DORA 合規性已迫在眉睫

Mazars近期發佈的國際性報告《數碼轉型下的新型網絡安全策略》中指出,世界各國政府正在推出新的條例,以減輕網路攻擊的風險和影響。

《數位營運韌性法案》(Digital Operational Resilience Act, DORA)是歐盟最新頒佈的一項條例,旨在所有成員國的金融服務部門實現高水準的彈性數位運營方式。該條例覆蓋範圍較廣,既適用於在歐盟設有辦事處的國際公司,也適用於在歐盟提供服務的金融機構。

DORA 適用於銀行、保險公司和投資公司等廣泛的金融實體及其關鍵技術供應商,並首次將 IT 公司納入金融監管機構的管轄範圍。 DORA的當務之急在於:提高日益依賴數位科技的金融業抵禦網路攻擊的能力。 隨著數位轉型的深入,企業在遭受嚴重網路攻擊時越來越容易失敗——這不僅會為企業本身帶來問題,也會為更廣泛的經濟生態系統帶來問題。

令人擔憂的是,對許多公司來説,留給他們用來調整以應用新的法例的的時間已經不多了。 DORA 於 2023 年 1 月生效,必須在 2025 年 1 月 17 日之前實施,違規者將受到嚴厲處罰。 不合規的第三方 IT 服務供應商可能面臨高達企業每日全球營業額 1% 的罰款。 這些罰款不設上限,直到公司達到合規要求。 對金融機構的追究將根據其所在地區而定,且有可能更為嚴重。 聲譽受損和客戶信任受到侵蝕的代價可能會更高。

為DORA做準備

DORA 的範圍異常廣泛,許多公司需要考慮許多因素才能實現合規性。

首先,許多企業不具備全面、有系統地評估網絡事件並分析其根源的能力。 這是一個問題,因為根據 DORA,公司必須制定如何持續監控和管理其 IT 資產的漏洞。 彌補兩者之間的差距並不容易。

其次,他們需要解決風險管理問題。 DORA 的風險管理制度要求公司擁有強大且有彈性的流程來管理其 IT 資產。 但許多組織目前對這些資產包括哪些內容缺乏清晰的認知。 隨著時間的推移,隨著網絡的擴展和變得更加複雜,員工工作模式多樣化,系統中端點的可見性逐漸減弱。

DORA 引入了一套有關威脅情報共享的新規則,要求公司在嚴格的時間內向歐洲監管機構通報情報共享安排的詳細資訊。 同樣,不合規的公司可能會面臨經濟處罰或監管行動。

最後,公司需要實施測試計劃來證明其 IT 系統具有營運韌性。 在某些情況下,金融實體的測試必須由第三方獨立進行。 在其他情況下,某些金融機構必須至少每三年使用威脅主導的滲透測試對其 ICT 工具、系統和流程進行高級測試。 這對許多公司來說都是一個挑戰,因為很少有組織擁有滿足 DORA 要求的測試廣度的滲透測試計劃(通常包括為金融實體提供服務的第三方 IT 服務提供者的測試)。

考慮到實現合規性所涉及的工作量,時間已經十分緊張。 許多公司需要完成補救工作以縮小差距,並轉向提供 DORA 所需功能等級的網絡解決方案。 金融服務公司也必須對其第三方供應商充滿信心,因為 DORA 要求金融機構有責任確保其整個供應鏈符合法規。

企業的第一步

企業應先進行全面的差距評估,以確定需要進一步投資和成熟度的領域。 鑑於 DORA 影響深遠且規範性強,公司面臨的最大挑戰將是弄清楚他們的要求是什麼,以及他們需要多長時間才能做出必要的改變以實現合規性。 金融公司也應該按照 DORA 的要求,開始建立 IT 相關第三方的詳細資訊登記冊。 這可以用來幫助識別整個供應鏈中的不合規領域,從而可以決定下一步該做什麼。

距離該條例的正式實施還有一年多的時間,是時候是採取行動了。

更多資訊請閱讀 Mazars 的最新報告《數碼轉型下的新型網絡安全策略