DORA实施截止日期已到，金融服务提供商进展几何？

关键要点

自2024年1月17日起，所有欧盟金融机构必须遵守《数字运营韧性法案》DORA的规定，旨在增强金融行业的网络安全性。根据2024年11月的调查，企业的DORA合规实施率平均仅为45。最主要的挑战包括技术标准的滞后发布及合同管理的复杂性。专家指出，实施不当可能会导致巨额罚款。CISO的核心任务是不仅要满足监管要求，还需增强组织的数字韧性。

自2024年1月17日起，所有欧盟金融机构被要求遵守《数字运营韧性法案》DORA，以提升金融行业的网络安全。然而，调查显示，许多公司在实施过程中仍面临困难。

根据metafinanz于2024年11月的调查，中型金融公司的DORA合规实施率平均约为45。当时，没有一家被调查的机构预期能在1月17日的截止日期之前完成全部合规。对于截止日期的预期合规水平在30至90之间，平均公司预计到1月17日能满足约三分之二的要求。

最大挑战

研究作者表示，这部分原因在于技术标准的发布滞后，以及法规的详细性。另外，根据德国保险协会GDV，关于第三方风险管理的一些技术细节仍不明确。根据DORA，金融机构必须管理内部的信息和通信技术ICT风险以及来自第三方提供商及其分包商的风险。

“在与服务提供商的合同管理中，有关分包的未完成规范必须迅速敲定，”GDV总经理Jrg Asmussen表示。

一元机场推荐

CISO联盟董事会主席Ron Kneffel也向CSO证实，许多公司尚未完成必要措施以全面符合DORA要求。“最大的障碍依然是重新谈判与IT服务提供商和合作伙伴的现有合同，以及创建和维护详细的信息登记册，”Kneffel解释说。

“此外，将新的监管要求整合到现有流程中是一个重大挑战，特别是在不干扰持续运营的情况下，”他补充道。实施的估算成本将因要求的复杂性而有所不同，“费用将处于中等到较高的范围。”

其他专家指出，DORA可能会进一步加剧网络安全技能的缺口。

“小型组织可能需要更加依赖外部服务提供商进行测试、监控和合规管理，”Bugcrowd高级服务全球副总裁Julian Brownlow Davies最近告诉CSO。“虽然这可以减轻内部人力资源的压力，但也会增加重复的成本和与供应商依赖相关的潜在风险。”

根据保险行业杂志《保险经济今日》的报道，如果在1月17日之前实施进度未达到一半，DORA可能会非常昂贵。在德国，罚款金额取决于金融监管机构BaFin所采取的措施。

尽管遇到诸多挑战，Kneffel仍看到IT支持解决方案和IT安全服务外包日益增多所带来的希望。“专业的工具和服务提供商已在使用，但人工智能的潜力仍在评估中。这些技术在加速和优化合规流程方面具有巨大潜力，尽管其实施需要额外资源，”他说。

CISO的核心任务不仅是满足监管要求，还需可持续地增强组织的数字韧性，CISO联盟主席强调。“剩余任务必须优先排序，部门间紧密协调，并明确聚焦于长期韧性，”Kneffel表示。

他补充道：“与此同时，我们必须超越截止日期进行思考。应持续审查和调整这些要求，以确保IT安全的长期安全性和稳定性。”