“JETs启程”:欧洲数字监管风暴来袭,全球ICT供应商的钱包与合规日历已被改写
昨天,欧洲三大监管局(EBA、EIOPA、ESMA,统称ESAs)联合发布《DORA关键第三方ICT服务供应商监管活动指南》。文件不长,却像一张精确到分钟的作战图:2025年10月公布首批CTPP名单,2026年2月起,跨境“联合检查组”(JET)将带着取证工具直接走进机房。
一、谁会被“点名”
根据DORA第31条及配套授权法规,触发以下任一条件即进入候选池:
-
为10%以上欧盟金融机构提供支持“关键或重要功能”的ICT服务;
-
服务对象占欧盟银行总资产10%以上;
-
无替代供应商比例≥10%;
-
迁移难度极高。
2025年时间轴
4–5月:金融机构向本国监管局提交信息登记册(RoI);
6–7月:ESAs跑模型打分;
7月底:潜在CTPP收到“预通知函”;
8–9月:6周“申辩窗口”;
10月:最终名单公开,立即收取首年监管费(预计每家120–150万欧元)。
二、JET怎么查
• 文档突袭:可发出不限次数的“信息请求”(RfI);
• 现场驻点:最长两周,含源代码抽查、灾备演练测试;
• 专题扫荡:跨供应商横向对比,如“云多活架构成熟度”;
• 整改追踪:60天内必须书面接受或反驳监管建议,否则可能被公开通报。
三、非欧盟供应商的必做清单
-
在欧盟设“单一联络子公司”,授予董事会级签字权;
-
建立实时数据门户,确保JET可远程调用日志、变更记录;
-
预留独立会议室供12名监管员常驻;
-
预留预算:2025年均摊费+可能的外部顾问费(多数机构已预提200–300万欧元)。
四、市场早筛表(基于公开数据)
• AWS:占欧盟银行云支出约35%,2024年曾发生都柏林可用区故障;
• Microsoft Azure:28%,Teams深度嵌入交易室语音;
• Google Cloud:12%,数据驻留选项有限;
• IBM/Red Hat:9%,大型机外包仍难替代;
• 阿里云:不足2%,但地缘政治敏感度高。
五、高管金句
EIOPA主席Petra Hielkema在5月闭门会上直言:“过去是各国问卷,现在我们要带着U盘进门。”
结语
10月名单公布后,首批CTPP需在60天内缴清费用并迎接首轮JET面谈。若你的客户名单里有欧盟银行、保险或交易平台,现在就该把DORA写进下一次董事会材料,而不是等到布鲁塞尔的敲门声。
请先 登录后发表评论 ~