欧盟《数字运营韧性法案》(DORA)由欧盟委员会于 2020 年首次提出,现已在欧盟单一市场正式适用。
DORA 建立了一个全面的欧盟范围内的监管框架,旨在解决数字运营韧性方面分散且针对特定行业的规则问题。撰写本文时,金融机构受多种法规约束,包括《金融工具市场指令 II》(MiFID II)、《资本要求指令》(CRD)、《支付服务指令 2》(PSD2)以及欧洲监管机构(ESAs)的指引。然而,这些法规在应用上存在不一致性,且部分指引不具有约束力,造成了监管的不确定性。
DORA 旨在通过提供一套统一的要求来解决这些问题,提高监管的清晰度,并确保金融行业具备更强的运营韧性。
该法规对众多金融实体施加了义务,包括银行、支付机构、电子货币机构、投资公司、加密资产服务提供商以及中央证券存管机构。它还适用于保险和再保险企业、另类投资基金管理公司和可转让证券集合投资计划(UCITS)管理公司,以及信用评级机构和众筹服务提供商。
DORA 的适用范围还扩展到非金融实体,特别是为金融机构提供信息与通信技术(ICT)服务的提供商。它们所承担义务的程度取决于在新框架下是否被归类为关键第三方提供商(CTPPs)。
欧盟《数字运营韧性法案》(DORA)由欧盟委员会于 2020 年首次提出,现已在欧盟单一市场正式适用。
对金融实体的要求
受 DORA 约束的金融机构必须采取措施增强运营韧性,包括:
受 DORA 约束的金融机构必须采取措施增强运营韧性,包括:
- 建立包含详细政策和程序的内部 ICT 风险管理框架。
- 开展风险识别、管理和报告流程。
- 进行韧性测试,例如针对较大型实体开展以威胁为导向的渗透测试。
- 管理与第三方提供商相关的 ICT 风险,并确保遵守更新后的合同义务。
对 ICT 服务提供商的影响
ICT 服务提供商主要在两方面受到影响:
ICT 服务提供商主要在两方面受到影响:
- 关键提供商:被认定为关键的实体将直接接受欧洲监管机构(ESAs)的监管,ESAs 可以进行检查、处以罚款并强制其合规。这种监管方式在监督和处罚机制上与《通用数据保护条例》(GDPR)一致。
- 非关键提供商:虽然不受直接监管,但这些提供商必须遵守金融机构施加的合同义务,而金融机构正在修订协议以符合 DORA 标准。
金融实体和 ICT 服务提供商都必须积极采取措施以满足 DORA 的要求。对于金融实体而言,这包括进行差距分析、使内部框架与新规则保持一致,以及与服务提供商重新协商合同。ICT 服务提供商,尤其是那些预计会被指定为关键提供商的,也应该修订协议,并为来自客户和监管机构更严格的审查做好准备。
