快速回溯：什么是 DORA？

DORA 或《数字运营弹性法》是欧盟的一项法规，旨在确保金融机构能够抵御、应对和恢复各类与 ICT 相关的中断和威胁。这项新法规涵盖了广泛的 ICT 相关事件，超越了传统的风险管理实践，纳入了保护、检测、遏制、恢复和修复等综合措施。

在 DORA 之前，金融机构主要关注资本分配以管理运营风险。现在，DORA 将引入更详细的运营复原力方法，要求制定强有力的战略和政策，以有效管理信息和通信技术风险。这一转变强调了以负责任和合乎道德的方式处理数据的重要性，确保金融实体即使在面临重大干扰时也能维持运营。

了解 DORA 的 5 项主要合规义务

DORA 分为五个监管领域，重点关注信息和通信技术以及网络安全。

1. ICT 风险管理和治理：DORA 将要求各组织建立健全的 ICT 治理框架，其中包括数字复原战略、明确的 ICT 风险容忍度以及所有 ICT 相关业务职能和资产的详细文件。这将导致定期评估，以减轻 ICT 风险，制定全面的安全政策，并为员工提供定期的安全意识培训。
2. 事件响应和报告：各组织必须制定明确的应对计划，确保员工了解报告程序，并对事件进行有效分类。人力资源部还确保向有关当局以及用户和客户报告所有信息和通信技术事故。
3. 数字运行复原力测试：根据 DORA，组织需要实施一个测试框架，其中包括定期的基本 ICT 测试和高级威胁引导渗透测试 (TLPT)。任何薄弱环节、缺陷或差距都必须被识别出来，并通过执行应对措施加以消除或缓解。
4. 第三方风险管理：除内部合规外，企业还必须评估 ICT 第三方提供商的安全措施，确保其也符合 DORA 合规要求。与这些供应商签订的合同必须包括全面监控和可访问性细节，如完整的服务级别说明和数据处理地点信息。
5. 信息和情报共享安排：信息和通信技术部鼓励其他金融实体的可信社区之间开展合作，目的是：提高对信息和通信技术风险的认识，最大限度地降低信息和通信技术威胁的传播能力，并从整体上提高金融实体的数字业务复原力。定期分享威胁情报并协调努力以确定新出现的威胁和漏洞，将有助于降低风险。

这些领域的目的是提供一个全面的数字复原力框架，强调持续适应和改进的重要性。

但是，正如我们上面提到的：最终的 RTS 草案和 DORA 更新要到 2024 年 12 月才会正式发布，这让您的团队不得不在一个月的最后期限前做好准备。合规不是一朝一夕的事，随着最后期限的迅速临近，企业必须立即行动起来，确保做好准备。

在您熟悉这些要求的同时，同样重要的是为您的组织配备必要的工具和知识，以实现强大的运行恢复能力。

自动化您的 DORA 合规性

虽然本概述为了解和准备应对 DORA 提供了一个起点，但该法规强调持续适应和改进的重要性。随着监管环境的不断变化，随时了解修正案和补充指南的最新情况至关重要。

我们才跑了一英里的前 100 米。

换句话说，使用控制措施只是一个开始......接下来是差距识别、差距分析、创建登记册等。

自动化技术的使用为您提供了一个机会，通过一个集中的、可定制的平台来管理 DORA 和其他相关标准的合规性，从而简化您的工作--只要您选择了正确的平台。笨重、庞大的系统不够灵活，无法编制和跟上 DORA 不断变化的更新。更灵活的平台（如 Mitratech Alyne）可帮助您在 30 天内完全符合 DORA 标准。

遵守新法规并不一定会带来压力。欲了解更多有关 Mitratech 如何提供已配置 DORA 框架和监管技术标准 (RTS) 的解决方案的信息，请联系我们的团队。

您可能会喜欢的更多资产

1. 掌握 DORA 合规性的综合清单
2. 掌握 DORA 的监管框架
3. 建立欧盟采购清单框架 101：从这里开始
4. 编制您的影子 IT 清单：从这里开始