2025年1月17日に発効したデジタル運用レジリエンス法(DORA)は、ほぼすべての金融セクターの金融機関に対し、情報通信技術(ICT)に関連するリスクおよびインシデントの管理に関する新たな義務を課しています。
この規制は、EUの金融セクターのデジタルレジリエンスを強化し、ICTリスク管理のための統一された基準を確立することを目的としています。
DORAは、EU内で活動する金融機関およびICTサービスプロバイダーに適用されます。
クリティカルな第三者ICTサービスプロバイダー(Critical Third Party ICT Service Providers、CTPPs)は、直接的な規制要件および金融当局による監督の対象となります。
その他のICTサービスプロバイダーは、特に金融機関との契約の調整を通じて間接的に影響を受け、DORA基準に準拠する必要があります。
影響を受けるのは、EU内外の金融サービスプロバイダー、テクノロジー企業、フィンテック企業で、EU内で以下のようなサービスを提供する企業が含まれます:
金融機関は、ICTリスクの特定、管理、報告のための包括的なフレームワークを導入する義務があります。
これには、脆弱性分析、オープンソース分析、ネットワークセキュリティ評価が含まれます。
DORAの第7条では、ICT関連のビジネス機能を毎年文書化し、見直すことが規定されています。
NIS2指令に準拠し、企業はソフトウェア部品表(Software Bill of Materials、SBOM)を維持し、ソフトウェアコンポーネントの脆弱性を特定・対処する必要があります。
技術規制基準(RTS)の第5条では、ICT資産の重要性を評価するための詳細な手順が求められており、リスク分析や機密性、完全性、可用性の喪失がビジネスプロセスに及ぼす影響の評価が含まれます。
企業は、厳格な報告期限に従ってICT関連インシデントを監督当局に報告する必要があります:
金融機関は、特にクリティカルな第三者ICTサービスプロバイダーがDORA基準を遵守することを保証する必要があります。
RTSの第10条では、クリティカル機能に対して週1回の脆弱性スキャンや、第三者ライブラリ(オープンソースを含む)の追跡が求められます。
DORAでは、オープンソースコンポーネントのSBOM作成が要求されます。
金融機関はOSSプロバイダーのセキュリティ慣行を評価し、定期的な脆弱性テストを実施する必要があります。
クリティカルな第三者ICTサービスプロバイダーは金融当局による直接的な監督を受けます。
その他のプロバイダーは、契約上の合意を通じてコンプライアンスを確保する必要があります。
DORAの発効以来、欧州中央銀行(ECB)のサイバーレジリエンスストレステストの結果が、特にAIを活用したセキュリティ対策に関する要件の実施に影響を与えています。
IT部門は、週1回の脆弱性スキャン、3年ごとにTIBER-EUに基づく脅威ベースの侵入テスト(TLPT)、および二要素認証の導入が求められます。
レガシーICTシステムには徹底したリスク評価が必要です。
2024年7月26日に公開されたアウトソーシングに関する最終技術規制基準(RTS)は、2025年1月17日から有効です。
アウトソーシング契約は、DORAの第30条に基づく最低要件を満たす必要があり、緊急時対応計画やICTセキュリティ対策が含まれます。
クリティカルなICTサービスプロバイダーは、明確に定義された緊急時および事業継続計画とサービスレベル契約(SLA)を実装する必要があります。
2025年1月17日の発効以来、DORAは金融セクターにおけるICTリスク管理およびデジタル運用レジリエンスの基準を大幅に強化しました。
EU内外の金融機関およびICTサービスプロバイダーは、厳格な要件に継続的に対応し、罰則を回避し、事業継続性を確保する必要があります。
統一された規制は規制のギャップを埋め、デジタル経済におけるサイバー脅威に対するレジリエンスを強化します。