EU のデジタルオペレーショナルレジリエンス法 (DORA) は、2023年1月16日に発効し、2025年1月17日から企業への適用が開始されました。この法令は、金融機関がオペレーショナルレジリエンス(運営上の回復力)に取り組む方法を大きく変えるものです。
この重要な要件を正しく理解し、DORAへの対応計画を策定することは、規制が強化されるデジタル環境において、企業がセキュリティ、レジリエンス、コンプライアンスを維持するために不可欠です。
デジタルオペレーショナルレジリエンス法(DORA)は、金融機関が情報通信技術(ICT)に関連する障害や脅威に対して、耐性を持ち、迅速に回復できる体制を構築することを目的とした欧州連合の法令です。
DORAでは、金融機関およびICTサービス提供者に対し、業務やサプライチェーンに影響を及ぼす可能性のあるICTリスクを特定・監視・軽減することが求められています。この規制は、困難な状況下でも業務の継続性とレジリエンスを確保することを目指しています。
対象範囲は広く、金融機関およびそのICTサービス提供者が含まれており、インシデントの予防・検知・対応を可能にするリスク管理フレームワークの構築が義務付けられています。また、重要なICTサービス提供者については、オペレーショナルレジリエンス基準への準拠を確保するための監督も行われます。
EU のデジタルオペレーショナルレジリエンス法への対応を進めるにあたり、企業はさまざまな重要な課題に直面します。以下のような問いから、現在どの程度対応できているか検討する必要があります。
デジタルオペレーショナルレジリエンス法 (DORA) は、EUの金融機関がICT(情報通信技術)に関連する障害に対して、適切に対応し、業務を継続できる体制を確保するための規制枠組みです。DORAでは、企業の業務レジリエンスを強化するために、以下の5つの柱が定められています
金融組織は、オペレーショナルレジリエンスを損なう脅威を軽減および防止するために、健全な ICT リスク管理フレームワークを採用する必要があります。
組織は、重大なICT関連インシデントを必ず所定の期限内に、管轄当局へ報告する必要があります。
金融機関は、サイバー脅威に対する耐性を確保し、潜在的な障害からの回復力を確認するために、ICTシステムの定期的なテストを行わなければなりません。
金融機関は、外部ベンダーによってもたらされるICTリスクを評価し、第三者サービスによって自社のレジリエンスが損なわれないようにする必要があります。
DORAは、サイバー脅威やICTインシデントに関する情報を組織間で共有することを奨励し、全体としてのレジリエンス強化を推奨しています。
DORA は、EU内の金融機関があらゆる種類の障害やデジタルシステムへの脅威に耐えられるようにすることを目的としています。DORAコンプライアンスを達成するために、組織は以下のステップに従うべきです。
まずは、DORAの規定とその影響について、すべての関係者に周知することから始めましょう。
DORAの規制枠組みをカバーする研修プログラムを導入し、デジタルレジリエンスの重要性と、DORAに違反した場合の潜在的な影響を強調することが求められます。
DORAの原則に沿った、堅牢で文書化されたデジタル運用レジリエンスポリシーを確立する必要があります。これらのポリシーは、リスク管理、インシデント対応、復旧戦略を含む、デジタル業務のライフサイクル全体を対象とする必要があります。また、サイバーセキュリティ、運用リスク、ITガバナンスに関する明確なガイドラインを定義しなければなりません。
さらに、組織はデジタルレジリエンス施策の進捗状況に関する透明性を確保するために、年次報告書を公開する必要があります。
DORAは、組織のデジタルオペレーショナルレジリエンスが規定された基準を満たしているかどうかを確認するためのコンプライアンス評価を定めています。デジタルレジリエンス施策については、12か月ごとに定期的な評価を実施し、第三者サービス提供者の評価も行って、DORAへの準拠を確保する必要があります。
また、定期的な監査、リスク評価、インシデント対応の評価を実施し、デジタル業務における潜在的なリスクやコンプライアンス違反の可能性を特定・軽減することが求められます。さらに、組織はサイバー脅威に対するレジリエンスを強化するための計画を策定し、進化するデジタルニーズに適合したビジネスモデルを維持する必要があります。
コンプライアンスプロセス、リスク管理戦略、監視メカニズムを統合した、包括的なデジタル運用レジリエンスフレームワークを導入します。このフレームワークは、デジタル業務全体において透明性、説明責任、倫理的な意思決定を促進し、責任あるデジタル実践と持続可能な成長を支援するものにしてください。
組織は、従業員、顧客、影響を受ける地域社会などのステークホルダーから提起された問題を認識し、対応するために、アクセスしやすいインシデント報告システムを構築・運用する必要があります。
このシステムは、デジタルインシデントの迅速な解決を促進し、得られた教訓を将来のレジリエンス戦略に反映させることを目的とします。
「法令順守と倫理を徹底する企業で働いている」ことに従業員が誇りを持てるように。NAVEX Oneが、企業にとっても従業員にとっても、コンプライアンスを維持し、その水準を維持するために必要なツールを提供します。NAVEX Oneが提供する機能をご覧ください。
組織の行動規範やポリシーを日常的な言葉で伝えるツールにします
詳しくはこちらへ
「声を上げること」「隠さないこと」を日常的なリスク管理・コンプライアンス活動に反映させましょう
詳しくはこちらへ
それぞれの経験に合わせた、わかりやすいオンライントレーニングで従業員の積極的参加を促します
詳しくはこちらへ
NAVEX Oneなら、目的を共にする第三者を簡単に特定し、 最も貴重な提携関係を守ります
詳しくはこちらへ
NAVEX IRMなら、立ち上げも運用もスピーディーに。ベンダーリスク管理を極めるための最短距離がこちら
詳しくはこちらへ
NAVEX IRMなら、導入も立ち上げもスピーディー。ビジネスリスク管理を極めるための最短距離がこちら
詳しくはこちらへ
DORA(デジタルオペレーショナルレジリエンス法)は、金融サービス部門を対象とした欧州連合(EU)の新しい規制です。
この規制の目的は、EU域内の金融機関が、特にサイバーセキュリティリスクを含む、あらゆる種類の情報通信技術(ICT)リスクに耐え、対応し、回復できるようにすることです。
DORAは、銀行、保険会社、投資会社、決済機関、その他の関連事業体を含む、欧州連合内で事業を行うすべての金融機関に適用されます。この規制は、これらの金融機関と連携する第三者のICTサービス提供者にも及びます。
DORAのコンプライアンス要件は2025年1月17日に発効し、金融機関がこの規制に準拠するために、内部プロセスやシステムを調整する時間が与えられています。
DORA の主な要件は 5 つの主な柱に整理されます。
DORAの5つの柱は、金融機関がデジタルリスクに直面してもレジリエンスを維持できるようにするための、包括的なアプローチを表しています。これらの柱の背景にある考え方は、以下のとおりです:
DORAが重要である理由は、金融セクターがますますデジタルインフラに依存しており、その結果としてサイバー攻撃やICT障害に対して脆弱になっているためです。この規制は、業界全体において堅牢なサイバーセキュリティ対策を義務づけることで、金融の安定性を確保することを目的としています。
DORAに違反すると、重大な制裁を受ける可能性があります。多額の罰金や評判の毀損などがそれにあたります。制裁を執行する責任はEU加盟国の管轄当局にあり、違反の内容に応じて制裁内容は異なります