Help net security發佈了一篇組織需要了解《數位營運彈性法案》(DORA) 的哪些訊息
根據Kris Lovejoy,Kyndryl的全球資安與韌性領袖,歐洲聯盟的數位運營韌性法案(DORA)將於2025年1月17日正式生效。DORA是一套針對歐盟金融服務機構的綜合性法規,旨在加強和標準化企業的資訊安全韌性要求。
DORA適用於歐盟27個金融實體(包括銀行、保險公司、信用機構等)以及支援它們的第三方服務提供商,例如Kyndryl。雖然明年的一月似乎遙遠,但在金融服務資訊和通訊技術(ICT)的複雜世界中,一年實際上並不足夠。
受影響的公司必須加強(或建立)、壓力測試並實施關鍵系統和協議,以保護操作和個人數據免受不良操縱、破壞或竊取。如果未能進行這些措施,將面臨制裁和處罰,甚至可能涉及高層管理人員和董事會,並造成業務和聲譽損害。
一些行業估計顯示,超過90%的金融服務機構高度依賴其IT運作。而現在,法規遵循(以及相關罰款和法律費用)和資訊安全保險的後果將加劇資訊安全事件的影響。與此同時,不良的資訊安全事件在過去兩年中已經破壞或中斷了大多數金融服務機構的運營,每次事件的平均成本可能高達數百萬美元,這對DORA所涵蓋的中小型金融機構來說是一個沉重的負擔。
在接下來的一年內,歐洲監管當局(ESAs)將進一步努力制定與DORA的五個支柱有關的法規技術標準(RTSs)。到2024年1月17日,ESAs將向歐洲委員會提交第一批RTSs,涉及風險管理工具、方法、流程和政策;ICT管理框架;ICT相關事件和網絡威脅的分類;以及ICT第三方風險的管理。
詳情請看: