欧州の金融サービス機関の大半は、EUのデジタル運用レジリエンス法(DORA)で定められた要件を、法律施行から6か月経った今も満たしていません。
これはVeeamの調査によるもので、この地域の金融企業の96%が、現在のデータレジリエンスのレベルがDORA準拠に達していないと考えていることが分かりました。
金融サービス企業はまた、DORA準拠に関して予期せぬ大きな課題に直面していると報告しています。約半数(41%)が、規制の影響でITおよびセキュリティチームのストレスやプレッシャーが増加したと答え、37%はICTベンダーから転嫁されたコスト増に直面しています。
さらに、20%はDORAの要件を満たすために必要な予算をまだ確保できていません。
回答者の5分の1以上(22%)は、DORAの設計がより簡素化や明確化、より詳細なサードパーティリスクガイダンスなど、準拠を支援する形で改善できたと感じています。
DORAは2025年1月17日に正式に施行されました。この法律は、銀行、保険会社、投資会社などの金融サービス機関に新たなサイバーレジリエンス要件を課しています。金融業界内のサードパーティITプロバイダーも対象となります。
DORAはEU法ですが、この地域で事業を展開する多くのグローバル企業にも適用されます。
規制当局は、違反に対して世界年間売上高の2%または1,000万ユーロ(約1,160万ドル)のいずれか高い方までの巨額の罰金を科す権限を持っています。
サードパーティ企業も、違反1日ごとに平均日次世界売上高の1%まで、最長6か月間の罰金を科される可能性があります。
サードパーティリスク管理が最大の課題
サードパーティリスクの監督は、DORA要件の中で最も実施が難しいと見なされており、回答者の34%がこれを挙げました。これは、金融サービス業界で利用されているサードパーティネットワークの数が非常に多いことが要因と考えられます。
5分の1(20%)は、DORA準拠のサードパーティリスク監督をまだ実施していないと答えました。
多くの組織が、以下を含む他の主要なDORA要件の実施過程にあると報告しています:
- リカバリーおよび継続性テスト(24%)
- インシデント報告プロセス(24%)
- DORA実施責任者の任命(24%)
- デジタル運用レジリエンステスト(23%)
- バックアップの完全性および安全なデータ復旧(21%)
DORAは今や組織の最優先事項に
7月17日に発表された本調査では、94%の組織がDORA準拠を、規則施行前の1か月よりも組織の優先事項として高く位置付けていることが分かりました。
さらに、40%がDORAを「デジタルレジリエンスの最優先事項」と表現し、半数は要件をより広範なレジリエンスプログラムに統合したと述べています。
VeeamのEMEA担当フィールドCISO、Andre Troskie氏は次のようにコメントしています。「もちろん、要件を満たすことは重要ですが、DORAは組織にレジリエンスを全体的に評価させることも目的でした。その点では、うまく機能しているようです。」
Veeamの調査は、英国、フランス、ドイツ、オランダの従業員500人以上の金融サービス企業の上級IT意思決定者またはコンプライアンス責任者404人を対象に実施されました。
翻訳元: https://www.infosecurity-magazine.com/news/european-financial-dora-compliance/