金融公司必须为所有员工以及第三方 ICT 服务提供商(如适用)制定并定期开展有关 ICT 安全和数字运营弹性的强制性培训。培训必须复杂且“适合各自的责任领域”(DORA 第 13 条第 6 款)。
ICT第三方服务提供商
除了受影响的金融公司外,DORA还要求其服务提供商确保提供稳定的服务。根据DORA第19号第3条,ICT第三方服务提供商是“提供ICT服务的公司”。
ICT服务是指“通过ICT系统向一个或多个内部或外部用户永久提供的数字服务和数据服务,包括硬件即服务和硬件服务,其中还包括硬件提供商通过软件或固件更新提供的技术支持。传统模拟电话服务”(第 3 条第 19 DORA)。
该定义相当广泛,因此建议双方都保持透明。金融公司需要了解其相关的 ICT 服务提供商,ICT 服务提供商应为他们需要满足 DORA 要求的客户做好准备。
为了完整起见,“已签订使用 ICT 服务开展业务的合同协议的金 购买比特币电子邮件列表 融实体[……]应始终完全负责遵守和履行本条例和《条例》规定的所有义务。适用的金融服务法仍然负责(DORA 第 28 1 a 条)。
因此,金融公司必须确保其ICT服务提供商(及其子服务提供商)正常运行并管理所谓的“ICT第三方风险”。
金融公司只能与遵守适当信息安全标准的第三方 ICT 服务提供商签订合同协议。金融主体在对第三方ICT服务提供商行使准入、检查和审计权利时,应当基于风险导向,事先确定审计、检查的频率和审计领域。
金融公司还确保合同协议符合规定的最低标准,并且可以终止,例如,如果风险过高。必须为支持金融企业关键或重要职能的 ICT 服务制定退出战略和计划。
监管机构
《DORA》已经出版,但尚未完全充实。 2024年1月17日,即半年后,欧洲银行业监管机构将提供技术监管标准,包括以下主题:
网络安全
防止数据入侵和滥用的保护设备
访问和访问权限的控制
检测异常活动并监控异常行为和响应过程
ICT业务连续性规划
审查信息通信技术风险管理框架
ICT 相关事件和网络威胁的分类
严重 ICT 相关事件的报告
基于 TLPT 的 ICT 工具、系统和流程的高级测试
健全 ICT 第三方风险管理的关键原则
协调开展监测活动的条件
此外,欧洲银行监管机构将第三方ICT服务提供商归类为关键服务提供商,因此受到特殊监控。最后,还确定了制裁的框架条件。
一方面,欧盟成员国有义务确保其国家主管当局有效监督DORA要求的遵守情况。此外,罚款应“有效、相称和具有劝诫性”(《DORA》第 50 条第 3 款),并考虑到个案情况。当局还可以采取任何“类型的措施,包括财务措施”(DORA 第 50 条第 4 c 款),迫使金融公司纠正违反 DORA 要求的行为,或纠正主管当局认为 DORA 规定的行为必须停止。
结论
即使具体问题至今仍未得到解答,DORA 的目标也很明确:满足所有要求是复杂的,需要公司各个职能部门的互动。因此,金融公司和ICT服务提供商尽早采取以下措施非常重要:
1.评估需求并确定满足程度
2. 确定行动领域
3. 创建路线图
4. 实施工作包
5. 进行目标/实际比较
...并将未完全满足的要求记录为 ICT 风险,这完全符合 DORA。
了解更多有关朵拉的信息
您可以在我们之前发布的博客文章中找到来自 adesso 世界的更多令人兴奋的主题。