根据欧盟弹性法规提供组织影响

白皮书:基于欧盟弹性法规的组织影响© 2022 TechTarget, Inc. 保留所有权利。基于欧盟弹性法规的组织影响通过 Capgemini 和 Red Hat 了解当前欧盟立法的运营弹性和合规性之路Paul Nashawaty ， 企业战略集团首席分析师2023 年 8 月本企业战略集团白皮书由 Capgemini 和 Red Hat 委托编写 ， 并根据 TechTarget, Inc. 的许可分发。W H I T E PA PER 白皮书:基于欧盟弹性法规的组织影响2Contents 白皮书:基于欧盟弹性法规的组织影响3执行摘要欧盟 （ EU ） 的新法规正在制定中，以简化整个金融机构的第三方风险管理流程。数字运营弹性法案 （ DORA ） 是欧盟试图建立一个详细而全面的框架，以协调各种监管举措，并为欧洲创建客观的信息和通信技术 （ ICT ） 风险管理标准。DORA 旨在提高金融服务部门的运营弹性，有助于确保基于欧盟的金融服务组织减轻因越来越依赖 ICT 系统和第三方进行关键运营而产生的风险。尽管 DORA 获得了最大的吸引力，但全球目前正在考虑类似的法规。DORA 包括管理与金融实体外包给技术服务提供商 （ 包括云服务提供商 ） 相关的风险管理的规定，并要求直接监督 “关键 ” TSP 。这项拟议的政策旨在确保使用单个云服务提供商 （ CSP ） 的基于欧盟的金融服务组织具有关于可移植性的成文策略 - 即能够快速，无缝地将关键数据和工作负载从当前的 CSP 转移到另一个 CSP，例如本地云提供商，托管或其他超大规模提供商。如果情况允许，该策略还可能要求证明有能力退出 CSP 关系。此外，金融服务公司需要证明这种可移植性能力已经过测试的文档。这项立法的主要好处是，它通过赋予组织建立，确保和审查其技术运营完整性的能力，从而在金融生态系统中实现更强大的运营弹性。这意味着，当组织面临安全威胁或提供商意外停机或缺乏对应用程序的访问权限时，该组织有能力响应、恢复、学习和适应。另一个好处是，它可以增加云主权，并防止过度依赖外国 CSP，例如 Google，AWS 和 Microsoft Azre 。尽管这些新的监管要求通过确保减少对单个提供商的依赖而为组织和消费者带来了好处，但它们会影响金融服务公司与 CSP 和其他第三方的合作方式，并需要重新思考现有的云战略。尽管 DORA 的目标是金融服务部门，但该法规可能会在行业，国家和大洲更广泛地采用。凯捷与红帽合作，开发了一种简化的容器化服务方法，以引领全球组织完成这一过程。该方法建立了多云战略，设计和交付了基于 “先行者 ” 应用程序的实施，并为技术人员提供了部署正确的红帽技术的能力。根据 TechTarget 企业战略小组的研究，77% 的组织要么在将应用程序迁移到云端之前对其进行评估，要么在迁移到云端时完全致力于重构其应用程序 （ 见图 1 ） 。1 资料来源 ： 企业战略集团完整调查结果 ， 分布式云系列 ： 应用基础设施现代化趋势 ， 2022 年 3 月。© 2023 TechTarget, Inc. 保留所有权利。 白皮书:基于欧盟弹性法规的组织影响4图 1.组织迁移到云之前的方法将应用程序 / 工作负载移动到云时 ， 在迁移到云之前 ， 以下哪一项最符合您组织的方法 （ 即 ， 您是重构、重写还是以其他方式修改应用程序 ） ？ （ 受访者的百分比 ， N = 36我们主要我们主要提升和转移或重新托管应用程序以将其移动到云中 ， 除非有人提出令人信服的理由来重构、重写或重新平台应用程序 ， 23%在迁移之前 ， 重构、重写、重新平台或以其他方式修改云的应用程序 / 工作负载 ， 除非有人提出了令人信服的不必要案例 ， 18%在迁移到云之前 ， 我们会单独评估我们的应用程序 ， 然后根据应用程序决定是否重构、重写、重新平台、重新托管或提升和转移 ， 59%资料来源 ： TechTarget 公司下属的企业战略集团。此外，凯捷还帮助制定了一个动态路线图，供组织遵循。在本文中，我们探讨了金融服务公司利用 DORA 的含义，以及它作为统一指令的地位，旨在保证在欧盟内运作的金融服务实体遵守适当的第三方风险管理程序，这些程序经过适当的审查，记录和证明。DORA 的一个值得注意的分支涉及其对机构选择的潜在影响，即将重要应用程序和功能迁移到单个或多个云服务提供商 （ CSP ），可能会忽略基本的可移植性属性。跟上不断变化的法规和云部署大多数金融服务组织在很多年前就开始了他们的云计算之旅，其中一些是云优先战略的早期采用者。现在，随着欧盟即将进行的监管改革，例如 DORA，所有基于欧盟的金融服务组织都被迫重新考虑他们如何使用云，他们使用哪些云以及用于哪些服务。DORA 是欧盟委员会目前正在起草的立法提案，要求金融机构采取适当的保障措施，以减轻可能导致重大基础设施崩溃的风险，例如全球 CSP 的整个区域。已颁布的立法的一个组成部分，自 2023 年 1 月起生效，并在随后的 24 个月内强制要求可能的遵守，这意味着金融服务实体建立和。 白皮书:基于欧盟弹性法规的组织影响5记录一个结构化的战略。此策略应展示他们在各种云服务提供商之间有效传输基于云的数据 （ 工作负载 ） 和 / 或迅速恢复到本地数据中心的能力。此外，他们还需要提供证据证明测试这种可移植性能力是一种可行的方法。重要的是要注意 DORA 并不强加可移植性的义务。该法规的范围包括雇用单个非欧盟云服务提供商 （ 如 AWS，Azre 或 Google Clod ） 的金融服务公司，无论 CSP 位于欧盟内部还是欧盟外部。该法规详细阐述了相关各方的全面范围和考虑因素。DORA 一瞥While DORA became law in 2022, it can be used as a proxy for other regulations that are already in place or are being considered around the world. The DORA requirements across its five publiers include: 21. ICT 风险管理。 通过实施适当的技术和组织缓解措施来保护和预防 ICT 风险。2. ICT 相关事件的管理、分类和报告。 识别 ， 分类和记录所有与 ICT 相关的业务功能 ， 支持这些功能的信息资产以及所有风险来源。 至少每年进行一次 ICT 风险评估。3. 数字操作弹性测试。 通过定期测试检测单点故障和异常活动。 通过实施专门和全面的 ICT 业务连续性计划和 ICT 灾难恢复 ， 应对中断并从事件中恢复计划 ， 分别定期维护和测试。4. ICT 第三方风险管理。 加强管理对 ICT 第三方提供商的间接监督的外包规则。 在 ICT 第三方提供商向金融公司提供服务时 ， 可以直接监督他们的活动。 鼓励金融部门的威胁情报交流。5. 信息和情报共享。 通过分析事件的根本原因以及保护和检测措施的有效性来学习、发展和沟通。 确保沟通计划 ， 以便向客户 ， 同行和公众负责任地披露与 ICT 相关的事件或重大漏洞。2 资料来源 ： 委员会工作人员工作文件 ： 影响评估执行摘要随附文件 ， 欧洲议会和理事会关于金融部门数字运营弹性的法规提案以及修订法规 （ EC ） No 1060 / 2009 ， （ EU ） No 648 / 2012 ， （ EU ） No 600 / 2014 和 （ EU ） No 909 / 2014 。金融服务和 DORA 支柱本文探讨了第二和第四支柱的方面以及对金融服务业的影响 ， 例如支付机构 ， 投资公司 ， 信用评级机构 ， 加密资产服务提供商 ， 众筹服务提供商 ， 金融科技 ， 交易场所 ， 金融系统提供商和信贷机构。 白皮书:基于欧盟弹性法规的组织影响6准备 DORA尽管公司不会被强制使用本地云提供商 ， 但 DORA 旨在限制对单个 CSP 的依赖。这将需要极高的可移植性 - 也就是说 ， 基础架构能够在云和本地环境之间快速来回移动部分关键工作负载和数据。实现运营弹性和减少对单个 CSP 的依赖有三个关键考虑因素 ： 强制性选择 ： 本质在于制定应急计划 ， 可移植性可以提供解决方案 ， 但法规本身不会为企业规定具体的补救措施 ， 包括实施 DORA 要求和在非欧盟 CSP 之上开发云主权层。 选项 A ： DORA 要求包括促进将基于欧盟的 CSP 用于基本工作负载 ， 特别是在内部托管不可行的情况下。这些法规强调了确保无缝和合规过渡到基于欧盟的 CSP 以维护运营连续性和监管一致性的重要性。 选项 B ： 这涉及将工作负载或数据移回内部数据中心。根据服务的不同，在内部移动应用程序可能比进行所有编码更改以将其移动到不同的 CSP 更容易。虽然将所有东西都搬回数据中心的长期战略成本很高，但如果出现问题，继续服务的最快方式 (这是监管机构会关心的 — — 客户影响) 可能是内部的。严重依赖非欧盟 CSP 的公司面临的 DORA 挑战DORA 强调组织有必要重新评估其战略并探索减轻与第三方外包相关的风险的途径。一种潜在的风险缓解方法包括采用有利于混合云战略的基础设施，将可移植性作为关键要素。通过这样做，公司可以主动提高其运营弹性和监管合规性。Enterprise Strategy Group 的研究表明 ， 86% 的组织已经在使用多个云服务提供商作为其产业的一部分 （ 见图 2 ） 。偶尔 ， 这种情况会在不经意间发生 ， 即 SaaS 产品的云托管不被注意到 ， 而在其他情况下 ， 这是一个深思熟虑的选择。像 DORA 这样的法规的出现以及即将到来的法规 ， 将迫使组织对其技术堆栈采取更深思熟虑的方法 ， 并使其与多云战略保持一致。3 资料来源 ： 企业战略集团研究报告 ， 《跨分布式云环境的应用基础设施现代化趋势》 ， 2022 年 3 月。 白皮书:基于欧盟弹性法规的组织影响76%12%12%19%21%26%图 2.近 90% 的组织使用多个云服务提供商您的组织目前使用大约多少个独特的公共云基础设施服务提供商 （ IaaS 和 / 或 PaaS ） ？ （ 受访者的百分比 ， N = 321 ）2%2%1 2 3 4 5 6 更多超过 6不知道资料来源 ： TechTarget 公司下属的企业战略集团。然而，当试图从一个单一的 U 移动时，实现这种水平的可移植性可能特别具有挑战性。S.- 由于美国内部的更高级别的服务，例如数据库即服务，因此将拥有的云服务提供商提供给基于欧盟的云服务提供商S.拥有的云。此外，当基础设施基础基于专有工具集时，可移植性变得更加成问题。为合规制定云战略创建合规性的游戏名称是可移植性和证明性。当无法选择将数据移回本地时 ， 使用单个 CSP 的金融服务公司将需要 ： 将 “云层 ” 纳入 DORA 规定，在所选 CSP 上运行，或与已经采用此类技术的 CSP 协作。此步骤旨在增强提供商的独立性，数据安全性和恢复能力，通常包括基础云服务，如安全性，合规性和监控，以及与 CSP 无关的编排，配置，操作，FiOps，安全性和合规性解决方案在 CSP 服务上分层。 采用补充 CSP，可能将一个杰出的行业参与者与基于欧盟的区域 CSP 合并，以解决特定的、不太广泛的工作负载，由于存储和使用的数据的性质，特别是敏感的专有数据，特别是当本地替代品不可用时。重要的是要注意，虽然这不是 DORA 强制要求的，但它是一个强有力的建议。 预见 OpeShift 的明显价值转化为效率。在像 OpeShift 这样的多功能平台上构建应用程序不仅意味着弹性，而且避免了缺乏高级规划的耗时后果。虽然过渡回本地是一种选择，但它需要细致的计划，并且可能不是最具时间或成本效益的选择，此外，与基于云的策略相比，它可能会抑制创新。云主权层 ： 它是什么以及为