遵守欧盟数字运营弹性法案 (DORA) 的最后期限已于今天(1 月 17 日)过去。专家警告说,金融机构必须解决其网络基础问题,而不仅仅是遵守新法规。
DORA 旨在解决金融实体 ICT 基础设施面临的威胁,并增强其抵御破坏的能力。
该法案于 2023 年 1 月生效,涉及网络弹性、可审计性以及金融机构和第三方软件和 IT 服务提供商在这些服务支持业务运营时的共同责任等各个要素。
金融机构的整个链条(包括第三方服务)必须具备弹性,因为银行和其他公司在遭受网络漏洞时寻求减少停机时间和其他潜在中断。
根据 SecurityScorecard 的数据,2023 年 8 月至 2024 年 8 月期间,98% 的欧盟顶级公司遭遇了涉及第三方供应商的违规行为。
根据 DORA,金融机构需要根据业务影响和风险水平来识别和评估其使用的第三方服务提供商的重要性。
关键时刻
Dynatrace 产品组合副总裁 Bob Wambach 表示,DORA 最后期限的过去标志着金融机构的一个“关键时刻”,他补充说,合规性对于“维持信任至关重要”并促进欧洲内外的客户关系。
然而,万巴赫也警告说:“合规只能让银行走这么远。欧洲和英国的金融服务公司必须做好准备,不仅要满足 DORA 的基准要求,还要让其团队能够立即响应运营中断和网络事件。这意味着超越复选框合规措施。
“组织必须优先考虑对其服务的持续测试,并首先拥抱弹性文化。融合可观测性和安全数据以支持实时、人工智能驱动的异常检测,是在风险升级为违反合规阈值并让客户面临风险的全面事件之前快速评估风险的最佳方法。
“欧盟监管机构将如何严格执行有关 DORA 的规则还有待观察,但有一点是肯定的:没有一家金融机构希望成为第一个达不到要求的人。”
这种超越合规性的观点得到了 Resilience 客户参与总监 Si West 的赞同,他警告说,新规定将对小型金融机构产生不成比例的影响,这些机构“往往难以在监管机构、董事会成员和其他利益相关者面前保持透明度,同时保障安全”。敏感的操作细节。”
他补充说,企业领导者需要仔细考虑供应商风险管理。最近发生的事件,包括去年的 Crowdstrike 中断以及 MOVEit 和 Ivanti 违规事件,说明了第三方系统如何危害内部安全框架。
West 总结道:“随着 DORA 为运营弹性设定了更高的标准,金融机构必须超越合规性,以保护其数字基础设施、保护客户数据,并在面对新威胁时保持敏捷。”
朵拉猛然关门
欧盟表示,既然最后期限已过,被发现违反 DORA 的公司将没有余地。那些没有充分做好合规准备的企业将很容易受到制裁,包括最高相当于其全球年营业额 2% 的罚款,对于个人而言,最高罚款为 1,000,000 欧元。
欧盟实际上将如何严格执行该立法,或者谁将成为新规则下第一个受到惩罚的人,还有待观察,但影响可能不仅仅是金钱处罚。
Yubico 首席解决方案工程师 Nic Sarginson 强调了不合规风险。
Sarginson 表示:“不遵守 DORA 可能会对金融公司及其技术提供商产生重大影响。”
“虽然具体处罚尚未概述,但罚款很可能会与违规的严重程度成正比,就像 GDPR 一样。如果情况严重或屡屡发生,当局甚至可能暂停或终止合同。
“然而,财务后果只是一方面,因为不遵守规定的组织还面临着严重声誉受损以及失去客户和合作伙伴信任的风险,而在这个行业中,这种情况极难恢复。
“实现 DORA 合规性并非一朝一夕的任务。该法规的范围广泛,包括事件报告和第三方风险管理的要求,需要持续的努力和精心的规划。
“尽管如此,优先考虑网络卫生和强大的身份验证实践不仅可以确保合规性,而且可以支持卓越的网络安全文化,重新定义企业如何实现弹性和风险管理。”
加密货币和云
Emma 首席执行官 Dmitry Panenkov 警告称,新规则可能会给运营混合云或多云设置的组织带来具体挑战,他解释说这些环境通常缺乏“全面风险管理和合规监督所需的集成”。
“另一个关键领域是确保他们拥有专用且成熟的数字弹性框架。组织必须准备好进行所需的年度评估和测试,但许多组织仍在构建履行这些义务所需的能力和流程。
他补充道:“这包括增强实时风险缓解策略,并确保数据安全流程稳健,能够承受运营和监管审查。”
Bitpace 首席产品官 Can Taner 表示,加密货币公司还必须考虑其合规性,从事加密货币和其他数字货币业务的公司也应该考虑这一点。
“DORA 的影响最终将预示着行业透明度的新水平,并证明是建立消费者对数字支付信任的积极一步。 DORA 可以帮助提供商为简单的无边界金融商务奠定基础,使接受、发送和存储数字支付尽可能顺利。”Taner 说。
“在数字化状态下,商业需要不断传输数据,在网络威胁和中断不断增加的时代,客户需要确保他们的资金处于安全的手中。
“这就是为什么 DORA 非常重要,它鼓励公司采取更主动的安全方法,制定强大的数据策略,而不是通过分配资本来弥补损失来降低运营风险。
“特别是对于加密货币而言,DORA 与最近推出的 MICA 指南相结合,还将提供使该资产类别合法化所需的强大监管框架,使其成为企业可行且值得信赖的支付解决方案。
他总结道:“当许多欧洲企业因各种地缘政治和宏观经济因素而面临运营挑战和高成本时,加密货币为他们提供了消除障碍并继续全球贸易所需的关键替代网关。”
