解读欧盟DORA法案：出海金融企业所面临的安全合规挑战

2024-05-28 15:24:06 · 普华永道 · 普华永道

引言

在当今金融行业业务数字化转型的关键时期，信息科技风险也在不断增加，企业面临日益增多且复杂的网络安全问题。金融机构越来越频繁地成为高频网络攻击的目标，攻击手段包括勒索软件、数据窃取等，这对金融行业的业务连续性和客户的敏感信息构成了严重威胁。越来越多案例显示，在这些网络安全攻击中，企业处于被动地位的趋势日益明显。因此，金融行业企业应具备应对网络威胁的弹性能力，在面对攻击导致业务中断时，能保证其业务运营的完整性、可靠性、和可用性。而如何保持数字运营弹性、确保关键重要的核心业务不被破坏、保证服务的连续性是金融企业目前面临的新挑战。DORA法案的诞生，则是欧洲监管机构为了有效管理这些新场景及其带来的潜在风险而迈出的关键步伐。同时，DORA法案也成为了中国出海金融企业所要面临的海外安全合规挑战。

DORA法案概述

数字运营弹性法案（Digital Operational Resilience Act，以下简称“DORA法案”）是一项欧盟颁布的法案，于2023年1月16日生效。该法案旨在为欧盟金融行业建立具有约束力的全面信息和通信技术（Information and Communications Technology，以下简称“ICT”）风险管理框架，以增强企业在发生网络安全事件导致运营中断时维持数字运营弹性的能力。从2025年1月17日起，DORA法案将适用于所有欧盟金融实体和向其提供ICT服务的第三方服务供应商。因此，所有金融实体和其ICT服务的第三方服务供应商需要在该日期前完成相关转换工作。

DORA法案整合和升级了金融行业的ICT风险管理和网络风险管理，有效减轻了数字化转型带来的风险，提升了金融生态系统的数字运营弹性，并帮助金融业预防和应对网络安全事件，构建弹性能力。

DORA法案的适用对象

DORA法案适用于欧盟各类金融实体，其中包括银行、保险、证券、基金、支付机构、信贷机构等传统金融实体，也包括加密资产服务供应商和众筹平台等非传统实体：

除此之外，DORA法案还适用于针对以上金融实体提供ICT服务的第三方供应商，如数据报告供应商和云服务供应商等，并通过ICT第三方风险管理框架和监督框架对其进行管理：

值得注意的是，这其中也包含了在欧盟境内提供金融服务的中国金融实体，如银行、保险、证券、跨境支付、投资管理机构等；以及为欧盟金融机构提供ICT服务的中国供应商。

DORA法案的五大支柱

该法案对所有欧盟金融实体以及为其提供ICT服务的供应商的业务流程、网络和信息系统安全性提出了统一要求，包括以下五个方面，同时也是法案的五大支柱：ICT风险管理框架、ICT第三方风险管理和监督框架、数字运营弹性测试、ICT相关事件的分类和报告管理以及网络威胁信息共享。

如何理解五大支柱？

通过对DORA法案的研究，普华永道对法案的核心五大支柱进行了总结并结合企业可能面临的问题给出了全面解读。

支柱1

ICT风险管理框架

就目前而言，欧洲当前的监管框架是分散的、异构的。虽然一些欧盟监管机构发布过ICT和安全风险管理相关的指南，但这些指南并没有统一化地适用于所有欧盟的金融实体以及向这些金融实体提供ICT服务的服务供应商，它们通常仅仅止步于一般原则，而非具体的技术标准，而这种错综复杂的监管对整个欧盟的金融行业来讲是难以驾驭的。

在此背景下，DORA法案制定了统一的监管框架，纳入了欧洲监管机构之前发布的所有指导方针，以及欧洲和国际上在数字运营弹性和ICT风险管理方面的最佳实践，力求消除欧盟不同成员国的不同法规之间可能出现的差距、重叠、和冲突。一套统一且共享的监管框架可以确保整个金融行业遵循相同的标准来提高整个欧盟金融行业的数字运营弹性。DORA法案将使所有现有法案在IT风险、网络安全、第三方管理和业务连续性方面的要求保持一致。

总体而言，DORA法案的核心基于以下三大原则：

此外，DORA法案的目标是促进企业制定整体风险管理，确保数字运营弹性。企业需要重新审视ICT风险管理，并将其纳入数字运营弹性能力建设。ICT风险管理和监测应包括以下内容：

支柱2

ICT第三方风险管理和监督框架

近年来，金融实体越来越多地将IT服务外包，这势必会出现合同关系不平衡的现象，如小型金融实体面对的是体量相对较大的ICT服务供应商，几乎没有谈判的余地。为了使ICT服务供应商能够更好地考虑金融部门的特殊性，提供适应性更强的服务，DORA法案为关键的ICT服务供应商建立了一个清晰的法律监管框架：

DORA法案包括了终止条款和退出策略在内的标准合同条款，最终将实现金融实体与ICT服务供应商签订合同的标准化流程。第三方服务风险的新要求将迫使ICT服务供应商向金融实体提供必要信息，这为金融实体与ICT服务供应商之间的合作关系提供了保障，从而提高金融业的整体数字运营弹性。此外，如ICT服务供应商没有达到预期的要求，监管者也有权采取后续行动，使金融实体可以选择更换ICT服务供应商。

支柱3

定期开展数字运营弹性测试

作为数字运营弹性总体战略和ICT风险管理框架的重要组成部分，金融实体应确定、维护和审查一个健全且全面的数字运营弹性测试方案、完善的危机模拟演习；应定期在真实条件下测试、评估发生事故或网络攻击时ICT的数字运营弹性能力和安全性，以便识别存在的差距。

金融实体应根据自身的规模、活动和风险状况，定期进行数字运营弹性测试，如漏洞扫描、渗透测试，同时建立业务连续性计划（Business Continuity Plan，以下简称“BCP“）和灾难恢复计划（Disaster Recovery Plan，以下简称”DRP“）管理体系并定期进行相应演练。金融实体还必须测试其ICT工具和系统，而那些被主管当局指定为重要和网络安全成熟度高的金融实体则需要进行高级测试，如威胁引导渗透测试（Threat-Led Penetration Testing，TLPT）。

结合严格的BCP和DRP要求，数字运营弹性测试可能会发展成为监管审查的一个重要领域，并迫使金融实体开发更广泛、更准确的测试和情景分析能力。

支柱4及支柱5

ICT事件的分类管理与网络威胁信息共享

作为DORA法案的其中两大支柱，其目的是为了统一和简化重大ICT事件的报告程序，提升网络威胁信息共享效率。虽然欧盟各成员国有其自身颁布的二级法案来判定事件是否将被视为重大事件，但这种信息共享方式必须建立和依赖于一个安全、可信的框架，为金融实体、第三方和主管当局之间提供威胁信息共享和集中报告。与此同时，统一网络威胁信息的报告方式可以帮助企业降低沟通成本，在发生系统性事件时迅速做出反应，以及在事后调整安全策略以适应未来潜在的威胁。

关于网络安全事件的分级分类管理及报告，类似的要求还有美国证券交易委员会（Securities and Exchange Commission，SEC）早前颁布的网络安全事件披露新规，普华永道就该新规曾做过解读——解读美国证监会SEC网络安全新规：在美上市公司需提前蓄力，积极应对网络安全披露要求，并针对上市公司的网络安全治理和能力提出了短期、中期及长期规划建议。由此可见，网络安全事件分类管理和网络威胁信息共享早已是世界各国关注的趋势，而非单一国家的要求，欧盟DORA法案要求更是顺应了这个安全机制的全球化趋势。

普华永道服务方案

普华永道网络安全与隐私合规团队与欧洲所合作，对DORA法案做出解读，并结合多年来在金融、科技、媒体和电信行业的最佳实践，建议欧盟范围内的金融实体以及向这些金融实体提供ICT服务的第三方服务供应商立刻采取行动以应对DORA法案的要求。

普华永道网络安全与隐私合规团队将根据DORA法案提出的要求，对企业目前的数字运营弹性成熟度进行评估，帮助公司识别并解决潜在的数字运营弹性风险，确保公司能够及时适应新法案的要求。同时，普华永道将协助公司制定应对计划，帮助公司明确必要的整改措施，并制定具体的行动计划和时间表，确保公司能够按质、按期完成新法案的相关要求。

因此，普华永道将以DORA法案为出发点，结合企业运营模式、规模等实际情况，识别企业现有差距及潜在风险，为企业提供符合DORA法案的全方位安全评估及规划服务：

同时，对于难以同时完成五个方面的规划和整改的企业，普华永道可针对企业弱项，个性化提供分类服务：

普华永道助力金融企业出海合规

除DORA法案外，越来越多的海外法案的相继出台，中国金融企业开拓海外市场面临的安全合规监管日渐趋严。而世界各国的文化差异及法律特色不同，使企业需要适应不同国家对待安全合规的态度。与此同时，中国出海金融企业在进行跨境活动时，在被像如欧盟推出的《数据保护指令》、《反洗钱反恐怖融资条例》、《支付服务指令II》等海外法律法规约束的同时，也会被中国其他法律如《网络安全法》、《个人信息保护法》、《促进和规范数据跨境流动规定》所约束，出海金融企业已迈入双向合规的强监管时代。可以预见，企业必将面临系统性的数据、网络安全合规监管，而如何防范网络风险，或许是比业务先行更为重要的议题。

多年来，普华永道致力于网络安全行业的深耕与发展，拥有行业内丰富的网络安全服务及合规经验，与监管机构、政策制定者和商业领袖共同打造合作生态联盟，帮助多家出海金融企业完成强监管下的双向合规及企业网络安全建设规划，让企业在瞬息万变的全球发展中顺应时代步伐，在复杂多变的市场和日趋严峻的网络威胁中保持健康稳定运行，为企业保驾护航。