DORAの導入：CTOからの教訓

Digital Operational Resilience Act (DORA) に準拠するための旅に出るとき、多くの組織は、開始と賛同を得る初期段階が最も困難であると感じます。

私は、ZTL Payments の CTO である Pål Myren 氏と話をする機会がありました。以前ブログで紹介したように、DORAは、欧州連合（EU）の金融業界におけるデジタルリスク管理を変革するための規制です。発効は2023年1月ですが、適用は2025年1月の予定です。

Pål氏との対談では、DORAに準拠すること、そして課題を克服するために組織ができることについて教えてくれました。

Andy:Pålさん、ご自身の経歴を少し教えてください

Pål：私はノルウェーのB2Bペイテックの新興企業でCTOを務めています。ソフトウェア開発者から複数のCレベルの役職に就くまでのキャリアを通じて、私は常にコンプライアンスや規制に関する認証や証明に何らかの形で関わってきました。

Andy: DORAについて初めて聞いたのはいつですか、また、あなたの組織はいつから準備を始めたのですか

ポール：DORAについて初めて聞いたのは2年前、ノルウェーのFSAからでした。彼らは、実際に期限が設定される前に、いくつかのハイレベルな情報を提示してくれました。

Andy:DORAの導入プロセスを開始するために、組織として行った最初のステップは何でしたか？

Pål：最初のステップは、DORAが何であるかを理解し、要件に目を通し、他の規制や認証との類似点を特定することです。私はフレームワークに記載されている5つの柱を、スプレッドシートにまとめました。そして、インシデント管理、災害復旧、リスク管理の手順など、すでに導入しているものをマッピングしました。重要なのは、経営陣の賛同が必要であること、そして、これがビジネスにとって最も重要であることを理解しているCレベルの誰かが必要であることです。

DORAの5つの重要な柱は以下の通りです：

• ICTリスク管理
• サイバーインシデントの報告と対応
• 運用回復力テスト
• サードパーティリスク管理
• 情報共有
• DORAは、あなたが経験した他の管理、義務、または規制と比べてどうですか

ポール：多くの類似点があり、その多くはITに携わっていれば常識的なことです。

Andy:DORAの導入の際、各部門間のクロスコラボレーションをどのように管理・促進しましたか

Pål：クロスコラボレーションは、DORA導入プロセスにおける最大の課題でしょう。重要なのは導入です。最高の品質システムやプロセスを導入しても、それが使われなければ意味がありません。私たちは意識向上とトレーニングに重点を置きました。部門長、Cレベル、弁護士、リスク・コンプライアンス・オフィサーなど、主要な利害関係者とミーティングを開き、フレームワークについて話し合いました。また、サイバーセキュリティ攻撃をシミュレートするようなロールプレイの演習を行い、全員が自分の責任を理解していることを確認しました。

Andy: DORAの旅を始めたばかりの組織に、最後に何かアドバイスはありますか？実施と利害関係者の参加に重点を置いてください。これらの課題について部門横断的に話し始めると、規制や財務上の要件に対処できるだけでなく、文化も変わります。二極化が解消され、部門間の垣根が取り払われます。インシデントやディザスターリカバリーについて協力し合うことで、チームワークが強調され、サイロ化が解消されます。

DORAのようなフレームワークを導入する隠れたメリットの1つです。

彼の洞察は、DORA準拠に着手する際の準備、協力、実践的な実施の重要性を浮き彫りにしており、ポール氏には感謝してもしきれません。認識、トレーニング、部門を超えたコミュニケーションの育成に重点を置くことで、組織はコンプライアンスを達成できるだけでなく、文化やチームワークの向上という隠れた利益を得ることができます。

• デジタル運用回復法（DORA）とは何ですか？
• アトラシアン クラウドの DORA：An Expert Approach to Compliance
• Your guide to meeting business continuity and resilience requirements in EU regulation
• 今すぐ始めましょう！