DORA(Digital Operational Resilience Act)는 조직에 어떤 영향을 미칩니까?
디지털 운영 복원력법(Digital Operational Resilience Act)은 금융 기관에 제공되는 서비스에 대한 중요도 임계값을 정의합니다. 조직이 금융 기관에 대한 직접 서비스 제공자이고 해당 서비스가 이러한 임계값을 충족하는 경우 회사는 DORA의 적용을 받습니다. 이는 조직이 관련 금융 규제 기관의 직접적인 감독을 받는다는 것을 의미합니다.
서비스가 DORA 임계값을 충족하지 않는 조직의 경우 규정이 계속 적용되지만 직접적인 감독이 필요하지는 않습니다. 대신, 조직의 고객은 DORA의 요구 사항을 충족하기 위해 특정 계약 조건을 요구해야 합니다.
예를 들어, DORA(Digital Operational Resilience Act)에 따라 금융 기관은 특정 발견 기간 내에 데이터 침해를 규제 기관에 보고해야 합니다. 금융 기관은 공급업체와 서비스 제공업체에 동일한 위반 보고 요구 사항과 계약상 의무의 일부를 부과해야 합니다. 조직이 이러한 조건을 수락할 의사가 없는 경우 DORA는 금융 기관이 해당 조직과 거래하는 것을 금지합니다.
디지털 운영 복원력법(Digital Operational Resilience Act)은 금융 기관이 공급업체에 요구하는 조건과 이러한 공급업체가 갖추어야 하는 보안 제어를 규정합니다. DORA는 전체 금융 산업의 탄력성을 개선하는 데 맞춰져 있기 때문에 이러한 의무와 요구 사항은 전체 공급망에 전달될 가능성이 높습니다.
디지털 운영 복원력법(Digital Operational Resilience Act, DORA)의 기본 요건
DORA의 주요 목표는 금융 부문의 운영 탄력성을 보장하는 것입니다. 그 일환으로 디지털 운영 복원력법(Digital Operational Resilience Act)이 적용되는 조직은 그럴듯한 사이버 위협에 대한 잠재적 취약성을 식별하고 이러한 위험으로부터 보호하기 위한 정책 및 보안 제어를 마련하는 데 도움이 되는 위험 관리 프로세스를 구현해야 합니다.
DORA는 금융 기관과 공급업체가 운영 탄력성을 위해 따라야 하는 규칙 프레임워크를 만듭니다. 몇 가지 주요 목표와 요구 사항은 다음과 같습니다.
- 위험 관리 및 거버넌스: DORA는 금융 부문의 위험 관리를 위한 프레임워크와 지침을 제시합니다. 이러한 지침은 조직이 보다 성숙한 위험 관리 프로그램을 구축하고 운영 복원력을 개선하는 데 도움을 주기 위한 것입니다.
- 복원력 테스트: DORA는 해당 조직이 위험 평가를 기반으로 복원력 테스트 프로그램을 구현할 것을 제안합니다. 이렇게 하면 운영에 위협이 되기 전에 문제를 식별하고 수정하는 데 도움이 됩니다.
- 정보 공유: 금융 산업에서 일하는 많은 사이버 위협 행위자는 한 번에 여러 조직을 표적으로 삼습니다. DORA는 위협 인텔리전스 공유를 장려함으로써 업계 전체가 지속적인 사이버 위협에 대해 더 잘 인식하고 이에 대비할 수 있도록 지원합니다.
- 공급망 관리: DORA는 금융 기관과 공급업체의 계약 관계에 대한 요구 사항을 부과합니다. 또한 금융 기관은 관계 종료 및 대체품으로의 전환 가능성을 포함하여 이러한 공급업체가 야기하는 위험을 관리하기 위한 전략을 수립해야 합니다.
- 인시던트 보고: DORA는 사고 보고의 범위를 확장하고 보고 프로세스를 간소화하려고 시도합니다. 또한 DORA는 더 빠른 보고를 요구함으로써 신속한 사고 조사 및 대응을 장려하여 침해의 영향을 완화하는 데 도움이 됩니다. 또한 침해 보고서를 사용하여 다른 네트워크에서 알려지지 않은 침입을 탐지할 수 있습니다.
- 액세스 감사: DORA 규정은 규제 기관(공급업체의 경우 금융 기관)이 금융 산업의 공급망 전반에 걸쳐 감사를 수행할 수 있도록 합니다. 이는 컴플라이언스를 추진하는 데 도움이 되지만 조직이 요청 시 보고서를 생성할 수 있어야 함을 의미합니다.
- 후향적 분석: 대부분의 조직은 자체 내부 인시던트에서 배우려고 노력하지만 DORA는 외부 인시던트를 기반으로 정책을 연구하고 수정하도록 권장합니다. 이는 여러 조직이 동일한 유형의 공격의 희생양이 되는 것을 방지하기 위한 것입니다.
디지털 운영 복원력법(Digital Operational Resilience Act)의 정확한 요건은 아직 초안 상태이기 때문에 알 수 없습니다. 그러나 오늘 이러한 요구 사항을 충족하기 위한 프로세스를 시작하면 법이 승인되면 컴플라이언스가 간소화될 것입니다.
체크 포인트 솔루션이 DORA를 돕는 방법 컴플라이언스
DORA는 아직 통과되지 않았지만 2022년에 법으로 제정될 것으로 예상됩니다. 즉, DORA의 영향을 받을 수 있는 조직은 지금 당장 컴플라이언스를 위한 작업을 시작해야 합니다.
디지털 운영 복원력법(Digital Operational Resilience Act)에 대비하기 위해 조직이 취할 수 있는 가장 중요한 단계 중 하나는 보안 아키텍처를 단순화하고 간소화하는 것입니다. DORA는 사이버 보안 사고에 대한 신속한 보고, 조직의 타사 종속성에 대한 가시성, 규제 기관 또는 고객의 감사 요청에 대응할 수 있는 능력을 필요로 합니다.
체크 포인트 Harmony Suite 는 엔드포인트, 모바일, 클라우드 및 이메일에 대한 지원을 포함하여 조직의 모든 IT 인프라에 걸쳐 통합된 보호 기능을 제공합니다. Harmony Suite는 조직의 보안 인프라를 단순화하고 간소화함으로써 사이버 위협으로부터 더 쉽게 보호하고 DORA의 보고 요구 사항을 충족할 수 있도록 합니다. 체크 포인트 솔루션이 컴플라이언스 및 기타 규정에 어떻게 도움이 될 수 있는지 자세히 알아보려면 당사에 문의하십시오.
피드백