投资公司加密货币服务提供商中央证券存管处交易场所交易存储库另类投资基金经理 管理公司数据提供服务保险公司和再保险公司 (再)保险中介机构公司养老金计划评级机构众筹服务提供商及其他
受影响的金融公司可分为两类:
1.已经必须满足 BaFin 对信息安全的高要求的金融公司(银行、保险公司、支付服务提供商、资本管理公司)。
这些公司熟悉 BaFin (xAIT) 适用的“IT 监管要求”,通常拥有针对信息安全、风险、紧急情况和服务提供商的有效管理系统,并运行协调的 IT 服务管理。
DORA 从各个方面补充了现有的学科领域。挑战在于评估新要求并将其准确地集成到现有管理系统中。
2.金融公司目前只需保证基本安全。
在这里,对所有要求进行完整的检查非常重要。事实证明,所谓的准 希腊 whatsapp 数据 备情况检查对于此目的是有效的,他们使用有针对性的问题来对需求进行结构化处理,以制定行动计划。
该标准定义了比例阈值,以保持金融公司的成本可实现。
据此,有
雇用人数少于 10 人且年营业额或资产负债表总额不超过 200 万欧元的微型企业。 雇用 10 名或以上但少于 50 人且年营业额或资产负债表总额超过 200 万欧元但不超过 1000 万欧元的小型企业。 雇用 50 至 250 名员工且年营业额不超过 5000 万欧元和/或年度资产负债表总额不超过 4300 万欧元的中型公司。 所有超过中型公司要求的公司。 微型企业尤其受益于简化的 ICT 风险管理框架,除其他外,没有义务设立监督 ICT 第三方服务提供商协议的职能,每年至少审查一次 ICT 风险管理框架,对遗留ICT系统进行定期风险分析,定义危机管理职能,冗余维护ICT能力并建立全面的数字运营弹性测试计划。
所有其他金融服务提供商必须满足这些要求和其他要求。
金融公司必须为所有员工以及第三方 ICT 服务提供商(如适用)制定并定期开展有关 ICT 安全和数字运营弹性的强制性培训。培训必须复杂且“适合各自的责任领域”(DORA 第 13 条第 6 款)。
ICT第三方服务提供商
除了受影响的金融公司外,DORA还要求其服务提供商确保提供稳定的服务。根据DORA第19号第3条,ICT第三方服务提供商是“提供ICT服务的公司”。
ICT服务是指“通过ICT系统向一个或多个内部或外部用户永久提供的数字服务和数据服务,包括硬件即服务和硬件服务,其中还包括硬件提供商通过软件或固件更新提供的技术支持”。传统模拟电话服务”(第 3 条第 19 DORA)。
该定义相当广泛,因此建议双方都保持透明。金融公司需要了解其相关的 ICT 服务提供商,ICT 服务提供商应为他们需要满足 DORA 要求的客户做好准备。
为了完整起见,“已签订使用 ICT 服务开展业务的合同协议的金融实体[……]应始终完全负责遵守和履行本条例和《条例》规定的所有义务。适用的金融服务法仍然负责(DORA 第 28 1 a 条)。
因此,金融公司必须确保其ICT服务提供商(及其子服务提供商)正常运行并管理所谓的“ICT第三方风险”。
金融公司只能与遵守适当信息安全标准的第三方 ICT 服务提供商签订合同协议。金融主体在对第三方ICT服务提供商行使准入、检查和审计权利时,应当基于风险导向,事先确定审计、检查的频率和审计领域。
金融公司还确保合同协议符合规定的最低标准,并且可以终止,例如,如果风险过高。必须为支持金融企业关键或重要职能的 ICT 服务制定退出战略和计划。
监管机构
《DORA》已经出版,但尚未完全充实。 2024年1月17日,即半年后,欧洲银行业监管机构将提供技术监管标准,包括以下主题:
网络安全 防止数据入侵和滥用的保护设备 访问和访问权限的控制 检测异常活动并监控异常行为和响应过程 ICT业务连续性规划 审查信息通信技术风险管理框架 ICT 相关事件和网络威胁的分类 严重 ICT 相关事件的报告 基于 TLPT 的 ICT 工具、系统和流程的高级测试 健全管理 ICT 第三方风险的关键原则 协调开展监测活动的条件
此外,欧洲银行监管机构将第三方ICT服务提供商归类为关键服务提供商,因此受到特殊监控。最后,还确定了制裁的框架条件。
一方面,欧盟成员国有义务确保其国家主管当局有效监督DORA要求的遵守情况。此外,罚款应“有效、相称和具有劝诫性”(《DORA》第 50 条第 3 款),并考虑到个案情况。当局还可以采取任何“类型的措施,包括财务措施”(DORA 第 50 条第 4 c 款),迫使金融公司纠正违反 DORA 要求的行为,或纠正主管当局认为 DORA 规定的行为必须停止。
| 
发表于 2025-1-16 18:06:16
