保証するために高レベルのコンプライアンスを維持しています。
安全。プロアクティブな計画、適応的な手順、継続的な改善の文化と組み合わせることで、当社はクライアントへの中断のないサービスを保証します。私たちは、情報セキュリティ、運用上の回復力、説明責任に対する当社の取り組みが、
当社のマネージド サービスに対するクライアントの安心と信頼。」

DORA 準拠と非準拠

コンプライアンス違反のリスク

DORA に従わない場合、風評被害、経済的損失、および規制上の罰則につながる可能性があります。 DORA の要件を遵守できない企業は、業務の中断、顧客の不満、および潜在的な法的影響を招くリスクがあります。

DORA コンプライアンス – 3 つの考慮事項とベスト プラクティス

DORA に準拠するには、金融機関は既存のサードパーティの依存関係を包括的にマッピングし、アウトソーシングされた機能のサービスを理解して重要な依存関係を特定する必要があります。ステップ 2 では、マップされた依存関係の回復力を評価します。
サービスプロバイダーの運用能力、セキュリティ対策、災害復旧計画を評価します。最後に、サードパーティとの契約合意では、運用上の回復力要件に具体的に対処する必要があります。これにはインシデントに対する規定が含まれます
レポート、事業継続性、および復旧時間の目標。

コンプライアンスを維持するために、金融機関は、DORA への継続的なコンプライアンスを確保するためのベスト プラクティスを実装するためのいくつかの手順を実行できます。これらには次のものが含まれます。

  1. デュー デリジェンス – サードパーティ プロバイダーを選択する場合は、その実績、財務的安定性、運用の回復力を考慮して徹底的なデュー デリジェンスを実施します。
  2. シナリオ テスト – サードパーティと協力してさまざまなシナリオをシミュレートし、復旧計画の有効性をテストします。これには、サイバー攻撃、システム障害、自然災害が含まれる必要があります。
  3. 継続的な監視 – サードパーティのパフォーマンスとコンプライアンスを定期的に監視し、回復力の姿勢が変化した場合に適応できるように準備します。

最後の言葉:

DORA は単なる規制ではありません。これは、デジタル時代における業務の回復力を強化し、信頼を築くための戦略的な機会です。 CJC は、世界の金融市場向けの市場データ テクノロジー コンサルタントおよびサービス プロバイダーとして、その立場を大切にしています。
資本市場コミュニティに対する市場データ管理サービスの重要なサードパーティサプライヤーとして真剣に取り組んでいます。サービス レベルに関係なく、CJC はすぐに使える DORA 準拠の標準と透明性を備えており、数々の受賞歴を誇るコンサルティングを提供しています。
マネージド サービス、クラウド ソリューション、可観測性、およびミッション クリティカルな市場データ システム向けの専門的な商用管理サービスを提供します。 CJC はベンダー中立で ISO 27001 認証を取得しているため、CJC のパートナーは自由にコア ビジネスに集中できます。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.