數位營運應變力法案 (Digital Operational Resilience Act, DORA) 是一項全面性的歐盟法規，旨在加強金融業的數位營運應變力。DORA 於 2023 年 1 月制定，為金融機構管理資訊與通訊技術 (ICT) 風險、事故報告及第三方服務供應商關係建立統一的架構。這項里程碑式的立法代表了歐盟針對金融服務日益數位化，以及強大網路安全措施需求的回應。

瞭解您的 CMDB、IT 服務管理 (ITSM) 和可觀察性解決方案如何有助於符合 DORA 規範。

閱讀白皮書

數位營運彈性法

瞭解 DORA 的範圍和應用

DORA 適用於在歐盟境內營運的各種金融實體。銀行和信貸機構，無論是傳統的還是數位的，都構成了受監管實體的核心。但 DORA 的範圍非常深遠，超越了傳統的銀行和信貸機構，還包括：

支付機構，包括根據指令 (EU) 2015/2366 獲豁免的支付機構
帳戶資訊服務供應商
電子貨幣機構，包括根據指令 2009/110/EC 獲得豁免的電子貨幣機構
投資公司
根據歐洲議會和理事會關於加密資產市場的法規，以及修訂法規 (EU) No 1093/2010 和 (EU) No 1095/2010 以及指令 2013/36/EU 和 (EU) 2019/1937 （「加密資產市場法規」）授權的加密資產服務提供商，以及資產參考代幣的發行商
中央證券保管機構
中央交易對手
交易場所
貿易儲存庫
另類投資基金經理
管理公司
資料報告服務供應商
保險和再保險業務
保險中介人、再保險中介人和輔助保險中介人
職業退休準備的機構
信用評等機構
關鍵基準的管理員
集資服務提供者
證券化儲存庫
ICT 第三方服務供應商

DORA 合規的核心要素是什麼？

ICT 風險管理

金融實體必須實施包含多層安全性與監督的全面 ICT 風險管理架構。這些架構需要具體處理數位復原力的詳細策略與政策，包括網路威脅預防與回應的具體措施。組織必須定期進行風險評估，以找出整個數位基礎架構中現有及新出現的弱點。

安全措施必須包括精密的存取控制，以管理使用者權限並保持資料完整性，同時使用最先進的加密通訊協定來保護敏感的財務資訊。此架構需要持續監控系統，以提供對潛在安全威脅和系統效能的即時洞察力。必須建立明確的管理架構，並指定具體的角色與責任，以確保風險管理程序的問責性。

事件管理與報告

DORA 規定了複雜的事件管理和報告程序，超越了基本的網路安全協議。組織必須發展並維護健全的偵測系統，能夠識別明顯和微妙的 ICT 相關事件。這項要求包括實施多層分類系統，根據預先定義的標準和對財務運作的潛在影響，準確評估事件的嚴重性。

必須保留詳細的事件日誌，並全面記錄回應程序、解決步驟和結果分析。重大事故需要透過既定渠道迅速向相關當局報告，並規定初次通知和後續報告的具體時限。組織必須針對不同的利害關係人群體，包括客戶、合作夥伴、法規機構，以及必要時的媒體，制定並定期更新溝通計劃。

數位作業彈性測試

DORA 要求透過多種方法對數位復原能力進行系統性測試。必須使用先進的測試工具和方法定期進行弱點評估，以找出 ICT 系統中的潛在弱點。獨立單位必須執行滲透測試，以確保對安全措施進行公正的評估，並找出潛在的入侵點。以情境為基礎的測試應該模擬真實世界的網路威脅和作業中斷，以評估應變能力和系統彈性。

必須定期驗證安全措施，以確保它們能持續有效地對抗不斷演化的威脅。所有測試活動都需要詳細的文件記錄，包括所使用的方法、發現和所採取的修復步驟。

第三方風險管理

DORA 強調透過有系統的監督與文件記錄，全面管理與 ICT 服務供應商之間的關係。組織必須對協力廠商供應商進行徹底的風險評估，評估其技術能力、安全措施及業務連續性計劃。服務協議需要定期審查，以確保符合目前的法規要求和作業需求。

組織必須維護詳細的提供者名冊，記錄所有關鍵和非關鍵服務安排，包括所提供的特定服務、資料存取層級，以及所採取的安全措施。關鍵服務安排必須向監管機構報告，並就重大變更提供更新。合約義務必須明確處理合規性要求，包括安全措施、事故報告和稽核權。

OpenText IT Operations 解決方案如何協助符合 DORA 規範？

OpenText IT Operations 解決方案透過滿足主要監管要求的技術平台，協助金融機構達成並維持 DORA 合規性。

OpenText™ Universal Discovery and CMDB可深入瞭解組織的 ICT 基礎架構，是符合 DORA 規範的基礎元素。此解決方案同時具備無代理和基於代理的發現功能，可建立 IT 環境的全面檢視，包括透過安全 VPN 或間歇性網際網路連線連接的裝置。它可對多雲環境執行以事件為基礎的更新，確保金融機構能精確、即時地維持其整體基礎架構的狀況，包括內部部署和雲端環境。其服務對應功能可讓組織在實施前預測變更會如何影響重要的金融服務，直接滿足 DORA 的風險管理和營運彈性要求。

OpenText™ Service Management整合了基本的 ITSM 和 IT 資產管理功能，以建立服務、應用程式和支援 ICT 設備的明確所有權和管理。此解決方案包含 ITIL 認證的最佳實務範本，涵蓋事件、問題、變更、發行及組態管理 - 所有符合 DORA 的關鍵元素。這些範本可協助組織建立自動回應鏈，將服務中斷情況降至最低，並確保一致處理 ICT 相關事故，符合 DORA 對事故管理和報告的要求。

OpenText™ Core Infrastructure Observability透過提供多雲端和內部部署資源的端對端可視性，滿足 DORA 的監控需求。AI 驅動的異常偵測功能可讓金融機構在潛在問題影響服務交付之前，即加以識別。組織也可以建立機制，快速偵測異常活動 (包括網路效能問題及 ICT 相關事故)，並找出可能影響運作復原能力的潛在單點故障。

OpenText™ Core Application Observability專注於應用程式效能與服務遞送，可補足基礎架構監控。此解決方案可協助企業確保重要的金融服務應用程式維持最佳效能與可用性。它能夠對事件進行全面的根本原因分析和記錄，支援 DORA 對事件處理和解決的要求。整合式監控與後續追蹤功能可確保組織維持一致的服務品質，同時符合法規報告要求。

DORA 準備就緒：是時候行動了

DORA 代表著金融機構必須處理數位營運和風險管理方式的重大轉變。要成功符合 DORA 規範，需要結合強大的技術解決方案、明確的流程，以及持續致力於數位復原的全面性策略。各機構必須在 2025 年 1 月的最後期限之前，及早開始其合規之旅，以確保符合所有要求，並維持數位時代所需的運作彈性。透過OpenText 的 IT Operations 解決方案，金融機構可為 DORA 合規性建立堅實的基礎，同時提升整體 IT 作業效率與安全勢態。