了解 DORA 及其对企业的重要性
文章重点
DORA (数字运营弹性法) 对于在欧洲运营的公司至关重要,特别是金融机构。未达到合规性可能会面临严重的财务处罚。DORA 对于第三方服务提供商有特殊要求,这对中小型企业来说可能是挑战。确保全面了解和管理企业资产是达成 DORA 合规的关键。如果您的企业在欧洲运营,那么您需要关注《数字运营弹性法》DORA,该法自2024年1月17日起生效。DORA,即欧洲议会的指令 (EU) 2022/2555,旨在加强和提升欧盟的网络安全能力,对于欧盟金融机构而言,这项法规就像达摩克利斯之剑般悬在头上。
对于适用于 DORA 的企业,合规是必须的。首批技术标准已经发布,下一批将于2024年7月17日生效。其核心要素之一涉及第三方服务提供商,特别是那些被分类为关键的提供商。
企业无论是直接还是通过第三方服务提供商,都需要建立若干关键流程:
ICT 风险管理事故报告和管理信息共享和网络安全第三方提供商的监管框架积极应对 DORA 的挑战
要实施 DORA 说明白了将是一项挑战。无论大型还是小型企业,几乎都在使用第三方服务提供商。拥有较高 IT 和信息安全成熟度的企业可能会相对占优。
我说可能,因为不知道自己不知道的事可能会导致高昂的代价。这不仅是从脆弱性角度考量,还有财务方面。对于那些依赖第三方服务提供商提供关键核心服务的小型企业而言,此事格外棘手。
在最近的 BlackHat EU 上,我有机会与 runZero 的首席运营官 Julie Albright 以及该公司的全球技术传道者 Wes Hutcherson 讨论他们对 DORA 的主要关注点。他们谈到了相关的调查、声明及检查。
我提出这看起来像是一项艰巨的工作,可能对小型企业来说过于沉重。Hutcherson 表示,企业很少了解其内部所有资产,这些资产可能会落入 DORA 的 ICT 标准范畴这些是为了管理使用第三方信息与通信技术服务提供商所带来的风险而实施的过程和措施。
在他对 DORA 的撰写中,Hutcherson 提到:60以上的连接设备对防御者来说是不可见的,而未管理资产与去年70的违规行为相关。然而,所有资产都必须参与弹性测试。他还警告,未合规的罚款可能会让人瞠目结舌首席信息安全官 (CISO) 需要确保首席财务官 (CFO) 参与任何 DORA 合规小组。
1元机场DORA 罚款高达数千万欧元
根据 Avenga 的 DORA 罚款评估,DORA 的财务成本与《通用数据保护条例》GDPR进行了比较,根据 GDPR 的规定,罚款可能高达 2000万欧元或全球总营收的 4。
无论是内部还是第三方的 ICT 服务提供商,在 DORA 中都可能面临高达年
