DORA コンプライアンス要件を理解する 

効果的な ICT リスク管理の導入

金融組織は、事業運営上の回復力を阻害する脅威を軽減および防止するために、健全な ICT リスク管理フレームワークを採用する必要があります。  

• 脆弱性を特定するための定期的なリスク評価  
• ICT 障害を防止するためのセキュリティ対策の実施  
• リアルタイムのリスクの監視および管理  
• ICT 関連問題の迅速な報告

サイバーインシデントの報告と対応を適時行う

組織は厳密な時間内に、重大な ICT 関連のインシデントを管轄当局に報告する必要があります。  

• 適時なインシデントの報告プロトコルを確立する  
• インシデントに効果的に対応するために、対応メカニズムを概説する  
• インシデント中に規制当局との透明性とコミュニケーションを高める

事業運営上の回復力のテストを実施

機関は定期的に自社の ICT システムをテストし、サイバー脅威に対して強靭であり、潜在的な障害から回復できることを証明しなくてはなりません。  

• 脆弱性診断とペネトレーション (侵入) テストを実施する  
• 様々なシナリオでの重大インフラのストレステスト  
• テスト結果に基づいて緊急時対応計画を実行する

第三者サービスプロバイダーからのリスクを管理

金融機関は外部ベンダーによってもたらされる ICT リスクを評価し、同機関の回復力が第三者サービスによって危険に晒されないことを確認する必要があります。  

• ICT プロバイダーへのデューデリジェンスの実施  
• サービス契約に回復力の条項を含む  
• 第三者パフォーマンスの定期的な監視と評価

横断的な情報共有を促進する

DORA は、集団的な回復力を高めるために、組織にサイバー脅威と ICT インシデントの情報を交換するように推奨しています。  

• 脅威と脆弱性に関する洞察を共有するネットワーク作り  
• 協力的な演習とシミュレーションに参加  
• 共有された知識を活用し、セキュリティプロトコルを改善

従業員と利害関係者に DORA コンプライアンスについて教育する

全ての関連当事者にデジタルオペレーショナルレジリエンス法の条項と意味を伝えることから始めます。規制フレームワークを含むトレーニングプログラムを実施し、デジタル回復力と DORA 非遵守の潜在的な影響を強調します。

包括的なデジタル回復力のポリシー策定

堅牢で十分に文書化されたデジタル事業回復力ポリシーを策定し、DORA の原則に整合します。これらのポリシーは、リスク管理、インシデント対応、回復戦略など、デジタル慣習のライフサイクル全体に対応すべきです。明確なサイバーセキュリティ、事業運営上のリスク、IT ガバナンスガイドラインを定義する必要があります。  

さらに組織は、デジタル回復力イニシアチブの進捗度に関する透明性を確保するために、年次報告書を公開する必要があります。

定期的にデジタル回復力のイニシアチブを評価し、監視する

DORA は、貴組織のデジタル事業回復力が特定の基準を満たすかどうかを確認するためのコンプライアンス評価を概説しています。デジタル回復力のイニシアチブの定期評価は、12カ月毎に実施し、 DORA へのコンプライアンスを保証するために、第三者サービスプロバイダーの評価を行うべきです。  

潜在的なリスクの特定と軽減、またはデジタル業務における非遵守について、定期的な監査、リスク評価、インシデント対応評価を実施します。さらに、組織はサイバー脅威に対する回復力改善計画を策定し、組織のビジネスモデルが進化を遂げるデジタル要求に沿うものであることを確実にします。

デジタル事業回復力フレームワークの実施

包括的なデジタル事業回復力フレームワークを導入し、コンプライアンスプロセス、リスク管理戦略、監視メカニズムの統合を図ります。このフレームワークは、デジタル事業全体での透明性、説明責任、倫理的な意思決定を奨励し、責任のあるデジタル慣習と持続可能な成長を支援すべきです。

インシデント報告手順の確立

組織は、簡単に施行し、アクセスできるインシデント報告システムを作成し、従業員、顧客、影響されるコミュニティを含む利害関係者が提起する問題を認識し、対応します。このシステムは、デジタルインシデントの迅速な解決を容易にし、学んだ教訓を将来の回復力戦略に取り込むことを確実にします。