《银行面临欧盟严格的新安全标准--它们的技术供应商也在接受审查》

— CnBays.cn湾区中国 | 【睿问财讯-国际】

导读：

• 到 2025 年 1 月，银行及其技术供应商必须遵守一项名为 DORA 的欧盟新法律。这将有助于防止未来发生重大 IT 中断。

• 在一次错误的 CrowdStrike 软件更新导致全球大范围技术中断后，金融公司降低第三方技术供应商风险的重要性变得更加突出。

• 金融服务公司及其数字技术供应商正面临着巨大的压力，他们必须遵守欧盟新出台的严格规定，这些规定要求他们提高网络复原力。
  

到明年年初，金融服务公司及其技术供应商将必须确保自己符合欧盟即将出台的一项名为 DORA 的新法律，即《数字运营弹性法案》

媒体简要介绍了您需要了解的有关 DORA 的信息，包括 DORA 是什么、为什么重要以及银行如何确保做好准备。

什么是 DORA？

DORA 要求银行、保险公司和投资机构加强 IT 安全。这项欧盟法规还旨在确保金融服务业在运营受到严重破坏时能够恢复正常。

这种中断可能包括导致金融公司计算机关闭的勒索软件攻击，或迫使公司网站离线的 DDOS（分布式拒绝服务）攻击。

该法规还旨在帮助企业避免重大故障事件，例如网络公司 CrowdStrike 上个月造成的历史性 IT 崩溃。上个月网络公司 CrowdStrike 所引发的历史性 IT 灾难，当时该公司发布的一个简单软件更新就迫使微软的 Windows 操作系统崩溃。

多家银行、支付公司和投资公司--从摩根大通银行和桑坦德银行到 Visa和嘉信理财- 都无法提供服务。这些公司花了几个小时才恢复对消费者的服务。

今后，这种事件将属于服务中断的类型，将面临欧盟新规则的审查。

金融科技公司 Broadridge International 总裁 Mike Sleightholme 指出，DORA 的一个突出特点是，它不仅关注银行为确保恢复能力所做的工作，还密切关注公司的技术供应商。

根据 DORA，银行将被要求进行严格的 IT 风险管理、事故管理、分类和报告、数字运营复原力测试、与网络威胁和漏洞有关的信息和情报共享，以及管理第三方风险的措施。

企业将被要求对外部公司外包关键或重要业务功能的 "集中风险 "进行评估。

这些 IT 供应商通常为客户提供 "关键的数字服务"，思科旗下互联网质量监控公司 ThousandEyes 总经理 Joe Vaccaro 说。

他告诉媒体："这些第三方供应商现在必须成为测试和报告流程的一部分，这意味着金融服务公司需要采用解决方案，帮助他们发现和映射这些有时隐藏的供应商依赖关系。

Vaccaro 补充说，银行还必须 "扩大能力，不仅要确保自己拥有的基础设施的数字体验交付和性能，还要确保自己没有的基础设施的数字体验交付和性能。

法律何时适用？

DORA 于 2023 年 1 月 16 日生效，但欧盟成员国要到 2025 年 1 月 17 日才能执行这些规则。

欧盟之所以优先考虑这些改革，是因为金融行业越来越依赖技术和科技公司来提供重要服务。这使得银行和其他金融服务提供商更容易受到网络攻击和其他事件的影响。

Sleightholme告诉媒体：现在有很多人关注第三方风险管理。银行在其技术基础设施的重要部分使用第三方服务提供商。

增强恢复时间目标是其中重要的一部分。他补充说："这确实是关于技术安全的问题，尤其关注从网络事件中恢复网络安全。

过去几年来，欧盟的许多数字政策改革都倾向于关注企业自身的义务，以确保其系统和框架足够强大，能够防止黑客或未经授权的个人和实体丢失数据等破坏性事件。

例如，欧盟的《通用数据保护条例》（GDPR）要求公司确保其处理个人身份信息的方式是在征得同意的情况下进行的，并且在处理这些信息时要采取足够的保护措施，以最大限度地降低这些数据在外泄或泄漏时被暴露的可能性。

DORA 将更多地关注银行的数字供应链--这对金融公司来说是一种新的法律动态，可能不太适应。如果公司未能遵守规定怎么办？

对于违反新规定的金融公司，欧盟当局将有权对其处以最高相当于其全球年收入 2% 的罚款。

个人管理者也可能被追究违规责任。对金融实体内个人的制裁可高达 100 万欧元（110 万美元）。

对于 IT 供应商，监管机构可处以高达上一营业年度全球日均收入 1%的罚款。企业还可能在长达六个月的时间内每天被罚款，直到他们实现合规为止。

被欧盟监管机构视为 "关键 "的第三方 IT 公司可能面临高达 500 万欧元的罚款，如果是经理个人，则最高罚款额为 50 万欧元。

这比 GDPR 等法律的严厉程度略低，根据 GDPR，企业最高可被处以 1000 万欧元（1090 万美元）或全球年收入 4% 的罚款，以金额较高者为准。

安全软件公司 Proofpoint 的欧洲、中东和非洲网络安全策略师卡尔-伦纳德（Carl Leonard）强调说，刑事制裁可能因成员国而异，这取决于欧盟各国在各自市场上如何应用这些规则。

伦纳德补充说，DORA 还要求在对违法行为进行处罚时遵循 "相称性原则"。

这意味着，任何针对法律失误的应对措施都必须平衡企业在加强内部流程和安全技术上所花费的时间、精力和金钱，以及他们所提供服务的关键程度和他们试图保护的数据。

银行及其供应商准备好了吗？

网络安全公司Okta的欧洲、中东和非洲地区首席安全官斯蒂芬-麦克德米德（Stephen McDermid）告诉CNBC，许多金融服务公司已经优先考虑利用现有的内部运营弹性和第三方风险计划来符合DORA，并 "找出他们可能存在的任何差距"。

他补充说："这正是 DORA 的初衷，即在单一监管机构下对许多现有治理计划进行调整，并在欧盟范围内实现统一。"

数据清理公司 Blancco 副总裁兼国际部总经理 Fredrik Forslund 警告说，虽然银行和技术供应商在遵守 DORA 方面取得了进展，但仍有 "工作要做"。

Forslund说："我们现在是6分，正在努力争取达到7分"。

他说："我们知道，我们必须在 1 月前达到 10 分，不是每个人都能在 1 月前达到 10 分"。

CnBays.cn湾区中国|【睿问财讯—国际】综合国内外权威财经资讯，部分国际内容由浦诺英英文精英翻译供稿，睿问财讯编辑整理。来源：网络；图源：网络

【声明】：Cnbays湾区中国 | 【睿问财讯】立足湾区，面向世界，关注产业，助力企业。本网站中英文及图片内容版权属原作者所有，本文转载、摘编、引用、翻译、编辑整理等均出于传播财经等信息之目的和需要，CnBays.cn湾区中国 | 【睿问财讯】刊发所有内容不代表本网任何观点，也不构成任何投资建议。有来源标注错误或文章侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢

联系：ReveMgt_Express@163.com