欧洲的新弹性制度 ： 为 DORA 做好准备的竞赛

风险与弹性实践 欧洲的新弹性制度：为DORA做好准备的竞赛 麦肯锡的一项新调查显示，随着欧盟《数字运营弹性法案》的实施，金融机构及其信息和通信技术提供商还有大量工作要做。 这篇文章是吉姆·博姆和塞巴斯蒂安·施耐德与弗洛里安·斯托尔的合作成果，Lucy Shenton和Nils Motsch代表麦肯锡的风险与弹性实践和麦肯锡数字的观点。 金融部门的数字化带来了巨大的好处，但也使企业面临不断上升的技术风险，包括网络攻击，系统中断以及第三方信息和通信技术（ICT）故障。为了确保金融机构（FI）在面对这些威胁时保持弹性，欧盟的数字运营弹性法案（DORA）为基于欧盟的FI制定了详细要求，以保护其关键业务流程（请参阅边栏“DORA的范围”）。而DORA与其他法规（例如德国的BAIT和VAIT。1)，这是同类监管中第一个关注整个欧洲金融生态系统数字弹性的监管。 实现DORA合规的进展。结果喜忧参半:大多数机构已经开始了这一旅程，但许多机构需要做更多的工作才能按时履行其义务。在本文中，我们探讨了调查中强调的一些最紧迫的问题，并反思了使一些机构走上比同行更有前途的DORA合规道路的步骤。 DORA实施：行业地位如何？ 欧洲金融机构和关键ICT服务提供商仍有时间将其弹性能力与DORA要求保持一致-但窗口正在关闭。我们的调查发现，94%的金融机构完全参与了解立法的详细要求；大多数都是通过一个专门的DORA计划来做到这一点，DORA作为董事会级别的议程项目（参见侧栏“一家大型欧洲金融公司如何应对DORA挑战”）。 随着DORA实施日期为2025年1月17日的临近（一些监管要求尚未最终确定），麦肯锡与欧洲主要金融机构和关键ICT第三方进行了一项调查，以了解其 DORA的范围 DORA法规由五个主要内容章节组成，由两批监管技术标准(RTS)和实施技术标准支持。这些文件总共包含600多页和1100行与金融机构和ICT第三方相关的要求。最终文本的章节侧重于以下组成部分: —第三方风险管理需要信息和通信技术风险管理框架、第三方登记、风险评估、集中风险分析和持续监测和审计支持关键业务服务的ICT第三方服务提供商。 —ICT相关事件管理、分类和报告涉及定义、建立、 并实施一个过程管理和记录事件和网络威胁-并集中报告。 —ICT风险管理需要内部风险管理框架和战略；风险承受能力；政策、程序和协议；以及独立的控制功能。 —信息共享安排允许金融机构交换网络威胁信息和情报，并要求它们通知主管当局信息共享安排。 —数字化运营弹性测试要求对所有测试采用基于风险的方法，包括物理测试、应用程序测试、技术弹性（“切换”）测试和威胁导向渗透测试（TLPT）。 一家大型欧洲金融公司如何应对DORA挑战 公司将其交付领导者：活动集群领导者，加上每个运营实体的单一联系点。这种方法具有双重效果：当然，公司推动了与DORA相关的活动的强大执行；更重要的是，它在整个组织中创建了技术风险管理文化，同时培训和提高了全体员工的技能。 到2025年1月达到法规的要求。它通过定义特定活动完全重新设计了计划 基于欧盟，在50多个国家开展业务的市场领先的金融机构刚刚在 集群专注于每个法规的内容领域，重组治理和指导，以包括所有关键实体的业务和技术领导者，并在集中的工具解决方案中建立企业范围的进度和文档跟踪和报告。值得注意的是，它还将所有运营实体置于相同的程序编排保护伞下，以进行端到端支持和执行管理。该公司在这些活动中效率很高：它在一个月内实现了重新设计的计划结构（超过300名员工，完成了全面的计划和差距评估）。 2023 and had to rapidly shift efforts to meet DORArequirements. In the fourth quarter of 2023, theorganization established a small DORA programfocused on compliance in 有几个明确的领域，但它缺乏以基于风险的方式在整个团队中扩展和执行的能力，考虑到高度复杂的内部和地理设置。此外，一些高级利益相关者缺乏关注，工作层面的团队不一致。 通过采取如此强大，积极的步骤-朝着中央，战略编排 计划并朝着面向行动，领导者驱动的交付问责制迈进-该公司已开始将技术风险管理视为不是“非功能性任务”，而是将其视为商业价值的关键驱动力。这种真正的战略，基于业务和风险的，整体的，结构化的方法使公司的DORA准备轨迹比欧洲同行更为陡峭。 不想失去2023年非常成功的补救工作的动力，也不想知道要达到DORA的预期，该公司从2024年第一季度开始，加倍了DORA计划的努力，并设定了目标 现在有了更好、更全面的结构，它转向了激活计划。 其成功激活的关键是强烈的责任感 关于第一个挑战，一位首席信息安全官说：“鉴于主题广泛，DORA计划的广度是不可避免的。但是，选择的范围界定深度会极大地影响实现合规性所需的工作量。” 截至2024年4月，大多数组织表示他们已经完成了差距分析，并正在进行 of designing or rolling out implementation program.Nevertheless, every organization reports some uncertainty —for example, around the precise requirements of thelegislation. In particular, respondents points to two challenges: At some institutions, uncertainty over scoping has led toincreased budget allocations (Exhibit 1). Therypally, aninstitution might have sparmed €5 million to€15 million for its DORA program strategy, planning, design,and orchestration. But early estimates for full implementationcosts are coming in at five to ten times that one larger FIreported that its final planned DORA implementation spentacross the —关键项目范围的清晰度有限(例如，关键或重要职能[CIFs]和关键ICT第三方提供商的定义) —对实施时间表的担忧，考虑到两批欧洲监管机构监管技术标准(RTS)中的第二批将于2024年7月定稿，一些 监管要求（例如，更新所有相关的第三方合同）需要大量的实施准备时间 集团总计近1亿欧元，在计划编排和技术控制升级之间分配。根据我们与其他金融机构的对话，我们预计整个金融行业都会有类似的倍数— —特别是在大公司或那些努力采用基于风险的范围界定方法的公司。 附件1 大多数接受调查的机构计划在数字运营弹性法案战略、规划、设计和编排上花费500万至1500万欧元。 麦肯锡公司 在DORA计划能力方面，约40％的金融实体和ICT提供商投入了超过7个全职等价物（FTE），而不到20％ 监管合规很少便宜， 大多数调查受访者认为，保持DORA合规性将产生持续的成本。 还没有指派专门的FTE (图表2)。在我们的客户参与中,一些领先的组织表示, DORA要求的广泛范围意味着不同的功能领域正在推动可交付成果,尽管有中央协调。总而言之,这些因素往往会减少专门的FTE的数量。 在我们的调查受访者中，70%的受访者表示，继续满足DORA要求将导致技术和技术控制的运行成本永久上升。 行业参与者和ICT服务提供商面临的挑战 程序转向是实施机器中至关重要的齿轮，但我们的研究几乎没有迹象表明该行业已经达到了标准化的方法。在大约50%的被调查机构中, IT组织推动DORA的实施,而在其余的集团中,业务和监督功能的组合更普遍地控制(图表3)。普遍存在的所有权分布表明，许多组织仍然将数字弹性视为“IT问题”，而不是整个组织关注的问题。 在机构面临的众多挑战中，有一个 在我们的调查回应中脱颖而出的是ICT第三方风险管理(图表4)。管理 金融机构必须在两个方面做出重大努力：确保对所有ICT服务提供商及其相关风险进行全面监督，并积极管理与关键ICT第三方服务提供商相关的数字风险。为了以具有成本效益的端到端方式实现这些目标，领先的金融机构采取基于风险的整体方法，反过来需要专门的流程和技术。 麦肯锡公司 负责与《数字运营弹性法》保持一致的组织职能，%的受访者（n=18） 麦肯锡公司 附件4 第三方信息和通信技术风险管理被视为一项关键挑战。 麦肯锡公司 在与第三方的接触方面，许多金融机构在与较小的实体谈判时报告了挑战。一个困难是较小的第三方通常缺乏足够的人才或资源来实现完全的DORA合规性，因此可能难以按时满足要求。组织之间能力的这种差异可能会延长某些实施方案的时间范围。 再一次，一个关键变量是范围界定，我们与主要金融机构的讨论表明，对立法范围的理解存在很大差异-甚至在与类似数量的ICT供应商合作的公司之间也是如此。例如，在合同补救中，一些组织专注于尽可能少的20个补救，而其他人则计划补救多达3, 000个合同（请参阅侧栏“DORA补救活动的关键范围项目”）。 金融机构面临的一个共同的结构性挑战是其双重角色，即与提供者接触并成为他人的提供者。例如,金融机构可以代表另一金融机构提供支付服务,同时还使用第三方来支持其自己的商业服务。这些双重动态可能会从两个角度使机构面临监管审查：它可能需要启动和应对合同补救活动。 做出补救决策的一个重要因素是如何定义“关键”ICT第三方服务提供商。根据DORA第31条，考虑的标准包括对金融服务提供的稳定性，连续性和质量的系统性影响， 依赖于提供商的机构数量，以及机构之间的相互依赖关系。组织必须与法律顾问紧密合作，以确定该定义的哪种解释最佳地满足DORA要求并增强数字弹性。 DORA补救活动的关键范围界定项目 硬件提供商通过软件或固件更新提供技术支持，不包括传统的模拟电话服务。”鉴于这种广泛的语言，由市场参与者自己决定各个ICT提供商是否符合该定义。一些决策者认为，由传统IT以外的公司提供的服务，例如律师事务所和咨询公司，可能属于立法的范围；但是，有些则不属于。此外，组织通常缺乏 目标（RTO）和恢复点目标。例如，在发生小的，包含的事件时，实现四小时的恢复时间（标准RTO）是合理的，但是在大规模勒索软件攻击导致重大中断之后，这几乎是不可能的。领先的组织采用用例和关键性为导向设置恢复时间的方法，通常与业务影响分析相关。 以下是关键范围公司在评估其DORA合规性时应考虑。 —定义关键或重要功能(CIF)。准确定义CIF是DORA范围界定的基石(例如，映射IT资产到CIF，定义恢复时间）。机构面临的挑战是，没有行业范围的框架可以确定哪些职能应被视为CIF。相反，行业参与者倾向于依赖个人第三方框架，例如BaFi的RRP（恢复和弹性计划）或英格兰银行的IBS（重要业务服务），以及欧洲银行管理局的技术指导。 跨业务部门、地理位置、母公司/子公司或集团/法律实体的第三方关系的综合视图。这种缺乏一致性可能会导致同一提供商的不同分类，从而在现场检查期间造成混乱。 —定义并选择合适的测试方案来进行线程式渗透测试。一些组织表示，他们很难为TLPT定义正确的测试方案，这是一个特别令人担忧的问题 —界定ICT服务提供商。DORA将ICT服务提供商定义为“提供ICT服务的企业；通过ICT系统持续向一个或多个内部或外部用户提供的数字和数据服务，包括硬件即服务和硬件服