欧盟新法规旨在加强金融公司(简称 DORA)的数字运营弹性,这对一些公司提出了很多要求,哪些人受到了影响,需要做什么?我在我的博客文章中澄清了这些问题。
DORA 自 2023 年 1 月 17 日起生效,但两年后才成为强制性规定。GDPR 的引入也类似——首先是引入,稍后是遵守义务。
如果您想在 2025 年直接提交该主题以重新提交,您应该记住 GDPR 截止日期前的忙碌几个月,并现在更好地检查 DORA 对公司的实际相关性如何,因为新法规可能会对某些公司产生很大影响涉及的工作。
“数字化运营弹性”是什么意思?
金融公司要上班!这是通过强大的 ICT 系统、流程以及与服务提供商的协议来确保的。
该标准以更为复杂的方式阐述了这个问题:数字运营弹性是指“金融公司 购买比特币电子邮件列表 通过使用第三方提供的服务直接或间接建立、确保和验证其运营完整性和运营可靠性的能力”。 - 各领域的各方 ICT 服务提供商 确保金融实体使用的网络和信息系统安全并支持持续提供金融服务及其质量(包括在发生中断时)所必需的 ICT 相关技能。(第 3 条第 1 条 DORA)。
DORA 监管什么?
DORA 制定了“支持金融公司业务流程的网络和信息系统安全的统一要求”(DORA 第 1 条第 1 款)。这些包括:
1.对金融公司的要求。
一个。信息通信技术风险管理
b.向有关当局报告严重的 ICT 相关事件和支付相关事件以及重大网络威胁
c.数字化运营弹性测试
d.共享与网络威胁和漏洞相关的信息和情报
e. ICT第三方风险健全管理措施
2. 关于第三方ICT服务提供商与金融公司之间合同安排的要求。
3.金融企业关键第三方ICT服务提供商监管框架建立和实施的规则。
4. 主管机关之间的合作规则以及主管机关对本条例涵盖的所有事项进行监督和执行的规则。
涉及的演员有哪些?
整个董事会有三个活跃的政党:
1. 金融公司
2. 第三方ICT服务提供商
3. 监管机构
1.已经必须满足 BaFin 对信息安全的高要求的金融公司(银行、保险公司、支付服务提供商、资本管理公司)。
这些公司熟悉 BaFin (xAIT) 适用的“IT 监管要求”,通常拥有针对信息安全、风险、紧急情况和服务提供商的有效管理系统,并运行协调的 IT 服务管理。
DORA 在现有的学科领域中添加了各个方面。挑战在于评估新要求并将其准确地集成到现有管理系统中。
2.金融公司目前只需保证基本安全。
在这里,对所有要求进行完整的检查非常重要。事实证明,所谓的准备情况检查对于此目的是有效的,他们使用有针对性的问题来对需求进行结构化处理,以制定行动计划。
该标准定义了比例阈值,以保持金融公司的成本可实现。
据此,有
雇用人数少于 10 人且年营业额或资产负债表总额不超过 200 万欧元的微型企业。
雇用 10 名或以上但少于 50 人且年营业额或资产负债表总额超过 200 万欧元但不超过 1000 万欧元的小型企业。
雇用 50 至 250 名员工且年营业额不超过 5000 万欧元和/或年度资产负债表总额不超过 4300 万欧元的中型公司。
所有超过中型公司要求的公司。
微型企业尤其受益于简化的 ICT 风险管理框架,除其他外,没有义务设立监督 ICT 第三方服务提供商协议的职能,每年至少审查一次 ICT 风险管理框架,对遗留ICT系统进行定期风险分析,定义危机管理职能,冗余维护ICT能力并建立全面的数字运营弹性测试计划。