What is the Digital Operational Resilience Act (DORA)?

DORA(デジタル・オペレーショナル・レジリエンス法)は、 金融サービス 部門の サイバーセキュリティ とオペレーショナル・レジリエンスを向上させることを目的とした法案です。これは、ネットワークおよび情報セキュリティ指令(NISD)や 一般データ保護規則 (GDPR)などの既存の法律を補完するものです。 DORAはまだ立法プロセスを進めていますが、2022年に承認される予定です。

デモを見る

What is the Digital Operational Resilience Act (DORA)?

デジタル・オペレーショナル・レジリエンス法(DORA)は組織にどのような影響を与えますか?

デジタル・オペレーショナル・レジリエンス法は、金融機関に提供されるサービスの重要度のしきい値を定義しています。 組織が金融機関への直接サービスプロバイダーであり、そのサービスがこれらのしきい値を満たしている場合、その会社はDORAの対象となります。 これは、組織が関連する金融規制当局によって直接監督されることを意味します。

 

サービスがDORAのしきい値を満たさない組織の場合、規制は引き続き適用されますが、直接の監督は必要ありません。 代わりに、組織の顧客は、DORAの要件への準拠を達成するために、特定の契約条件を要求する必要があります。

 

たとえば、デジタル・オペレーショナル・レジリエンス法(DORA)では、金融機関はデータ侵害を一定の発見期間内に規制当局に報告することが義務付けられています。 金融機関は、サプライヤーやサービスプロバイダーに対して、契約上の義務の一部として、同じ違反報告要件を課すことが求められます。 組織がこれらの条件を受け入れる意思がない場合、DORAは金融機関がそれらの条件と取引することを禁止します。

 

デジタル・オペレーショナル・レジリエンス法は、金融機関がサプライヤーに要求する条件と、これらのサプライヤーが実施しなければならないセキュリティ管理を規定しています。 DORAは金融業界全体のレジリエンスの向上を目的としているため、これらの義務と要件はサプライチェーン全体に転嫁される可能性があります。

デジタル・オペレーショナル・レジリエンス法(DORA)の主な要件

DORAの主な目的は、金融セクターの運用上の回復力を確保することです。 その一環として、デジタル・オペレーショナル・レジリエンス法の対象となる組織は、もっともらしいサイバー脅威に対する潜在的な脆弱性を特定し、これらのリスクから保護するためのポリシーとセキュリティ制御を導入するのに役立つリスク管理プロセスを実装する必要があります。

 

DORAは、金融機関とそのサプライヤーがオペレーショナルレジリエンスのために従う必要のあるルールのフレームワークを作成します。 主な目標と要件には、次のようなものがあります。

 

  • リスク管理とガバナンス: DORAは、金融セクターにおけるリスク管理のためのフレームワークとガイドラインを示しています。 これらのガイドラインは、組織がより成熟したリスク管理プログラムを構築し、運用の回復力を向上させるのに役立つことを目的としています。
  • レジリエンステスト: DORAは、対象となる組織がリスク評価に基づいて回復力テストプログラムを実装することを提案しています。 これにより、運用に脅威を与える前に問題を特定して修正できます。
  • 情報共有: 金融業界で活動する 多くのサイバー脅威 アクターは、一度に複数の組織を標的にします。 DORAは、脅威インテリジェンスの共有を促進することで、業界全体が継続的なサイバー脅威をより認識し、直面する準備を整えるのを支援します。
  • サプライチェーン管理: DORAは、金融機関とサプライヤーとの契約関係に要件を課しています。 さらに、金融機関は、これらのサプライヤーが生み出すリスクを管理するための戦略(関係の解消や代替サプライヤーへの移行の可能性など)を持つことが求められます。
  • インシデント報告: DORAは、インシデント報告の範囲を拡大し、報告プロセスの合理化を試みています。 また、DORAは、より迅速な報告を要求することで、インシデントの迅速な調査と対応を促進し、侵害の影響を軽減するのに役立ちます。 また、侵害レポートは、他のネットワークへの未知の侵入を検出するために使用できます。
  • 監査アクセス: DORA規制により、規制当局(およびサプライヤーの場合は金融機関)は、金融業界のサプライチェーン全体で監査を行うことができます。 これはコンプライアンスの推進に役立ちますが、組織はオンデマンドでレポートを生成する機能を備えている必要があります。
  • レトロスペクティブ分析: ほとんどの組織は自社の内部インシデントから学ぼうとしますが、DORAは外部のインシデントに基づいてポリシーを研究し、改訂することを推奨しています。 これは、複数の組織が同じ種類の攻撃の被害に遭うのを防ぐことを目的としています。

 

デジタル・オペレーショナル・レジリエンス法の正確な要件は、まだ草案の段階にあるため、不明です。 ただし、これらの要件を満たすためのプロセスを今すぐ開始すると、法律が承認された後のコンプライアンスが簡素化されます。

チェック・ポイントのソリューションがDORAコンプライアンスにどのように役立つか

DORAはまだ可決されていませんが、2022年に法制化される予定です。 つまり、DORAの影響を受ける可能性のある組織は、今日からコンプライアンスに向けて取り組み始める必要があります。

 

デジタル・オペレーショナル・レジリエンス法に備えるために、組織が実行できる最も重要なステップの1つは、セキュリティ・アーキテクチャの簡素化と合理化です。 DORAには、サイバーセキュリティインシデントの迅速な報告、組織のサードパーティの依存関係の可視化、規制当局や顧客からの監査要求に対応する能力が必要です。

 

チェック・ポイント Harmony Suite は、エンドポイント、モバイル、クラウド、電子メールのサポートなど、組織のすべてのITインフラストラクチャにわたって統合された保護を提供します。 Harmony Suiteは、組織のセキュリティインフラストラクチャを簡素化および合理化することにより、サイバー脅威からの保護とDORAのレポート要件の遵守を容易にします。 チェック・ポイントのソリューションがコンプライアンスやその他の規制にどのように役立つかについては、 お問い合わせください

×
  Feedback
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
OK