EU新规增强金融机构应对网络攻击的韧性
关键要点
欧盟将在2025年1月17日实施《数字运营韧性法案》DORA,金融机构首席信息安全官CISO需确保合规。DORA旨在提升金融行业的风险管理,统一不同国家的规章制度。合规性挑战显著,许多机构仍需加强准备。第三方服务供应商也需遵循DORA的规定,以增强整体安全性。信用:Shutterstock
金融行业一直是网络犯罪分子的主要目标之一。据国际货币基金组织的数据显示,近五分之一的网络攻击发生在金融公司,尤其是银行显得尤为脆弱。为了帮助金融机构抵御这些威胁,欧盟推出了《数字运营韧性法案》DORA,该法案将于2025年1月17日生效。
DORA的目标是强化传统与非传统金融实体的安全性,包括银行、投资公司、信用机构、审计公司、信用评级机构,以及加密资产服务提供商和众筹平台。这项规定进一步适用于与金融机构合作的第三方服务提供商,这意味着基础设施提供商如数据中心运营商和云服务提供商也必须遵守相关标准。
一元机场节点官网DORA的两个目标
简单而言,DORA有两个主要目标:首先,它旨在为金融领域提供一个全面的风险管理框架;其次,它希望在欧盟范围内统一风险管理规章制度,因为各国的金融组织当前存在不同的规则。
DORA的一大成就是实现了规章的统一。“这将长期简化大家的操作,”ProcessUnity在EMEA的销售负责人Joel Brandon表示。
Brandon补充说,该法案为金融实体提供了一个关注威胁韧性的机会,并鼓励组织提升整体安全性,促进合作。“我们真正欣赏DORA的一点是,能够使相关实体专注于信息通信技术中断及其对自身业务和更广泛生态系统的影响,”他告诉CSO。
然而,在2025年1月之前实现DORA合规并非易事,许多CISO可能在接下来的几个月中面临挑战。尽管许多机构已进行了一些准备,但仍有许多工作需要完成。一项小规模的麦肯锡调查显示,2024年3月受访的16位高管和项目负责人中,有五人对按时满足DORA的截止日期表示怀疑,只有五人对按时合规充满信心。
在时间紧迫的情况下,金融实体需要加强努力,明确优先事项。
“许多公司没有意识到DORA合规的复杂性,尤其是它涉及到组织的多个部分共同协作,”Brandon表示。“我们看到客户往往低估了所需的资源和时间,特别是在管理第三方风险和建立有效的事件报告系统方面。”
什么是数字运营韧性法案DORA
《数字运营韧性法案》在四个关键领域中设定了要求:风险管理、事件响应、数字运营韧性测试和第三方风险管理。此外,法案鼓励金融实体分享关于网络威胁的信息,但这并不是强制性的。
四个领域中的第一个,风险管理与治理,将责任归于管理层。法案规定,董事会成员、执行领导和高级管理者需要制定稳固的风险管理策略,并确保其实施。此外,DORA要求所有决策者紧跟最新的安全风险。任何不合规的行为将可能使董事会成员和管理者承担个人责任。
在这一背景下,CISO向利益相关者提供关于安全趋势的信息的角色显得日益重要。他们面临的挑战是需要向非技术受众提供清晰的信息,确保大家理解相关风险。“一旦董事会成员和其他高管能被追责,他们会更加重视安全,”Zero
