DORA(デジタル・オペレーショナル・レジリエンス法)は、 金融サービス 部門の サイバーセキュリティ とオペレーショナル・レジリエンスを向上させることを目的とした法案です。これは、ネットワークおよび情報セキュリティ指令(NISD)や 一般データ保護規則 (GDPR)などの既存の法律を補完するものです。 DORAはまだ立法プロセスを進めていますが、2022年に承認される予定です。
デジタル・オペレーショナル・レジリエンス法は、金融機関に提供されるサービスの重要度のしきい値を定義しています。 組織が金融機関への直接サービスプロバイダーであり、そのサービスがこれらのしきい値を満たしている場合、その会社はDORAの対象となります。 これは、組織が関連する金融規制当局によって直接監督されることを意味します。
サービスがDORAのしきい値を満たさない組織の場合、規制は引き続き適用されますが、直接の監督は必要ありません。 代わりに、組織の顧客は、DORAの要件への準拠を達成するために、特定の契約条件を要求する必要があります。
たとえば、デジタル・オペレーショナル・レジリエンス法(DORA)では、金融機関はデータ侵害を一定の発見期間内に規制当局に報告することが義務付けられています。 金融機関は、サプライヤーやサービスプロバイダーに対して、契約上の義務の一部として、同じ違反報告要件を課すことが求められます。 組織がこれらの条件を受け入れる意思がない場合、DORAは金融機関がそれらの条件と取引することを禁止します。
デジタル・オペレーショナル・レジリエンス法は、金融機関がサプライヤーに要求する条件と、これらのサプライヤーが実施しなければならないセキュリティ管理を規定しています。 DORAは金融業界全体のレジリエンスの向上を目的としているため、これらの義務と要件はサプライチェーン全体に転嫁される可能性があります。
DORAの主な目的は、金融セクターの運用上の回復力を確保することです。 その一環として、デジタル・オペレーショナル・レジリエンス法の対象となる組織は、もっともらしいサイバー脅威に対する潜在的な脆弱性を特定し、これらのリスクから保護するためのポリシーとセキュリティ制御を導入するのに役立つリスク管理プロセスを実装する必要があります。
DORAは、金融機関とそのサプライヤーがオペレーショナルレジリエンスのために従う必要のあるルールのフレームワークを作成します。 主な目標と要件には、次のようなものがあります。
デジタル・オペレーショナル・レジリエンス法の正確な要件は、まだ草案の段階にあるため、不明です。 ただし、これらの要件を満たすためのプロセスを今すぐ開始すると、法律が承認された後のコンプライアンスが簡素化されます。
DORAはまだ可決されていませんが、2022年に法制化される予定です。 つまり、DORAの影響を受ける可能性のある組織は、今日からコンプライアンスに向けて取り組み始める必要があります。
デジタル・オペレーショナル・レジリエンス法に備えるために、組織が実行できる最も重要なステップの1つは、セキュリティ・アーキテクチャの簡素化と合理化です。 DORAには、サイバーセキュリティインシデントの迅速な報告、組織のサードパーティの依存関係の可視化、規制当局や顧客からの監査要求に対応する能力が必要です。
チェック・ポイント Harmony Suite は、エンドポイント、モバイル、クラウド、電子メールのサポートなど、組織のすべてのITインフラストラクチャにわたって統合された保護を提供します。 Harmony Suiteは、組織のセキュリティインフラストラクチャを簡素化および合理化することにより、サイバー脅威からの保護とDORAのレポート要件の遵守を容易にします。 チェック・ポイントのソリューションがコンプライアンスやその他の規制にどのように役立つかについては、 お問い合わせください。