歐盟通過《數位運營韌性法》建構金融機構數位韌性框架

有鑒於金融機構越來越仰賴ICT和數位形式的資訊，加上COVID-19疫情更放大了數位化之重要性，許多金融機構比以往更為依賴數位系統，大部分日常操作也改以遠距方式進行。然而，這種數位依賴大幅增加了技術和網絡風險，因此數位韌性之重要性不容低估。為強化銀行、保險公司和投資公司等金融機構的資訊安全，歐盟理事會於2022年11月28日通過《數位運營韌性法》(Digital Operational Resilience Act, 下稱DORA)[1]，該法將修正目前歐盟金融服務運營商相關風險管理之相關規範，同時強化對於ICT安全風險管理與監管，確保歐洲的金融機構能夠在發生嚴重運營中斷時保持韌性。

圖 1：DORA五大內容

資料來源：本文作者整理

除各金融機構外，DORA同時也適用於向金融機構提供ICT相關服務（例如：雲平台、資料分析和審計服務等）的關鍵第三方機構，該法主要建構一個關於數位運營韌性的監管框架，受規範之公司都需要確保其能夠承受、應對所有與ICT相關的中斷和威脅並且從中恢復。依據該法，歐洲銀行業管理局（European Banking Authority, EBA）、歐洲證券和市場管理局（European Securities and Markets Authority, ESMA）、歐洲保險和職業養老金管理局（European Insurance and Occupational Pensions Authority, EIOPA）等歐洲三大監管機構(ESAs)將制定相關技術標準使所有金融服務機構遵循，內容包括：銀行、保險、資產管理等，而各自國家監管部門則發揮合規監督之作用，並在必要時執行法規。

DORA要求金融機構必須能夠承受、應對ICT事件之發生並從中恢復，從而繼續提供關鍵和重要金融服務功能，同時應最大限度地降低對客戶和金融系統的干擾。因此，該法透過要求金融機構制定正確的運營連續性計劃，並對系統、工具和第三方機構建立強有力的措施和控制來達成金融機構之運營韌性。DORA主要可分為五個核心內容，包括：ICT風險管理、ICT相關事件報告、數位運營韌性測試、ICT第三方風險及資訊共享，來降低ICT和網絡安全中的各領域所可能產生之風險，協助相關金融機構建立全面的數位韌性框架。

因此，一旦DORA正式成為法律，金融機構將於一定期間內根據其規模和業務概況達到法規要求之合規狀態，並符合ESAs所制定的相關技術標準。未來歐洲金融機構可能需要開發更全面的方法來預測及降低任何可能擾亂運營之各種威脅，具體來說，金融機構應提出更積極主動之資安規劃，並整合業務連續性、韌性、第三方服務商和資訊安全管理方法等，進行抗災規劃和韌性維護，對所有人員、流程、資料、服務商以及點到點關鍵服務實施整合測試，同時也需要選擇合適的技術合作夥伴，以利其在監管日益嚴格之情況下持續進行數位轉型並維持數位韌性。

參考資料

[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations, COM/2020/595 final.