“JETs啟程”:歐洲數字監管風暴來襲,全球ICT供應商的錢包與合規日歷已被改寫
昨天,歐洲三大監管局(EBA、EIOPA、ESMA,統稱ESAs)聯合發布《DORA關鍵第三方ICT服務供應商監管活動指南》。文件不長,卻像壹張精確到分鐘的作戰圖:2025年10月公布首批CTPP名單,2026年2月起,跨境“聯合檢查組”(JET)將帶著取證工具直接走進機房。
壹、誰會被“點名”
根據DORA第31條及配套授權法規,觸發以下任壹條件即進入候選池:
-
為10%以上歐盟金融機構提供支持“關鍵或重要功能”的ICT服務;
-
服務對象占歐盟銀行總資產10%以上;
-
無替代供應商比例≥10%;
-
遷移難度極高。
2025年時間軸
4–5月:金融機構向本國監管局提交信息登記冊(RoI);
6–7月:ESAs跑模型打分;
7月底:潛在CTPP收到“預通知函”;
8–9月:6周“申辯窗口”;
10月:最終名單公開,立即收取首年監管費(預計每家120–150萬歐元)。
二、JET怎麽查
• 文檔突襲:可發出不限次數的“信息請求”(RfI);
• 現場駐點:最長兩周,含源代碼抽查、災備演練測試;
• 專題掃蕩:跨供應商橫向對比,如“雲多活架構成熟度”;
• 整改追蹤:60天內必須書面接受或反駁監管建議,否則可能被公開通報。
三、非歐盟供應商的必做清單
-
在歐盟設“單壹聯絡子公司”,授予董事會級簽字權;
-
建立實時數據門戶,確保JET可遠程調用日誌、變更記錄;
-
預留獨立會議室供12名監管員常駐;
-
預留預算:2025年均攤費+可能的外部顧問費(多數機構已預提200–300萬歐元)。
四、市場早篩表(基於公開數據)
• AWS:占歐盟銀行雲支出約35%,2024年曾發生都柏林可用區故障;
• Microsoft Azure:28%,Teams深度嵌入交易室語音;
• Google Cloud:12%,數據駐留選項有限;
• IBM/Red Hat:9%,大型機外包仍難替代;
• 阿裏雲:不足2%,但地緣政治敏感度高。
五、高管金句
EIOPA主席Petra Hielkema在5月閉門會上直言:“過去是各國問卷,現在我們要帶著U盤進門。”
結語
10月名單公布後,首批CTPP需在60天內繳清費用並迎接首輪JET面談。若妳的客戶名單裏有歐盟銀行、保險或交易平臺,現在就該把DORA寫進下壹次董事會材料,而不是等到布魯塞爾的敲門聲。
請先 登錄後發表評論 ~