DORA，即數字運營彈性法案，是旨在提高金融服務部門的網絡安全和運營彈性的立法草案。它補充了現有法律，例如網絡和信息安全指令 (NISD) 和通用數據保護條例(GDPR)。

數字運營彈性法案 (DORA) 將如何影響我的組織？

數字運營彈性法案定義了向金融機構提供的服務的臨界閾值。如果一個組織是金融機構的直接服務提供商，并且其服務符合這些門檻，那么該公司將受到 DORA 的約束。這意味著該組織將受到相關金融監管機構的直接監督。對于服務不符合 DORA 門檻的組織，該規定仍然適用，但不需要直接監督。相反，該組織的客戶將被要求要求某些合同條款以符合 DORA 的要求。

例如，《數字運營彈性法案》（DORA）要求金融機構在特定的發現窗口內向監管機構報告數據泄露事件。金融機構將被要求對其供應商和服務提供商以及部分合同義務施加相同的違規報告要求。如果組織不愿意接受這些條款，則 DORA 禁止金融機構與他們開展業務。

數字運營彈性法案規定了金融機構對其供應商的要求以及這些供應商必須具備的安全控制措施。由于 DORA 旨在提高整個金融業的彈性，這些義務和要求很可能會通過整個供應鏈傳遞。

數字運營彈性法案 (DORA) 的主要要求

DORA 的主要目標是確保金融部門的運營彈性。作為其中的一部分，《數字運營彈性法案》涵蓋的組織需要實施風險管理流程，以幫助識別潛在網絡威脅的潛在漏洞，并制定政策和安全控制措施來防范這些風險。

DORA 創建了金融機構及其供應商需要遵循的規則框架，以實現運營彈性。一些關鍵目標和要求包括：

• 風險管理和治理： DORA 制定了金融部門風險管理的框架和指南。這些指南旨在幫助組織建立更成熟的風險管理計劃并提高運營彈性。
• 彈性測試： DORA 建議涵蓋的組織根據其風險評估實施彈性測試計劃。這有助于在對運營構成威脅之前識別和糾正任何問題。
• 情報共享：在金融行業工作的許多網絡威脅參與者將同時針對多個組織。通過鼓勵共享威脅情報，DORA 幫助整個行業更加了解并準備好面對持續的網絡威脅。
• 供應鏈管理： DORA 對金融機構與其供應商的合同關系提出了要求。此外，金融機構需要制定戰略來管理這些供應商造成的風險，包括退出關系和轉向替代品的可能性。
• 事件報告： DORA 擴大了事件報告的范圍，并試圖簡化報告過程。通過要求更快的報告速度，DORA 還鼓勵快速事件調查和響應，這有助于減輕違規的影響。此外，違規報告可用于幫助檢測其他網絡中的未知入侵。
• 審計訪問： DORA 法規使監管機構（以及供應商的金融機構）能夠對金融行業的整個供應鏈進行審計。這有助于推動合規性，但意味著組織必須能夠按需生成報告。
• 回顧性分析：大多數組織都試圖從自己的內部事件中學習，但 DORA 也鼓勵根據外部事件研究和修改政策。這是為了防止多個組織成為相同類型攻擊的受害者。

數字運營彈性法案的確切要求尚不清楚，因為它仍處于草案狀態。但是，一旦法律獲得批準，立即開始滿足這些要求的流程將簡化合規性。