DORA 条例
DORA 条例 是什么?
DORA 条例欧盟第 2022/2554 号《数字运营韧性法案》,自 2025 年 1 月 17 日起适用于金融业。
《数字运营韧性法案》(DORA,欧盟第 2022/2554 号条例)是一项可直接适用的欧盟条例,统一了金融实体在 ICT 风险管理、事件报告、韧性测试和第三方风险方面的义务。该条例于 2022 年 12 月通过,自 2025 年 1 月 17 日起适用,涵盖银行、支付机构、保险公司、投资公司、加密资产服务提供商以及关键 ICT 第三方提供商。DORA 要求建立成文的 ICT 风险管理框架,对重大 ICT 事件进行分类和报告,对重要机构实施基于威胁情报的渗透测试(TLPT),并对 ICT 外包安排提供合同保障。欧洲监管局(EBA、EIOPA、ESMA)负责制定技术标准并直接监督关键提供商。
● 示例
- 01
一家欧洲零售银行进行基于威胁情报的渗透测试(TLPT),并在监管期限内报告重大 ICT 事件。
- 02
一家被指定为关键 ICT 第三方的云服务提供商,受到欧盟的直接监督。
● 常见问题
DORA 条例 是什么?
欧盟第 2022/2554 号《数字运营韧性法案》,自 2025 年 1 月 17 日起适用于金融业。 它属于网络安全的 合规与框架 分类。
DORA 条例 是什么意思?
欧盟第 2022/2554 号《数字运营韧性法案》,自 2025 年 1 月 17 日起适用于金融业。
DORA 条例 是如何工作的?
《数字运营韧性法案》(DORA,欧盟第 2022/2554 号条例)是一项可直接适用的欧盟条例,统一了金融实体在 ICT 风险管理、事件报告、韧性测试和第三方风险方面的义务。该条例于 2022 年 12 月通过,自 2025 年 1 月 17 日起适用,涵盖银行、支付机构、保险公司、投资公司、加密资产服务提供商以及关键 ICT 第三方提供商。DORA 要求建立成文的 ICT 风险管理框架,对重大 ICT 事件进行分类和报告,对重要机构实施基于威胁情报的渗透测试(TLPT),并对 ICT 外包安排提供合同保障。欧洲监管局(EBA、EIOPA、ESMA)负责制定技术标准并直接监督关键提供商。
如何防御 DORA 条例?
针对 DORA 条例 的防御通常结合技术控制与运营实践,详见上方完整定义。
DORA 条例 还有哪些其他名称?
常见的别称包括: 数字运营韧性法案, (欧盟) 2022/2554 号条例。
● 相关术语
- compliance№ 730
NIS2 指令
欧盟第 2022/2555 号指令,提高了欧盟范围内基本实体和重要实体的网络安全基线要求和事件报告义务。
- compliance№ 1144
第三方风险管理(TPRM)
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
- forensics-ir№ 525
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- compliance№ 440
GDPR(欧盟通用数据保护条例)
欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。