解讀歐盟DORA法案：出海金融企業所面臨的安全合規挑戰

2024-05-28 15:29:12

引言

在當今金融行業業務數字化轉型的關鍵時期，信息科技風險也在不斷增加，企業面臨日益增多且復雜的網絡安全問題。金融機構越來越頻繁地成為高頻網絡攻擊的目標，攻擊手段包括勒索軟件、數據竊取等，這對金融行業的業務連續性和客戶的敏感信息構成了嚴重威脅。越來越多案例顯示，在這些網絡安全攻擊中，企業處於被動地位的趨勢日益明顯。因此，金融行業企業應具備應對網絡威脅的彈性能力，在面對攻擊導致業務中斷時，能保證其業務運營的完整性、可靠性、和可用性。而如何保持數字運營彈性、確保關鍵重要的核心業務不被破壞、保證服務的連續性是金融企業目前面臨的新挑戰。DORA法案的誕生，則是歐洲監管機構為了有效管理這些新場景及其帶來的潛在風險而邁出的關鍵步伐。同時，DORA法案也成為了中國出海金融企業所要面臨的海外安全合規挑戰。

DORA法案概述

數字運營彈性法案（Digital Operational Resilience Act，以下簡稱“DORA法案”）是壹項歐盟頒布的法案，於2023年1月16日生效。該法案旨在為歐盟金融行業建立具有約束力的全面信息和通信技術（Information and Communications Technology，以下簡稱“ICT”）風險管理框架，以增強企業在發生網絡安全事件導致運營中斷時維持數字運營彈性的能力。從2025年1月17日起，DORA法案將適用於所有歐盟金融實體和向其提供ICT服務的第三方服務供應商。因此，所有金融實體和其ICT服務的第三方服務供應商需要在該日期前完成相關轉換工作。

DORA法案整合和升級了金融行業的ICT風險管理和網絡風險管理，有效減輕了數字化轉型帶來的風險，提升了金融生態系統的數字運營彈性，並幫助金融業預防和應對網絡安全事件，構建彈性能力。

DORA法案的適用對象

DORA法案適用於歐盟各類金融實體，其中包括銀行、保險、證券、基金、支付機構、信貸機構等傳統金融實體，也包括加密資產服務供應商和眾籌平臺等非傳統實體：

除此之外，DORA法案還適用於針對以上金融實體提供ICT服務的第三方供應商，如數據報告供應商和雲服務供應商等，並通過ICT第三方風險管理框架和監督框架對其進行管理：

值得註意的是，這其中也包含了在歐盟境內提供金融服務的中國金融實體，如銀行、保險、證券、跨境支付、投資管理機構等；以及為歐盟金融機構提供ICT服務的中國供應商。

DORA法案的五大支柱

該法案對所有歐盟金融實體以及為其提供ICT服務的供應商的業務流程、網絡和信息系統安全性提出了統壹要求，包括以下五個方面，同時也是法案的五大支柱：ICT風險管理框架、ICT第三方風險管理和監督框架、數字運營彈性測試、ICT相關事件的分類和報告管理以及網絡威脅信息共享。

如何理解五大支柱？

通過對DORA法案的研究，普華永道對法案的核心五大支柱進行了總結並結合企業可能面臨的問題給出了全面解讀。

支柱1

ICT風險管理框架

就目前而言，歐洲當前的監管框架是分散的、異構的。雖然壹些歐盟監管機構發布過ICT和安全風險管理相關的指南，但這些指南並沒有統壹化地適用於所有歐盟的金融實體以及向這些金融實體提供ICT服務的服務供應商，它們通常僅僅止步於壹般原則，而非具體的技術標準，而這種錯綜復雜的監管對整個歐盟的金融行業來講是難以駕馭的。

在此背景下，DORA法案制定了統壹的監管框架，納入了歐洲監管機構之前發布的所有指導方針，以及歐洲和國際上在數字運營彈性和ICT風險管理方面的最佳實踐，力求消除歐盟不同成員國的不同法規之間可能出現的差距、重疊、和沖突。壹套統壹且共享的監管框架可以確保整個金融行業遵循相同的標準來提高整個歐盟金融行業的數字運營彈性。DORA法案將使所有現有法案在IT風險、網絡安全、第三方管理和業務連續性方面的要求保持壹致。

總體而言，DORA法案的核心基於以下三大原則：

此外，DORA法案的目標是促進企業制定整體風險管理，確保數字運營彈性。企業需要重新審視ICT風險管理，並將其納入數字運營彈性能力建設。ICT風險管理和監測應包括以下內容：

支柱2

ICT第三方風險管理和監督框架

近年來，金融實體越來越多地將IT服務外包，這勢必會出現合同關系不平衡的現象，如小型金融實體面對的是體量相對較大的ICT服務供應商，幾乎沒有談判的余地。為了使ICT服務供應商能夠更好地考慮金融部門的特殊性，提供適應性更強的服務，DORA法案為關鍵的ICT服務供應商建立了壹個清晰的法律監管框架：

DORA法案包括了終止條款和退出策略在內的標準合同條款，最終將實現金融實體與ICT服務供應商簽訂合同的標準化流程。第三方服務風險的新要求將迫使ICT服務供應商向金融實體提供必要信息，這為金融實體與ICT服務供應商之間的合作關系提供了保障，從而提高金融業的整體數字運營彈性。此外，如ICT服務供應商沒有達到預期的要求，監管者也有權采取後續行動，使金融實體可以選擇更換ICT服務供應商。

支柱3

定期開展數字運營彈性測試

作為數字運營彈性總體戰略和ICT風險管理框架的重要組成部分，金融實體應確定、維護和審查壹個健全且全面的數字運營彈性測試方案、完善的危機模擬演習；應定期在真實條件下測試、評估發生事故或網絡攻擊時ICT的數字運營彈性能力和安全性，以便識別存在的差距。

金融實體應根據自身的規模、活動和風險狀況，定期進行數字運營彈性測試，如漏洞掃描、滲透測試，同時建立業務連續性計劃（Business Continuity Plan，以下簡稱“BCP“）和災難恢復計劃（Disaster Recovery Plan，以下簡稱”DRP“）管理體系並定期進行相應演練。金融實體還必須測試其ICT工具和系統，而那些被主管當局指定為重要和網絡安全成熟度高的金融實體則需要進行高級測試，如威脅引導滲透測試（Threat-Led Penetration Testing，TLPT）。

結合嚴格的BCP和DRP要求，數字運營彈性測試可能會發展成為監管審查的壹個重要領域，並迫使金融實體開發更廣泛、更準確的測試和情景分析能力。

支柱4及支柱5

ICT事件的分類管理與網絡威脅信息共享

作為DORA法案的其中兩大支柱，其目的是為了統壹和簡化重大ICT事件的報告程序，提升網絡威脅信息共享效率。雖然歐盟各成員國有其自身頒布的二級法案來判定事件是否將被視為重大事件，但這種信息共享方式必須建立和依賴於壹個安全、可信的框架，為金融實體、第三方和主管當局之間提供威脅信息共享和集中報告。與此同時，統壹網絡威脅信息的報告方式可以幫助企業降低溝通成本，在發生系統性事件時迅速做出反應，以及在事後調整安全策略以適應未來潛在的威脅。

關於網絡安全事件的分級分類管理及報告，類似的要求還有美國證券交易委員會（Securities and Exchange Commission，SEC）早前頒布的網絡安全事件披露新規，普華永道就該新規曾做過解讀——解讀美國證監會SEC網絡安全新規：在美上市公司需提前蓄力，積極應對網絡安全披露要求，並針對上市公司的網絡安全治理和能力提出了短期、中期及長期規劃建議。由此可見，網絡安全事件分類管理和網絡威脅信息共享早已是世界各國關註的趨勢，而非單壹國家的要求，歐盟DORA法案要求更是順應了這個安全機制的全球化趨勢。

普華永道服務方案

普華永道網絡安全與隱私合規團隊與歐洲所合作，對DORA法案做出解讀，並結合多年來在金融、科技、媒體和電信行業的最佳實踐，建議歐盟範圍內的金融實體以及向這些金融實體提供ICT服務的第三方服務供應商立刻采取行動以應對DORA法案的要求。

普華永道網絡安全與隱私合規團隊將根據DORA法案提出的要求，對企業目前的數字運營彈性成熟度進行評估，幫助公司識別並解決潛在的數字運營彈性風險，確保公司能夠及時適應新法案的要求。同時，普華永道將協助公司制定應對計劃，幫助公司明確必要的整改措施，並制定具體的行動計劃和時間表，確保公司能夠按質、按期完成新法案的相關要求。

因此，普華永道將以DORA法案為出發點，結合企業運營模式、規模等實際情況，識別企業現有差距及潛在風險，為企業提供符合DORA法案的全方位安全評估及規劃服務：

同時，對於難以同時完成五個方面的規劃和整改的企業，普華永道可針對企業弱項，個性化提供分類服務：

普華永道助力金融企業出海合規

除DORA法案外，越來越多的海外法案的相繼出臺，中國金融企業開拓海外市場面臨的安全合規監管日漸趨嚴。而世界各國的文化差異及法律特色不同，使企業需要適應不同國家對待安全合規的態度。與此同時，中國出海金融企業在進行跨境活動時，在被像如歐盟推出的《數據保護指令》、《反洗錢反恐怖融資條例》、《支付服務指令II》等海外法律法規約束的同時，也會被中國其他法律如《網絡安全法》、《個人信息保護法》、《促進和規範數據跨境流動規定》所約束，出海金融企業已邁入雙向合規的強監管時代。可以預見，企業必將面臨系統性的數據、網絡安全合規監管，而如何防範網絡風險，或許是比業務先行更為重要的議題。

多年來，普華永道致力於網絡安全行業的深耕與發展，擁有行業內豐富的網絡安全服務及合規經驗，與監管機構、政策制定者和商業領袖共同打造合作生態聯盟，幫助多家出海金融企業完成強監管下的雙向合規及企業網絡安全建設規劃，讓企業在瞬息萬變的全球發展中順應時代步伐，在復雜多變的市場和日趨嚴峻的網絡威脅中保持健康穩定運行，為企業保駕護航。