DORA 正式上線。金融服務公司準備好證明其韌性了嗎？

數位營運彈性法案 （DORA） 於 2025 年 1 月 17 日生效，內容涵蓋了廣泛的準則和詳細的監管架構，說明在歐盟經營業務的所有金融服務實體如何確保資料彈性，以防範意外中斷。此外，它也認識到網路安全專業人員普遍接受的事實，這不再是網路攻擊是否發生的問題，而是何時發生。這項重要的歐盟法規為金融服務產業帶來了全新境界的嚴謹與責任感，這些產業將持續進化，以保護歐盟與全球金融生態系統的穩定性。

除了傳統銀行和信用機構之外，金融服務業的許多產業現在都受到 DORA 法規的約束，包括支付供應商、投資公司、交易場所、保險供應商，以及第三方資訊和通訊技術 （ICT） 服務供應商。新出現這種監管水準的產業，可能難以遵守歐洲金融監管機構的 DORA “乾運行練習” 所指出的規定。1” 他們也可能面臨互聯的客戶、合作夥伴和其他利益相關者的額外審查，作為新的營運風險。不遵守規定不代表公司、其董事及其合作夥伴可能面臨巨額罰款，也可能導致聲譽受損和法律責任。

雖然金融監管機構行動的速度還不容忽視，但 DORA 代表著從資料準備和網路韌性指南轉變為執法。鑒於 DORA 的廣泛性，它明顯擴大了歐盟對資訊技術的財務規範，歐洲金融監管機構缺乏無限的專業知識和資源，可能會面臨立即執行 DORA 所有方面的挑戰。因此，監管機構可能會採用有針對性的作法，將重點放在最關鍵和最明顯的不合規領域。2

駭客現身說法：如何緩解勒索軟體問題及協助復原

閱讀指南

金融機構的優先要務

DORA 合規性的首要任務之一是提交準確且符合技術規範的資訊登錄。金融監管機構強調，登記將是執法的主要焦點，他們期望組織在 2025 年初提交。提交準確登記表，詳細說明組織最重要的 IT 供應商，可能比提交所有 IT 供應商的不完整資訊更有幫助。 

對於資料保護領導者和資訊長而言，DRA 需要採取行動，以檢查舊有系統，並考慮他們是否能夠抵禦當今的網路威脅，並能夠提供高效、快速的服務復原所需的效能。除了識別關鍵系統、應用程式和工作負載，並與各自的 ICT 供應商對應外，組織還應仔細考慮保護、防禦和復原這些系統的核心功能。關鍵功能包括：

• 資料保護與網路復原：在 DORA 下，快速復原功能是將攻擊對營運的影響降至最低的一種方式。對於關鍵系統（如付款），唯一能達成營運彈性法規要求最嚴格、超短復原時間目標的方法，就是使用儲存式不可變快照進行復原。這些快照應安全地儲存在一個隔離（或虛擬模擬）的儲存庫中。
• 早期警告威脅偵測：及早識別並修復潛在的網路威脅，是資料保護和準備工作的重要面向。能夠持續掃描資料以偵測異常狀況，並即時識別勒索軟體和惡意軟體等威脅，並自動修復，是加快遏制攻擊的必要條件。 
• 隔離式復原環境 （IRE） 或無塵室進行復原能力測試： 建立完全獨立的獨立復原環境，資料可以還原進行鑑識和應用程式分析，並在恢復生產速度前驗證為乾淨。  IRE 還允許組織持續測試和改善網路復原實務，以為組織做好準備。
• 可擴充性和效能：企業將繼續發展服務，面對新的監管要求，並應對新興的網路威脅。請務必考量解決方案在分散式混合環境中隨著資料需求變化而擴展的能力，同時維持高效能的資料防護與復原能力速度。

符合信心

組織若延遲建立強大的功能，以符合 DORA 和其他不斷演進的彈性法規，例如 PSD2, NIS2、APRA CPS 230 和歐洲網路彈性法案，可能會發現自己面臨著不斷增加的挑戰，因此必須克服。他們還可能發現自己處於競爭的缺點，因為這些公司能夠證明自己在全球金融生態系統中斷時能夠保持韌性。與瞭解法規韌性要求的合作夥伴合作，部署健全的解決方案，可協助組織確保符合法規，並做好因應新法規挑戰的充分準備，並保護資料環境，以抵禦新興威脅。

Pure Storage 與 Commvault 攜手合作，共同打造模組化設計的解決方案，協助金融機構強化網路韌性實務，並解決 DORA 事件回應與韌性測試的關鍵支柱。該解決方案的建置方式是將 Commvault® Cloud 領先業界的網路彈性功能與高度安全、高效能的 Pure Storage 平台整合。在本解決方案簡介中深入了解解決方案，以及我們對於網路韌性的承諾。

網路就緒了嗎？ 

準備度反映了成熟的網路韌性，技術、人員和流程在此無縫運作，以便在面對任何網路挑戰時實現業務永續性。透過 Commvault 的網路成熟度評估，評估您組織的網路韌性。