DORA
DORA とは何ですか?
DORA金融セクター向けデジタル運用レジリエンスに関する EU 規則 2022/2554。2025 年 1 月 17 日から適用。
デジタル運用レジリエンス規則 (DORA, EU 規則 2022/2554) は、金融事業者の ICT リスク管理、インシデント報告、レジリエンス試験、第三者リスク管理の義務を統一する、直接適用の EU 規則です。2022 年 12 月に採択され、2025 年 1 月 17 日から適用されており、銀行、決済機関、保険会社、投資会社、暗号資産サービス事業者、および重要 ICT 第三者プロバイダーを対象としています。文書化された ICT リスク管理体制、重大 ICT インシデントの分類と報告、重要事業者に対する脅威ベースのペネトレーションテスト (TLPT)、ICT アウトソーシングの契約上の保護を義務付けます。欧州監督機関 (EBA、EIOPA、ESMA) が技術基準を策定し、重要プロバイダーを直接監督します。
● 例
- 01
欧州のリテール銀行が脅威ベースのペネトレーションテスト (TLPT) を実施し、規制期限内に重大 ICT インシデントを報告する事例。
- 02
重要 ICT 第三者として指定されたクラウド事業者が EU の直接監督下に置かれる事例。
● よくある質問
DORA とは何ですか?
金融セクター向けデジタル運用レジリエンスに関する EU 規則 2022/2554。2025 年 1 月 17 日から適用。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
DORA とはどういう意味ですか?
金融セクター向けデジタル運用レジリエンスに関する EU 規則 2022/2554。2025 年 1 月 17 日から適用。
DORA はどのように機能しますか?
デジタル運用レジリエンス規則 (DORA, EU 規則 2022/2554) は、金融事業者の ICT リスク管理、インシデント報告、レジリエンス試験、第三者リスク管理の義務を統一する、直接適用の EU 規則です。2022 年 12 月に採択され、2025 年 1 月 17 日から適用されており、銀行、決済機関、保険会社、投資会社、暗号資産サービス事業者、および重要 ICT 第三者プロバイダーを対象としています。文書化された ICT リスク管理体制、重大 ICT インシデントの分類と報告、重要事業者に対する脅威ベースのペネトレーションテスト (TLPT)、ICT アウトソーシングの契約上の保護を義務付けます。欧州監督機関 (EBA、EIOPA、ESMA) が技術基準を策定し、重要プロバイダーを直接監督します。
DORA からどのように防御しますか?
DORA に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DORA の別名は何ですか?
一般的な別名: デジタル運用レジリエンス法, EU 規則 2022/2554。
● 関連用語
- compliance№ 730
NIS2 指令
EU 域内の重要事業者および基幹事業者に対し、サイバーセキュリティの基本要件とインシデント報告義務を引き上げる EU 指令 2022/2555。
- compliance№ 1144
サードパーティリスクマネジメント(TPRM)
第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。
- forensics-ir№ 525
インシデント対応計画
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
- defense-ops№ 813
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。