財經觀點－歐盟數位營運韌性法案生效 金融業如何建立資安事件通報

該法案旨在強化金融機構的資通安全，並要求銀行、保險業、投信投顧等金融業者應建立資安事件的標準與通報流程。圖／美聯社

爲促進金融業數位化並鼓勵創新，歐盟於2022年11月通過《數位營運韌性法案》（Digital Operational Resilience Act, DORA）已進入最後實施倒數階段，預定於2025年生效。該法案旨在強化金融機構的資通安全，並要求銀行、保險業、投信投顧等金融業者應建立資安事件的標準與通報流程。DORA的五大核心支柱要求包含：

支柱一「資通安全風險管理機制」：建立涵蓋技術、組織及物理層面的風險管理框架，作爲其他要求的基礎。

支柱二「建立事件分類與報告程序」：統一事件分類、管理與報告流程，應對資通安全事故。

支柱三「營運韌性測試」：進行以威脅爲導向的滲透測試作業，評估並加強系統韌性。

支柱四「第三方風險管理」：加強對第三方供應商，尤其是資通訊服務供應商的風險管理。

支柱五「監督關鍵第三方供應商」：監控關鍵資通訊服務供應商，確保其遵循合規要求。

目前，除DORA法案本身外，與DORA相關的次級立法（包含委託法規、法規技術標準、執行技術標準，類似於臺灣法規執行細則）仍在制訂，以推動DORA實施。

■DORA的合規要求與因應重點

隨着DORA在2025年1月合規期限的依法確定且不可延長，次級立法作爲DORA實施的關鍵部分。部分草案尚處於諮詢階段，且DORA對企業的合規要求具有更高的規範性與技術性，這使得企業在推進合規時面臨更多的不確定性與挑戰。

爲協助企業在資源有限的情況下順利實現DORA合規目標，勤業衆信建議金融機構可採取以下四項關鍵原則建立數位營運韌性：

一、優先建立資通安全風險管理機制

DORA的合規要求雖具法律約束力，但未明確規定實施順序。建議企業優先建立支柱一「資通安全風險管理機制」，作爲其他支柱的基礎，並考慮各項目間的相互依存性及技術標準最終定稿的時間點。企業可根據自身資源和能力調整計劃，從熟悉且資源充足的領域着手，並在次級立法尚未確定的部分保持彈性。

二、設定優先順序

企業應優先處理時間長且影響大的項目，特別是第三方風險管理中的合同重新談判和韌性測試。DORA的廣泛要求下，一些大型第三方供應商可能被納入關鍵ICT供應商範疇，進一步增加合規工作的複雜性。儘早排序併合理分配資源，可避免後期因時間緊迫導致的高昂成本和執行壓力。

三、整體考量DORA與執行細則的要求

由於技術標準並未完全涵蓋所有要求，企業需從整體上理解DORA的規範要求，準確識別當前可着手的工作。對於未明確領域，應及時向監管機構尋求指導，避免偏重於部分要求而忽視整體合規目標。

四、整合現有管理程序

具備成熟管理體系的金融機構已部分符合DORA之要求。因此，企業在推進合規時應充分利用現有控管能力，避免重複性投入，通過高效的內部報告流程整合跨部門運作，將新舊能力融合於共享韌性框架下，以提高應對效率並降低成本。

隨着DORA合規期限日益臨近，在時間與資源受限的情況下，勤業衆信建議企業應採取「優化資源分配」、「提前準備合規資源」與「整合執行實務」三步驟，以儘早完成準備，降低後續合規壓力，此外，爲了在既定期限內實現全面合規，企業應密切關注最新立法動態，並採取適當的資源分配、精準識別優先事項並與監管機構保持緊密對話，爲長期營運韌性奠定基礎。