EUのデジタル・オペレーショナル・レジリエンス法(DORA)が施行されました。この新法は2025年1月17日に正式に発効し、DORAの適用範囲に入る組織は、非遵守の場合に多額の制裁を受ける可能性があります。
この法令は、金融セクターにおけるサイバー・レジリエンスを強化し、サイバー事象による重大な混乱の発生頻度と影響を低減することを目的としています。こうした事象は、世界経済に大きな損害を与える可能性があります。
この規定は、銀行、保険会社、投資会社に適用されます。金融業界内のサードパーティITプロバイダーも対象です。DORAはEU法ですが、域内で事業を行う多くのグローバル組織にも適用されます。
DORAには5つの中核的な重点分野があります:
- ICTリスク管理
- ICTサードパーティリスク管理
- デジタル・オペレーショナル・レジリエンスのテスト
- インシデント報告
- 情報共有。
レジリエンスに焦点を当てると同時に、この法律は増大するサプライチェーンおよびサードパーティリスクへの対処も目指しています。
DORAが施行されたことを受け、Infosecurity は、金融機関がDORAの期限に間に合う準備状況と、今後見込まれるコンプライアンス上の課題の一部を検証しました。
規制当局は厳しい姿勢を取る見通し
金融機関には、DORA要件を実装するための2年間の移行期間が与えられていました。その結果、非遵守に対して規制当局が厳格に対応すると多くの人が見ています。
「DORAへの準拠は譲れないものであり、規制当局は具体的な進捗を期待するでしょう」と、ForesterのシニアアナリストであるMadelein van der Hout氏は説明しました。
DORAに準拠できない組織は、罰金や評判の毀損など、重大かつ広範な影響を含むさまざまな結果に直面するリスクがあります。
非遵守の組織には、全世界の年間売上高の最大2%または1,000万ユーロ(1,020万ドル)のいずれか高い方までの罰金が科される可能性があります。
サードパーティ組織も、非遵守の日数1日ごとに、全世界の平均日次売上高の最大1%の罰金を、最長6か月間科される可能性があります。
さらに、規制当局には、完全な準拠を達成するまで、非遵守の金融機関の事業活動を制限または停止する権限があります。
深刻な場合、非遵守は一時的な業務停止につながり、事実上ビジネスが停止します。こうした制裁は、罰金以上に大きな財務的影響を及ぼす可能性があります。
注目すべき点として、DORAには、企業のコンプライアンス不備に対する経営層の個人責任が含まれており、最大100万ユーロ(102万ドル)の制裁を受ける可能性があります。
今すぐ読む:2025年:EUおよび英国におけるサイバーセキュリティ・コンプライアンスの重要な年
コンプライアンス水準は高いと見込まれる
リスクの大きさを踏まえると、新ルールに準拠するための組織の準備状況には前向きな兆しがあります。
高度なサイバー攻撃の標的となることが多い厳格な規制産業で既に事業を行っている大手金融機関は、概して強固なサイバー・レジリエンスをシステムに組み込んでいる傾向があります。
Infosecurityの取材に対し、JPMorganのグローバルCISOであるPat Opet氏は、同行は一般にコンプライアンス義務を、自社のセキュリティ統制に対する「必要な証明可能性」と捉えていると述べました。
DORAに関してOpet氏は、同行が他の大手グローバル金融機関とともに、近年、対応・復旧やサードパーティのセキュリティといった側面に大きな重点を置いてきたと指摘しました。
「実際、ここ数年でサードパーティに対する当社の義務を変更し、サードパーティが当社の期待するレベルで対応と復旧を制度化することを確実にしました」とOpet氏はコメントしました。
ITソフトウェア監視企業ITRSの金融サービス部門グローバルリードであるGrant Harper氏は、経験則として業界の準備水準が高いことを観察していると述べました。
「企業には準備のための年数があり、実装を担う各監督当局も、すべての参加者が要件を理解できるよう、教育とリソース提供に積極的でした」と同氏はコメントしました。
Van der Hout氏は、EU域外に拠点を置くグローバル金融企業も、競争力を維持し、EUの顧客との相互運用性を確保するために、DORAに合わせて実務を整合させると見ています。
コンプライアンス上の課題は残る
前向きな兆しがある一方で、DORAの一部にはコンプライアンス上の懸念を生んでいる側面があります。
Orange Cyberdefenseの報告書によると、英国の金融サービス業界の43%がDORAのコンプライアンス期限に間に合わず、少なくとも3か月間は非準拠の状態になる見込みです。
コンプライアンスの遅れは、主にICTサードパーティリスク管理に関する規定に関連しているようです。DORAは、ITプロバイダーとの契約に関する情報を登録簿に集約することを企業に求めています。
「EUの金融機関はここ数か月でDORA実装プロジェクトを加速させてきましたが、多くの機関ではまだやるべきことが多く残っています」
法律事務所Linklatersの金融規制シニア・アソシエイトであるSimon Treacy氏は、多くの組織が1月17日の期限を過ぎても登録簿の作業を継続すると見ています。
「EUの金融機関はここ数か月でDORA実装プロジェクトを加速させてきましたが、多くの機関ではまだやるべきことが多く残っています。重点分野には、DORA登録簿とIT契約の更新が含まれます」と同氏は説明しました。
Treacy氏は、EUの規制当局が2025年春にこの情報の提出を求め始める見込みだと付け加えました。これにより、企業は数か月の猶予を得て、登録簿のデータ品質と完全性を改善し、欧州当局からの最近のフィードバックを検討できます。
サードパーティITサービスの領域では、二次法令の一部やQ&Aガイダンスの一部も未確定であり、影響を受ける事業体にとって状況をさらに複雑にしています。
Treacy氏は次のようにコメントしました。「欧州の立法者は、ICTサービスの下請けと脅威主導型ペネトレーションテストに関する詳細ルールをまだ策定中です。また、DORAにおける『ICTサービス』の範囲について、欧州委員会からのガイダンスも見込まれています。これらのルールやガイダンスの結果次第では、企業は実装プロジェクトを延長しなければならない可能性があります。」
もう一つの重大な問題は、DORA準拠に伴う財務コストです。コストは、IT資産全体とサプライチェーン全体にわたるリスクを特定するためのリソースが不足しがちな小規模金融機関にとって、特に大きな課題です。
Rubrikの報告書によると、英国の金融組織のおよそ半数が、DORAコンプライアンスに100万ユーロ超を費やしていることが分かりました。
これらのコストの主要な要素は、ITリスクを特定・評価するための堅牢なプロセスを確立するというDORAの中核要件に関連しています。
Harper氏は、企業のITスタック全体を完全に可視化することは大きな取り組みだと指摘しました。
「これは小さな作業ではありません。特に、複雑なマルチクラウド環境を持つ金融機関ではなおさらです。監視およびオブザーバビリティのソリューションを実装することで、可視性とシステム性能に関するリアルタイムの洞察が得られ、異常を検知し、脆弱性が深刻化する前に特定することを支援します」と同氏は説明しました。
DORAは「負担の大きい」インシデント対応ルールを導入
DORAは、影響を受ける事業体に対して厳格なインシデント報告要件を導入しました。
「重大」インシデントの初期通知は、当該インシデントが重大に分類されると判断してからわずか4時間後までに、所管の権限当局へ提出しなければなりません。
重大インシデントとは、組織の重要機能を支えるシステムなど、重要サービスに影響を与えるものと定義されます。
その後、インシデントを重大と分類してから72時間以内に、詳細な中間報告を提出しなければなりません。
Opet氏は、こうしたサイバー攻撃への対応プロセスの最中にこれを行うのは時間のかかる作業だと述べました。
最終報告は、「重大インシデント」分類から遅くとも1か月以内に提出しなければなりません。
現在および今後のEU法令には、NIS2、一般データ保護規則(GDPR)、およびサイバー・レジリエンス法(CRA)など、サイバーインシデント報告に関して異なるルールが存在します。
一部の専門家は、この一貫性の欠如が、金融セクターを含む企業にとって大きなコストと複雑性を生むと主張しています。
欧州リスク管理協会連盟(FERMA)は、2024年10月の報告書で、これら複数のEUルールへの準拠により、組織はしばしば異なる当局に対して異なる期限でインシデントを報告せざるを得なくなると警告しました。
JPMorganのOpet氏は、この問題が同行にとって重大な懸念事項だと述べました。
「規制の断片化が進めば進むほど、私たちが期待する統制結果の一貫性を保つことが難しくなります。したがって、私たちは規制の調和を強く支持しています」と同氏は説明しました。
Opet氏はまた、DORA自体の報告要件について、複数のEU加盟国で事業を行うグローバル組織にとって「負担が大きい」と表現しました。
「この規制の対象となる国のあらゆる法的実体ごとにインシデントを報告しなければならず、さらに、私たちがマルチプロバイダーの事業である場合に、その法的実体に関連したインシデントの影響を個別に報告しなければならないという事実は、非常に負担が大きい」と同氏は述べました。
結論
DORAは重要な法令であり、サプライチェーンリスクに対する認識の高まりと、最も厳格な対策を講じていてもサイバーインシデントはいつでも起こり得るという事実を反映しています。
大手金融機関は、保管する重要データを保護するための強固な防御を構築してきました。DORAの要件の多くは、サードパーティリスク管理などの分野で既に行ってきた取り組みを反映するでしょう。
しかし、主要なコンプライアンス課題は残っています。これには、サードパーティITプロバイダーとの契約関係の明確化が含まれますが、そのルールはまだ最終化されていません。
金融機関にとって、DORAの厳格なインシデント報告要件を実務的に実装できるかについても懸念があります。
Infosecurityは、今後数か月にわたり、これらのルールの影響、潜在的な改定、そして要件を満たせなかった組織に科された制裁について、引き続き報じていきます。
翻訳元: https://www.infosecurity-magazine.com/news/dora-financial-firms-compliance/
