デジタル・オペレーショナル・レジリエンス法(DORA)とは何ですか?
デジタル・オペレーショナル・レジリエンス法(DORA)は、欧州連合(EU)の金融業界におけるデジタルリスク管理を変革するための規制です。
具体的には、DORAは銀行、保険会社、投資会社、その他の金融部門の組織のITセキュリティを強化することを目的としています。
EUの金融企業にとって、DORAを単なる規制要件としてではなく、戦略的な必須事項として理解し、準備することが、ITディレクターや経営幹部に求められています。
-
- 罰金:
- 消費者の信頼の毀損:コンプライアンス違反は、サイバーインシデントに対する脆弱性の増大につながり、データ漏洩やサービスの中断につながる可能性があります。こうした事態は、組織の評判を傷つけ、消費者の信頼に影響を与え、顧客離れや市場シェアの低下につながる可能性があります。
- 個人の刑事責任:重大な過失や故意の違法行為があった場合、上級管理職や取締役は個人的な刑事責任を問われる可能性があります。これには、個人の罰金、職業上の資格剥奪、極端な場合には禁固刑が含まれる可能性さえあります。
このような高いリスクを考えると、ITディレクターやC-suiteエグゼクティブは、DORAを単なる規制上の要件ではなく、戦略上の必須事項として理解し、準備する必要があります。
DORAは、欧州委員会の広範なデジタル金融戦略の重要な要素です。
その目的は以下の通りです:
- 金融セクター内のICTリスク要件を統合し、アップグレードすること
- クラウドプラットフォームを含むICTプロバイダーの枠組みを確立すること
- サイバー脅威に対する認識を高めるためのインシデント報告メカニズムを構築すること
- デジタル運用の回復力テストを強化すること
EU全体でこれらの要件に一貫性を持たせることで、DORAは金融システムの全体的な安定性と完全性を高めるのに役立ちます。
DORAが重要な理由
DORAは、EUの金融セクター全体でICTリスク管理に対する統一的なアプローチを構築するという大きな転換を意味します。
- 包括的な範囲 DORAは、銀行、保険会社、投資会社、金融サービスプロバイダーなど、幅広い金融事業体に適用されます。
- 調和
- 調和 は、EU全体で一貫したICTリスク管理要件を確立し、現在のパッチワークのような各国規制に取って代わります。
- 第三者監督: DORAは、クラウドサービスを含む重要なICT第三者サービスプロバイダーを監督する枠組みを導入します。
- インシデント報告: 主要なICT関連インシデントの標準化された報告メカニズムを義務付けます。
- 回復力テスト: DORAは、デジタル運用の回復力の定期的なテストを義務付けています。
DORA の主要分野
1.ICTリスク管理
DORAは包括的なICTリスク管理の枠組みを義務付けています。これには以下が含まれます:
- ICT関連のビジネス機能、リソース、依存関係を特定し、文書化すること
- 継続的なリスク評価と軽減戦略
- 保護と予防手段を実施すること
- 検知能力を開発すること
- 対応と復旧手順を確立すること
2.インシデント報告
ICTインシデントを監視し、記録するプロセスを実施すること。DORAによって指定された基準を用いて、これらのインシデントを分類することが求められます。
3.対応と復旧
対応と復旧の能力で重要な点は以下の通りです。
インシデント対応計画:
- ICT関連のインシデントに対応し、そこから復旧するための包括的な計画を策定、文書化、実施すること。
- これらの計画には、インシデントの迅速な検出、分析、封じ込め、緩和の手順を詳述する必要があります。
事業継続:
- 事業継続方針と災害復旧計画を維持します。
- これらの計画の定期的なテストは、実効性を確保するために必須です。
バックアップ手順:
- DORAは、重要なシステムとデータの定期的なバックアップを義務付けています。
- 具体的な要件には、定義されたバックアップ頻度、安全なオフサイト保管、バックアップ復元プロセスの定期的なテストが含まれます。
復旧時間目標(RTO):
- 定義された時間枠内でシステムを復元する能力を確立し、定期的にテストすること。
- 運用の中断を最小限に抑え、インシデントからの迅速な回復を確実にします。
通信プロトコル:
- インシデント発生時の内部および外部との通信のための明確な手順を確立する必要があります。
- 関係当局や利害関係者への通知など、タイムリーで効果的な対応を確実に行います。
インシデント発生後の分析:
- 重大なインシデントが発生した後、組織は徹底的な根本原因の分析を行わなければなりません。
- 学んだ教訓は、リスク管理フレームワークの改善に取り入れるべきです。
4.デジタル運用の回復力テスト
DORAは、デジタル運用の回復力をテストするための調和されたフレームワークを導入しています:
- すべての事業体に対する脆弱性評価やネットワークセキュリティスキャンなどの基本テスト
- 重要な事業体に対する脅威主導の侵入テスト(TLPT)を含む高度なテスト
5.ICTサードパーティリスク管理
サードパーティサービスプロバイダーへの依存度が高まる中、DORAは以下を作成します:
- ICTサードパーティサービスプロバイダーとの契約に盛り込むべき原則
- 重要なICTサードパーティサービスプロバイダーに対する新しい監視の枠組み
Source:マッキンゼー
6.情報共有
金融機関の間でサイバー脅威の情報やインテリジェンスを交換し、集団としての回復力を高めること。
範囲と適用
DORAは、以下を含む、EUで活動する幅広い金融機関に適用されます:
- 信用機関
- 決済機関
- 電子マネー機関
- 投資会社
- 取引所
- 保険および再保険事業
- 信用格付け機関
- 法定監査人および監査法人
- 重要なベンチマークの管理者
- 口座情報サービスプロバイダー
- 暗号化アセット・サービス・プロバイダー
- 中央証券保管機関
- データ報告サービス・プロバイダー
- 第三者サービス・プロバイダー
コンプライアンスのための措置
DORAの要件を満たすために、CIO、CTO、ITディレクター、およびその他の重要なIT担当者は、以下のアクションに重点を置く必要があります:
- 現在の枠組みを評価します:
- ICTリスク管理を強化します:
- インシデント報告メカニズムの開発:主要なICT関連インシデントを検出し、必要な期間内に報告するためのシステムと手順を確立すること
- 回復力テストの実施:脆弱性評価や侵入テストを含む、定期的な回復力テストプログラムの実施
- 第三者との契約の見直し:
- 監査に備える:ICTサービスプロバイダとの契約を評価し、更新して、それらが要件を満たしていることを確認します:
- 事業継続およびデータ保護対策の実施:第10条および第11条の要件に従って、事業継続計画および災害復旧計画を策定し、定期的にテストし、安全なバックアップ手順を確立し、データ保護を強化し、危機コミュニケーションプロトコルを作成し、スタッフトレーニングを実施する
期限とコンプライアンス
DORAは2023年1月16日に発効しました。しかし、金融機関は2025年1月17日までに完全なコンプライアンスを確保しなければなりません。
今すぐ行動することの重要性
2025年というのは遠いことのように思われるかもしれませんが、DORAが要求する変更の範囲と深さは、早期の行動を必要としています。今準備を始めることで、より良い立場に立つことができます:
- コンプライアンスにかかるコストを長期にわたって分散させる
- 強力なデジタル回復力を示すことで競争上の優位性を獲得する
- 土壇場で慌てず、潜在的なコンプライアンス違反
- EU金融システムの全体的な安定性と信頼性に貢献する
さらなる情報
ボグダンは、15年以上にわたってVAR、チャネル、販売パートナーと協力してきました。この間、彼はオンプレミスとパブリッククラウドの両方の環境におけるデータ保護、ディザスタリカバリ、移行、バックアップ、ランサムウェア保護に対する深い理解と業界の視点を培ってきました。アトラシアンのチャネルおよび再販パートナーやその顧客と密接に協力し、マルチクラウドや SaaS 環境向けの専用データ保護および DR ソリューションの価値と利点を実証しています。
Get the newest insights and updates
Thank you for submitting the form!
The file should open in a new tab. If it doesn't, click the button below for direct download.
Thank you for submitting the form!
Webinar video is now available below.