パリ、フランス2025年2月Sean Tilley、EMEAコマーシャルディレクター11:11システム、マネージドインフラストラクチャソリューションのサプライヤーは、1月17日に施行され、金融サービスのアクターと連邦ヨーロッパに拠点を置くITプロバイダーに適用される新しいDORA(デジタルオペレーションレジリエンス法)規制の分析を提供します。彼は特に、フランスで働く企業に固有の特異性を説明しています。サイバー攻撃、妨害された停止、およびデータ違反の一般化に応じて、ドラ規制は、に関連する規定を調和させることを目指しています安全、機密性とサイバーセキュリティ。これは、サイバー犯罪者がますます抑制されず、創造的になっており、2025年に予測可能な攻撃が増加しているため、これはさらに重要です。
最近の傾向は、サイバー犯罪の心配な増加を明らかにしています。の研究SecurityScoreCard主要な欧州金融機関の78%が昨年、第三者に起因するデータ違反から苦しんだことを明らかにしました。一方、これらの機関の84%は、4番目のパートを含む違反の影響を受けました。これは、金融セクターのリスクの程度を強調しています。さらに、世界経済フォーラムのサイバーセキュリティの見込みレポートによると、サプライチェーンの脆弱性は、生態系の主な脅威になるための道にあり、このタイプの課題を主な障害のように受け取っている大企業の54%がこのタイプの課題を受けています。 Cyberresilienceに。
ショーン・ティリーによると、「ハイブリッド作業モデルの採用とクラウドインフラストラクチャへの傾向の傾向により、企業は検出が困難なより多くのサイバー攻撃にさらされています。これらの脅威はますます高度になっており、AIテクノロジーを使用して攻撃ベクトルを自動化します。この角度から、ドラはもはや単純な法的義務ではありませんが、サイバーセキュリティの枠組みを強化し、運用上回復力の実装を強化するための重要な戦略です。 »»
Rançonソフトウェアは、エディションに応じて、アクティビティセクターの92%の主な脅威を表しています2024 Du Rapport Data Breach Investisations de Verizon、これにより、矯正および露出管理の迅速な適用が組織にとってこれまで以上に重要になります。 DORAの規制の枠組みは、ヨーロッパ本土の情報通信技術(TCI)の金融エンティティと外部プロバイダー向けのデジタルシステムの整合性と回復力を強化するように設計されています。これは、TCIにリンクされたリスクの検出、処理、報告の尺度を調和させて、違反の増加リスクを改善することを目的としています。
コンプライアンス違反の結果を理解します
「サイバー攻撃の台頭に直面して、ドラは欧州連合の金融機関のサイバーセキュリティの位置を改善するように設計された参照フレームワークとしての地位を確立しました」とショーンティリーは付け加えます。
金融セクターのほとんどの巨人がすでに高度に規制された環境で動作し、システムに堅牢なサイバーリエンヌの測定を組み込んでいる場合、コンプライアンス違反のリスクは金融サービス部門で重くのしかかっています。による研究サイバーディフェンスオレンジ組織の43%が、発効期間後にドラに準拠しないことを明らかにしました。さらに心配すると、規制の複雑さにより、この遅延は平均して3か月かかるはずです。
「ドラは発効し、特にICTのリスク、インシデントの報告、テスト、脅威、および外部リスク管理に関する情報の共有、および非適用の場合にかなりの罰則を提供する厳格なフレームワークを課しています」とショーンティリーは回想します。 「組織は、成人としての事件の分類後、わずか4時間以内に「主要な」事件(必須サービスへの影響に従って定義されている)が発生した場合、有能な当局に通知する必要があります。この最初の通知の後に、イベントの分類から72時間以内に大規模なインシデントとしての詳細な中間レポートが続く必要があります。 Doraはまた、企業が特定の登録簿にITプロバイダーとの契約に関する情報を保持することを要求しています。 »»
これらの規制の非適用には、深刻な影響がある可能性があります。欧州連合の加盟国の法律は、学期または最大100万ユーロの個々の罰則での毎日の世界的な売上高の2%に相当する金融制裁を規定しています。 TCIサードパーティサービスプロバイダーは、ドラの規定を適用しない重要な役割を果たしています。これは、より重い罰金、運動の禁止、その結果、修理が困難なブランドイメージへの損害にさらされます。
規制当局は制限することができます。非統合金融会社の活動を整理するまで、彼らが整理されるまで停止することができます。また、違反の合理的な疑いが発生した場合、電気通信オペレーターからデータ送信レコードを要求する権限があります。関係者と違反の性質を特定する公開発表も行うことができます。これらの罰則は、罰金だけよりもさらに重要な経済的影響を与える可能性があります。また、DORAは、100万ユーロの最大ペナルティで、ビジネスに違反しない場合にマネージャーの個々の責任の概念を導入していることにも注意する必要があります。
堅牢なコンプライアンス戦略を求めてください
によって行われたデータシグナル伝達演習欧州監視当局1,039の金融サービス会社は、報告エラーがないのは6.5%のみであることを明らかにしました。これらのエラーの大部分は、精度の欠如を指し示し、総エラーの84%が義務フィールドにデータが欠落し、その後、誤った法人(LEI)識別子が誤っているため、6.5%が続き、コンプライアンスの課題の程度を示しています。
したがって、組織は、データレポートと品質エラーを回避するために正しい情報を提供する必要があります。また、組織がLEIを取得して、データレポートに参加できるようにすることも不可欠です。
「予測的かつ完全なサイバーセキュリティ戦略を持っておらず、ドラに準拠していない組織は、彼らの業務だけでなく、彼らの顧客の評判と信頼も危険にさらされる危険を冒す重大な結果にさらされています」とショーン・ティリーは説明します。
歩く
「ドラの規制の枠組みは、金融エンティティとその下請業者のための構造化されたセキュリティアプローチを作成し、ますますデジタルコンテキストで運用上の回復力を管理できるようにします」とショーンティリーは結論付けています。 「コンプライアンスを専門とするパートナーとのコラボレーションは、組織が規制の複雑さに適応し、コンプライアンスを実際の処理力に変換するのに役立ちます。 »»
コンプライアンス違反が発生した場合のかなりの脅威とリスクの進化を考えると、組織はサイバーセキュリティの枠組みを強化しながら、ドラへのコンプライアンスを優先しなければなりません。問題はかなりのものですが、適切な措置は、関係するすべての関係者にとってより回復力のある安全な営業環境を作り出します。
接触:
運命ギルビー
