关于DORA（Digital Operational Resilience Act）

DORA (Digital Operational Resilience Act) - 数字运营韧性法案

1. 定义

DORA (数字运营韧性法案) 是欧盟针对金融行业的法规，旨在确保金融机构能够抵御、应对和恢复各类 ICT（信息通信技术）相关的干扰和威胁。

1 2	DORA = 欧盟金融行业的数字运营韧性监管框架 生效时间: 2025年1月17日

2. 适用范围

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

DORA 适用实体: ┌─────────────────────────────────────────────────────────────┐ │ │ │ 金融实体 (约 22,000 家) │ │ ├── 银行和信贷机构 │ │ ├── 支付机构 │ │ ├── 电子货币机构 │ │ ├── 投资公司 │ │ ├── 保险公司 │ │ ├── 资产管理公司 │ │ ├── 养老基金 │ │ ├── 信用评级机构 │ │ ├── 加密资产服务提供商 │ │ └── 众筹平台 │ │ │ │ 关键 ICT 第三方服务提供商 │ │ ├── 云服务提供商 (AWS, Azure, GCP) │ │ ├── 数据中心 │ │ ├── 软件供应商 │ │ └── 数据分析服务商 │ │ │ └─────────────────────────────────────────────────────────────┘

3. 五大核心支柱

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

DORA 五大支柱: ┌─────────────────────────────────────────────────────────────┐ │ │ │ 支柱1: ICT 风险管理 (ICT Risk Management) │ │ ├── 建立完善的 ICT 风险管理框架 │ │ ├── 识别、分类和记录 ICT 资产 │ │ ├── 持续风险评估和监控 │ │ ├── 保护和预防措施 │ │ ├── 检测异常活动 │ │ └── 业务连续性和灾难恢复计划 │ │ │ │ 支柱2: ICT 事件报告 (ICT Incident Reporting) │ │ ├── 建立事件分类和报告流程 │ │ ├── 重大 ICT 事件须向监管机构报告 │ │ ├── 初始报告: 事件发生后 4 小时内 │ │ ├── 中期报告: 1 周内 │ │ └── 最终报告: 1 个月内 │ │ │ │ 支柱3: 数字运营韧性测试 (Digital Resilience Testing) │ │ ├── 定期进行韧性测试 │ │ ├── 漏洞扫描和评估 │ │ ├── 渗透测试 │ │ ├── 威胁导向渗透测试 (TLPT) - 关键实体每 3 年一次 │ │ └── 场景化测试和演练 │ │ │ │ 支柱4: ICT 第三方风险管理 (ICT Third-Party Risk) │ │ ├── 第三方服务商风险评估 │ │ ├── 合同条款要求（审计权、退出策略等） │ │ ├── 集中度风险管理 │ │ └── 关键 ICT 服务商登记 │ │ │ │ 支柱5: 信息共享 (Information Sharing) │ │ ├── 鼓励金融实体间共享威胁情报 │ │ ├── 网络威胁信息交换 │ │ └── 最佳实践分享 │ │ │ └─────────────────────────────────────────────────────────────┘

4. 关键要求详解

4.1 ICT 风险管理框架

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

ICT 风险管理要求: ├── 治理架构 │ ├── 管理层责任和问责 │ ├── ICT 风险管理策略 │ └── 独立的 ICT 风险控制职能 │ ├── 资产管理 │ ├── ICT 资产清单 │ ├── 资产分类和重要性评级 │ └── 配置管理 │ ├── 保护措施 │ ├── 网络安全 │ ├── 访问控制 │ ├── 数据加密 │ └── 物理安全 │ ├── 检测能力 │ ├── 持续监控 │ ├── 异常检测 │ └── 威胁情报 │ └── 恢复能力 ├── 业务连续性计划 (BCP) ├── 灾难恢复计划 (DRP) ├── 备份策略 └── 恢复测试

4.2 第三方风险管理

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

ICT 第三方服务商管理: ┌─────────────────────────────────────────────────────────────┐ │ │ │ 服务商评估 │ │ ├── 尽职调查 │ │ ├── 风险评估 │ │ ├── 财务稳定性 │ │ └── 安全能力评估 │ │ │ │ 合同要求 │ │ ├── 服务级别协议 (SLA) │ │ ├── 安全要求 │ │ ├── 数据保护条款 │ │ ├── 审计权 │ │ ├── 分包商管理 │ │ ├── 终止和退出策略 │ │ └── 数据可移植性 │ │ │ │ 持续监控 │ │ ├── 服务质量监控 │ │ ├── 安全状况监控 │ │ └── 定期审查和评估 │ │ │ │ 集中度风险 │ │ ├── 避免过度依赖单一供应商 │ │ └── 制定替代方案 │ │ │ └─────────────────────────────────────────────────────────────┘

5. DORA 与其他法规的关系

法规	关系
GDPR	DORA 补充 GDPR，专注于运营韧性
NIS2	网络安全指令，DORA 是金融行业特别规定
PSD2	支付服务指令，DORA 加强其安全要求
MiCA	加密资产法规，DORA 提供运营韧性框架

6. 处罚机制

1 2 3 4 5 6 7

DORA 处罚: ├── 金融实体 │ └── 由各成员国监管机构确定，可包括罚款、吊销许可等 │ └── 关键 ICT 第三方服务商 ├── 最高 €5,000,000 或全球年营收 1% └── 每日罚款最高 €500,000 (持续违规)

7. 对支付机构的影响

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

支付机构 DORA 合规重点: ├── 支付系统韧性 │ ├── 核心支付系统高可用 │ ├── 实时监控和告警 │ └── 快速恢复能力 │ ├── 云服务商管理 │ ├── 主要云服务商合同审查 │ ├── 多云策略考虑 │ └── 退出计划准备 │ ├── 事件响应 │ ├── 重大事件 4 小时内报告 │ ├── 事件分类标准 │ └── 根因分析流程 │ └── 测试要求 ├── 定期渗透测试 ├── 业务连续性演练 └── 灾难恢复测试