Source: CNBC
金融服务公司及其数字技术供应商正面临来自欧盟的严格新规的巨大压力,这些规定要求它们加强网络安全韧性。欧盟的新法律——数字运营韧性法案(DORA)要求金融服务公司及其科技供应商在明年初之前确保符合法规,并要求银行、保险公司和投资公司加强其IT安全。DORA还要求确保金融行业在严重操作中断事件发生时具备韧性,包括勒索软件攻击导致金融公司电脑关闭,或DDOS攻击导致公司网站宕机等。此外,规定还旨在帮助公司避免重大中断事件,例如上个月由网络安全公司CrowdStrike引起的历史性IT崩溃事件。多家银行、支付公司和投资公司如摩根大通、圣安德鲁斯、维萨和查尔斯 施瓦布由于故障而无法提供服务,使消费者恢复服务需花费数小时。未来,此类事故将受到欧盟内入境规则的审查。
DORA的一大亮点是不仅关注银行保证韧性的做法,也密切关注各公司的科技供应商。DORA要求银行进行严格的IT风险管理、事件管理、分类和报告、数字运营韧性测试、情报分享以及管理第三方风险等。对外包临重要操作功能的公司进行“集中风险”评估也是规定要求。该法案执行于2023年1月16日,但欧盟成员国将于2025年1月17日开始执行规则。由于金融部门日益依赖技术和科技公司提供重要服务,欧盟已将这些改革列为优先事项,使银行和其他金融服务提供商更容易受到网络攻击和其他事件的威胁。许多最近几年的欧盟数字政策改革侧重于要求公司自身确保其系统和框架足够强大,以防止数据被黑客盗取或未经授权的个人和实体访问。
金融公司若违反新规,欧盟当局可对其全球年度收入处以高达2%的罚款。IT供应商可受到的罚款则达到前一财年日均全球收入的1%,直至符合法规。欧盟监管机构可对被视为“关键”的第三方IT公司处以高达500万欧元的罚款。Proofpoint安全软件公司EMEA地区网络安全战略师卡尔·伦纳德强调,犯罪制裁可能因成员国之间对规则在各自市场上的应用不同而有所不同。雷诺法则至于对立法违规的处罚提出“比例原则。这意味着任何对法律错误的反应都必须平衡公司在增强内部流程和安全技术上的时间、精力和金钱投入,以及他们正在提供的服务的重要程度和以及他们试图保护的数据。
网络安全公司Okta的EMEA首席安全官史蒂芬•迈克德米德告诉CNBC,许多金融服务公司已经将现有的内部运营韧性和第三方风险程序作为优先,以达到DORA的合规要求,并“发现可能存在的差距。这也是DORA的意图,要求许多现有治理程序在一个监管局的领导下达成共识,并在欧盟内部实现统一。尽管银行和科技供应商在朝向DORA合规方面取得了进展,但仍有“工作要做。数据消毒公司Blancco国际副总裁弗雷德里克·福伦德警告称,“我们需要在1月之前达到10。他表示,“不是所有人都会在1月达到10。
金融安全事关国家经济大局,科技供应商和银行共同合作,确保网络安全,为维护金融秩序助力。" } ```
