DORA、运营韧性和业务连续性的交集(译文)
译者:金融业的数字化转型导致了一个高度互联和相互依存的生态系统,给整个行业带来了系统性风险。在数字时代,没有一个金融机构可以作为一个独立的实体运作。 欧盟数字运营韧性法案 (DORA)改变了风险管理的游戏规则。通过DORA,欧盟监管当局承认金融机构对ICT和云服务提供商的依赖日益增加。因此,DORA将用于解决关键ICT服务提供商在金融业中发挥突出作用时可能产生系统性风险的担忧。监管机构正在采取直接和积极的行动,以减轻可能影响行业的系统性风险。根据DORA,欧洲金融服务的监管机构(EBA,ESMA,EIOPA)将对ICT服务提供商进行直接监管,以增强整个金融业的数字韧性。正如DORA提案中概述的那样,其基本原因是“ 金融行业的数字化和运营韧性是同一枚硬币的两面 ”。随着受影响的组织开始关注DORA合规性,咨询公司RiskConnect的首席顾问Michael Bratton写了一篇文章《DORA、运营韧性和业务连续性的交集》(the intersection of DORA, operational resilience, and business continuity),研究了它的范围,强调了与其它法规一致的规定,并概述了可能有助于从业者寻求构建涵盖多个风险专业领域的紧耦合韧性规划(cohesive resilience program)的领域,以下是该文的简要翻译,供业务连续性和韧性专业人员参考。
《数字运营韧性法案》(DORA)为组织管理和应对ICT和网络相关的风险与威胁建立了框架和监管指导。DORA于2023年1月16日生效。实施期为两年,金融实体预计将在2025年1月17日之前遵守该法规。DORA适用于欧盟的金融实体和服务提供商及其ICT提供商, 其独特之处在于,它不仅直接适用于金融机构,还适用于为金融部门提供关键服务的ICT提供商 。
DORA的要求非常广泛,涉及60多个条款。虽然DORA的重点是数字和网络韧性,但与其它风险专业领域(如危机管理、操作风险、业务连续性和运营韧性)有许多集成点。
作为一名韧性从业者,我不禁想知道DORA中有多少内容与其它法规并行不悖,以及它在哪些方面可能对那些已经在努力调整和成熟运营韧性和业务连续性规划的支持组织有所帮助或有所伤害。本文将探讨DORA的基本原理,强调与其它法规一致的规定,并最终概述可能为寻求构建包含多个风险专业领域的紧耦合韧性规划和框架的从业者提供额外重点或指导的领域。
DORA里有什么?
该法规概述了5个支柱,就以下方面提供指导: 信息和通信技术(ICT)风险管理; 金融实体向监管机构报告ICT相关的重大事件; 数字化运营韧性测试; 与网络威胁和漏洞有关的信息和情报共享; 金融实体健全管理ICT第三方风险的措施。
虽然看似简单,但DORA的授权范围很广,涵盖了支持关键或重要功能的ICT资源,这些功能的定义是“其扰断将严重损害金融实体的财务绩效,或其服务和活动的健全性或连续性,或其停止、有缺陷或失败的履行将严重损害金融实体继续遵守其授权的条件或义务、或其适用的金融服务法规下的其它义务。”更确切地说,任何一旦扰断会影响实体的财务绩效、安全和稳健的ICT资源或对其它公司、客户或监管机构负有义务的服务,都将在范围内。这比其它运营韧性法规中对重要/关键业务服务的定义要宽泛一些,但考虑到 DORA指的是重要功能(而非服务) ,这并不奇怪。
谁必须遵从DORA?
该法规列出了一长串的行业,其中大多数与其它金融行业的法规类似。这些机构包括:信贷机构,支村机构,电子货币机构,投资公司,加密资产服务提供商,中央证券存管机构,中央交易对手方,交易所,交易报告库,另类投资基金管理人,管理公司,数据报告服务提供商,保险和再保险公司,保险中介机构,职业退休养老金机构,信用评级机构,法定审计师和审计公司,关键基准管理者,众筹服务提供商,证券化存储库和ICT第三方服务提供商。
这里需要注意的有趣的事情是,要求将ICT第三方服务提供商包括在法规中, 这意味着那些向金融行业提供服务的IT/ICT公司现在将被要求遵守金融机构所遵守的相同法规 。对于连续性和韧性专业人员来说,这提供了一些额外的杠杆作用,因为除非合同中明确规定了要求,否则在争取ICT第三方合规上颇有挑战。
DORA与其它韧性相关法规的交集在哪里?
涵盖类似风险相关活动的不同法规可能很难驾驭,但在DORA这里,许多规定与现有的最佳实践或法规保持一致。虽然DORA有许多满足管理技术相关风险的要求示例,但由于本文的目的,我想强调那些与运营韧性和连续性相关的要求,这些要求为从事DORA的从业者创造了与现有连续性和韧性工作协调的需求。
业务连续性政策
DORA规定,作为ICT框架的一部分,组织需要建立全面的ICT业务连续性政策。该法规指出,这是为了使组织以现有最佳实践为基础;然而,法规还要求充分考虑业务连续性和IT灾难恢复计划,特别是在应对网络攻击时。调整用于规划的技术损失场景,同时考虑网络攻击如何改变响应和恢复,可以帮助从业者更全面地为网络事件做好准备。
技术恢复
虽然更多的是围绕技术风险,但DORA在第11条(备份策略和恢复方法)中的一些要求值得从业者注意。DORA强调,金融实体或其ICT提供商需要至少维护一个辅助处理站点,其资源与业务需求相称。DORA还概述了辅助站点的要求,其中包括辅助站点应: 地理上分开,因此具有不同的风险状况; 能够确保关键服务的连续性与主站点相同(或至少符合RTO/RPO要求); 可供工作人员使用。
经验教训
DORA概述了从ICT测试、扰断和从网络事件中获得的结果和经验教训应当提供给同行和监管机构,并应当反馈到整体风险管理框架的必要性。通过强制进行测试后/事件审查和事件分析,这创造了一种情况,从业者可以使用由此产生的信息来帮助推动其它需求,例如确定合理场景,查看最坏情况场景是什么(以帮助设置影响容忍度),并确定与RTO/RPO的一致性。所有这些信息可以帮助连续性和韧性从业者使用业务连续性和运营韧性计划,以创建整体风险管理方法。
危机管理和沟通计划
与CBI设定的要求类似,DORA有关于在面临重大扰断时保持危机管理能力的具体规定。DORA强调,沟通计划要考虑到技术和非技术人员,并确定公共发言人。此外,在第10条中,DORA规定实体“具有危机管理功能”以协调活动。这进一步汇编了许多组织已具有的最佳实践,以在中断期间保持不只有技术专家组成的指挥控制结构。
测试和演练
DORA提供了许多适用于ICT测试的测试类型示例,如漏洞评估、开源分析、网络安全评估、差距分析、物理安全审查、问卷调查和扫描方案,代码评审、基于场景的测试、兼容性测试、端到端测试或渗透测试。这些测试类型中的许多还可以与运营韧性要求相结合,如进行端到端和基于场景的测试。这些类型的测试可以在韧性压力测试计划中分层,并用于证明组织可以保持在影响容忍度范围内。
第三方风险管理
DORA的一个独特方面是它提供了与ICT供应商关系的一些细节。例如,DORA概述了组织在与ICT第三方建立关系之前需要采取的步骤,如确定提供商是否会支持关键/重要功能,以及第三方是否会加剧集中度风险。这提供了与连续性和韧性团队合作的机会,这些团队可以通过业务影响分析或端到端映射的结果来帮助确定第三方的潜在关键性。此外,还对在某些情况下能够退出特定合同的能力提出了要求,并对ICT提供商施加压力,要求其为金融机构保持相同的安全水平。我相信,这些要求将有利于风险从业者,他们通常担负着识别第三方或集中风险的艰巨任务,但缺乏强制执行或阻止企业进入某些关系的权力。
最后几点想法
虽然DORA可能看起来象是另一个网络法规,但它也为业务连续性和韧性从业者提供了好处,尤其是那些在可能面临技术风险的的组织中工作的从业者。在许多方面, DORA迫使组织以新的方式看待技术风险,尽可能利用其它风险专业领域构建,无论是业务连续性、运营韧性和(操作)风险,还是第三方风险管理 。本文只关注DORA中与业务连续性和运营韧性监管和举措中直接相关的部分,但DORA还包括许多关于事件管理、信息共享和技术测试的要求,特别是对于大型机构。建立综合、全面的风险管理规划,利用不同专业领域的优势,有利于提高组织和金融行业的整体韧性。
本公众号(ID:bcmplus)专注于业务连续性和运营韧性知识的传播和普及,关注业务连续性、应急和危机管理的朋友可关注本公众号。
由于公众号注册时腾讯已调整政策,未能开通留言功能,希望交流和讨论业务连续性和韧性相关问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(另,公众号每月只能发4次文章,会有一些内容直接在知识星球分享而不在公众号发布)。
原文发表于公众号”业务连续性+” | 原文链接