.png)
.png)
.png)
.png)
一、引言
1. 数字运营稳健法(DORA)概述
《数字运营稳健法》(Digital Operational Resilience Act,简称 DORA)是欧盟在数字时代为金融行业制定的一项关键法规,旨在提升金融机构的数字运营韧性。DORA 建立了统一的数字运营风险管理框架,要求金融实体在面对信息与通信技术(ICT)相关风险时具备足够的应对能力。DORA 于 2023 年 1 月 16 日正式生效,并将在 2025 年 1 月 17 日起全面适用于几乎所有欧盟范围内的金融实体,包括银行、保险公司、投资公司、支付机构及加密资产服务提供商等。
2. DORA 的制定背景与目的
随着数字化转型在金融领域的深入推进,网络攻击、系统故障、数据泄露等数字运营风险也愈发严峻,给金融机构的日常运营带来了潜在威胁和不确定性。基于此,欧盟出台 DORA 以统一和强化对金融行业的数字运营风险监管,确保金融机构在面临复杂多变的数字威胁时,能够有效预防、应对并快速恢复运营。
DORA 不仅关注金融机构内部的风险管理,还强调对第三方 ICT 服务提供商的监管,以确保整个金融生态系统的安全与稳定。通过法律手段,DORA 致力于提升数字运营的可靠性和韧性,维护欧盟金融体系的整体稳健。
3. DORA 的重要性及其对金融行业的影响
DORA 对欧盟金融行业具有深远影响,主要体现在以下方面:
(1)统一风险管理标准
DORA 提供了全面的 ICT 风险管理框架,帮助金融机构提升整体网络安全水平,减少因数字威胁导致的运营中断和财务损失。
(2)强化第三方监管
DORA 要求严格审查和管理第三方 ICT 服务提供商,促使金融机构更加审慎地选择和管理外包服务,降低供应链风险。
(3)促进欧盟内部市场数字一体化
统一的法规标准有助于消除跨境运营中的合规障碍,推动欧盟金融市场在数字化领域的进一步融合与竞争力提升。
(4)提升内部治理与管理层意识
DORA 要求金融机构完善内部治理结构,高级管理层需定期接受网络安全培训,确保在决策过程中充分考虑数字运营风险。
(5)加强业务连续性与信息安全
金融机构需建立健全的业务连续性计划和信息安全政策,确保在重大 ICT 事故或突发事件发生时能够快速恢复运营并保障客户信任度。
二、DORA 的适用范围
1.适用的金融实体类别
DORA 覆盖了广泛的金融实体,旨在构建欧盟金融系统的整体数字韧性。具体而言,DORA 适用于:
●银行:包括通用银行、专门银行等,涉及核心金融服务(存款、贷款、支付等)。
●保险公司及再保险公司:管理大量客户数据和资金,提供保险及再保险服务。
●经纪商:从事证券交易及金融产品中介等业务。
●支付及电子货币机构:从事支付服务和电子货币发行,处理大量电子交易。
●投资公司:提供投资咨询、资产管理和投资组合管理服务。
●加密资产服务提供商:如加密货币交易所、钱包服务等新兴数字资产市场主体。
此外,DORA 还涵盖金融市场基础设施运营商,如证券交易所、支付系统运营商等,确保关键金融基础设施同样具备足够的数字运营韧性。
2. 受影响的第三方 ICT 服务提供商
DORA 不仅聚焦金融机构内部,还对第三方 ICT 服务提供商提出了严格的监管要求,主要包括:
●云服务提供商:提供数据存储与计算能力的云基础设施服务商。
●外包 IT 服务商:负责软件开发、系统维护与技术支持等日常技术运营。
●网络安全服务提供商:提供安全防护、威胁检测和应急响应等服务。
●数据分析和人工智能服务提供商:利用大数据与 AI 技术,为金融机构提供决策支持。
DORA 特别引入了“关键”ICT 服务提供商的监管机制,授予监管机构更大的监督权力,以保障整个金融体系的安全与稳定。
3. DORA 与其他相关法规的关系
DORA 与其他欧盟法规在一定程度上存在交叉和互补,主要包括:
●《通用数据保护条例》(GDPR):侧重个人数据保护,与 DORA 在数据安全与网络安全方面形成相辅相成的合规框架。
●《欧盟网络与信息安全指令》(NIS2):涵盖更广泛行业的网络安全要求,DORA 则专注于金融领域的数字运营韧性。
●《支付服务指令》(PSD2):规范支付服务并鼓励创新,DORA 通过强化 ICT 风险管理支持支付领域的安全运营。
通过与这些法规的衔接,DORA 助力欧盟在更广泛范围内提升网络安全与数据保护水平。
三、DORA 的核心内容
1. ICT 风险管理框架
(1)风险识别与评估
DORA 要求金融机构建立系统化的风险识别与评估机制,全面了解数字运营过程中可能面临的各类风险,包括网络攻击、系统故障和数据泄露等。金融机构应采用先进的风险评估工具与技术,结合业务流程、人员管理和外部环境等因素,全面识别潜在威胁并评估其发生概率与影响程度。定期风险评估有助于金融机构及时发现和应对潜在风险,保证业务的连续性与稳定性。[11]
(2)风险监控与报告
在完成风险识别与评估后,DORA 强调金融机构需要持续监控 ICT 风险并进行实时报告。通过部署网络流量分析、系统性能监控和数据活动审计等技术手段,及时发现异常和潜在威胁。同时,应建立高效的风险报告机制,将监控结果与评估结论及时汇报给高级管理层和监管机构,确保信息透明和快速决策。
(3)风险应对措施
为应对识别出的风险,金融机构需制定并实施多层次的风险应对措施,包括:
●技术防护措施:采用防火墙、入侵检测系统、加密技术等,构筑网络和系统的防护屏障。
●业务连续性计划:建立可行的业务连续性与灾难恢复方案,确保在重大风险事件下迅速恢复核心业务。
●员工培训与意识提升:开展定期网络安全培训,减少因人为因素造成的安全漏洞。
●应急响应机制:明确事故处理流程和责任分工,以快速、高效地应对突发事件。
2. 第三方 ICT 风险管理
(1)供应商尽职调查
DORA 要求金融机构对第三方 ICT 服务提供商进行严格的尽职调查,包括审查其安全资质、技术能力、历史表现与合规情况。通过全面的背景调查与风险评估,金融机构可识别并选择更为可靠的服务提供商,降低因供应商安全漏洞或不当行为导致的风险。
在合作期间,金融机构还需定期重新评估供应商的风险状况,确保其持续符合 DORA 标准,形成安全稳固的供应链体系。
(2)合同管理要求
DORA 对金融机构与第三方 ICT 服务提供商的合同管理提出了明确要求,合同中需充分涵盖风险管理与安全控制条款,包括:
●服务范围与数据保护要求
●事件响应与报告流程
●安全审计与合规监控权限
●终止合约及纠正措施条款
通过在合同中明确规定双方的责任与义务,金融机构不仅能强化对供应商的控制力,也能有效规避供应链安全风险。
3. 重大 ICT 事故的报告机制
(1)报告标准与内容
DORA 要求金融机构对重大 ICT 事故进行及时报告。重大 ICT 事故是指对金融机构的业务运营、客户数据或系统安全造成重大影响的事件,如大规模数据泄露或系统崩溃。报告内容包括:
●事故性质与发生时间
●受影响的系统及数据
●初步影响评估及应对措施
●后续预防与改进措施
这些信息能帮助监管机构快速评估事故对整体金融稳定性的影响,并指导金融机构进行改进。
(2)报告流程与时限
DORA 规定金融机构在确认重大 ICT 事故后,应立即启动内部应急响应机制,并在初步评估后于 24 小时内向监管机构提交初步报告,72 小时内提交详细报告。严格的时限要求能够促进金融机构提升突发事件的应急响应与信息处理能力。
金融机构需建立完善的事故检测与报告系统,确保事故信息在内部能够快速传递并做出及时决策。如此一来,既能帮助监管机构迅速采取干预措施,也能避免事故对业务造成进一步冲击。
四、DORA 的实施时间表
1. 法规生效日期
DORA 于 2023 年 1 月 16 日正式生效,标志着欧盟在强化金融行业数字运营韧性方面迈出了重要一步。尽管自生效之日起,金融机构便应开始关注并逐步落实其要求,但为使各方有足够的时间进行系统与流程的调整,DORA 也设置了过渡期。
2. 过渡期安排
DORA 规定了 24 个月的过渡期,即自 2023 年 1 月 16 日起至 2025 年 1 月 17 日。在此期间,金融机构需逐步完成风险管理框架搭建、合同管理修订以及事故报告机制等相关合规要求。
监管机构在过渡期内也会发布进一步的指导意见和技术支持,以帮助金融机构理解并落实 DORA。机构可利用此阶段进行内部审查与测试,识别不足并制定整改方案,以实现平稳过渡。
3. 各阶段合规要求
根据 DORA 的过渡期安排,金融机构可将合规工作分为以下几个阶段:
●初始准备阶段
2023 年 1 月 - 2023 年 6 月 ,了解 DORA 基本要求,成立合规团队,进行初步风险评估与差距分析。
●中期调整阶段
2023 年 7 月 - 2024 年 12 月, 完善 ICT 风险管理框架,修订与第三方 ICT 服务提供商的合同,建立事故报告机制。
●最终落实阶段
2025 年 1 月 - 2025 年 1 月 17 日 ,完成所有合规要求的实施,进行内部审计与评估,确保在 DORA 全面适用时达成全面合规。
通过分阶段的稳步推进,金融机构能够系统、逐步地完成合规任务并降低运营风险,监管机构也能在此过程中进行监督与指导,及时发现并解决问题。
五、DORA 的技术标准
1. 监管技术标准 (RTS)
监管技术标准(Regulatory Technical Standards,RTS)是 DORA 实施的重要组成部分,由欧盟相关监管机构制定,旨在为金融机构提供具体的技术细则与操作指引。RTS 涵盖以下内容:
●风险分类与评估方法
●事故报告内容与格式
●系统测试与监控标准
通过 RTS 的制定与发布,DORA 力图保证各金融机构在风险识别、监控和应急响应等方面采用一致、有效的操作流程。
2. 实施技术标准 (ITS)
实施技术标准(Implementing Technical Standards,ITS)是对 RTS 的进一步细化,为金融机构提供更具体的实施细则,包括:
●ICT 服务提供商评估标准
●合同管理与审计要求
●内部治理结构的设立
ITS 指导金融机构如何在实际操作中落实 RTS 的要求。例如,就供应商管理而言,ITS 会具体说明如何对服务提供商开展尽职调查、在合同中写明何种安全及合规条款、以及如何执行持续监控与审计等。
3. 技术标准的更新与适用
因数字技术与威胁形势不断演变,DORA 所涉及的技术标准也需定期更新。欧盟监管机构会对 RTS 与 ITS 进行周期性审查并发布新版本,以涵盖新兴技术(如人工智能、区块链、云计算)带来的新风险。金融机构需及时跟进技术标准的更新,调整自身风险管理措施与操作流程。
通过这一动态更新机制,DORA 能始终保持对最新数字威胁的前瞻性与有效性,为金融行业的数字化转型提供坚实的法律与技术支撑。
六、DORA 对金融机构的具体要求
1. 网络与信息系统安全
DORA 要求金融机构建立健全的网络与信息系统安全策略,以保障数字运营的安全性。具体措施包括:
●部署先进的网络安全工具:如防火墙、入侵检测与防御系统 (IDPS)、安全信息与事件管理系统 (SIEM) 等,形成多层防护。
●采用数据加密技术:对敏感数据进行加密处理,在传输与存储环节确保信息安全。
●强化访问控制:实施多因素认证 (MFA) 和最小权限原则,减少内部权限滥用的风险。
●定期安全培训:提升员工对网络安全的认知和操作能力,降低人为因素造成的漏洞。
2. 业务连续性计划
为应对重大风险事件,DORA 要求金融机构制定和维护完善的业务连续性计划,以在系统中断或重大事故发生时,能够快速恢复关键业务功能,主要包含:
●风险识别与评估:识别潜在风险并进行优先级排序。
●关键业务功能定义:确定核心业务并规划优先恢复次序。
●恢复策略制定:如数据备份、异地容灾、灾难恢复演练等。
●应急响应机制:明确事故发生后的应对流程与责任分工。
●定期测试与评估:通过模拟演练及时发现并修补计划缺陷。
有效的业务连续性管理不仅能降低重大风险事件对运营的冲击,也有助于维护客户信心和市场稳定。
3. 信息安全政策的制定与执行
DORA 要求金融机构制定系统、全面的信息安全政策,作为组织信息安全管理的纲领性文件。该政策应至少包含:
●信息资产管理:明确信息资产分类、标识与保护要求。
●安全控制措施:技术与管理双管齐下(加密、访问控制、物理安全等)。
●风险管理流程:建立持续风险评估、应对和监控机制。
●员工培训与意识提升:明确员工安全职责并定期开展培训。
●应急响应与事故处理:完善报告和处理流程,减少事故影响。
●合规与审计:制定审计机制,保障政策的有效执行与持续改进。
信息安全政策应随着业务发展、技术变化和新兴风险的出现而不断更新,保证其长期适用性。
七、DORA 对第三方服务提供商的影响
1. 合同修订与 DORA 附加条款
DORA 对金融机构与第三方 ICT 服务提供商的合同管理方面提出了更高标准,要求增加 DORA 附加条款,明确以下方面:
●数据保护与安全控制要求
●风险评估与合规报告义务
●事故响应与报告责任
●审计权与持续合规监督机制
金融机构需在合同中清晰界定服务提供商的义务和责任,以确保其提供的服务不会增加额外的数字运营风险。同时,若发现服务提供商不符合 DORA 要求,金融机构可依据合同条款采取纠正措施或终止合作。
2. 标准合同条款的发展
为了便于金融机构与第三方服务提供商快速对接合规要求,欧盟监管机构有望陆续推出一系列标准合同条款模板。这些模板涵盖安全控制、风险管理、事故报告等关键领域,为双方提供可重复使用的合规框架。
●统一性:通过标准合同条款简化合规流程,减少金融机构的管理负担。
●全面性:合同内容更全面,涵盖 DORA 所涉主要合规要点。
随着这类标准化条款的不断完善,金融机构的合同管理效率将进一步提升,也有助于服务提供商在不同合作场景下保持合规一致性。
3. 服务提供商的合规策略
面对 DORA 提出的新要求,第三方 ICT 服务提供商需要:
●完善内部风险管理体系:包括定期风险评估与报告、健全的数据安全与业务连续性机制。
●加强与金融机构的沟通协作:在合同签订前、中、后保持信息互通,共同应对潜在风险事件。
●强化员工安全意识:通过网络安全培训与内部制度建设,确保团队充分理解并遵循合规要求。
通过这些举措,服务提供商既能满足金融机构与欧盟的监管标准,也能提高自身市场竞争力。
八、DORA 在德国的实施情况
1. 德国联邦金融监管局 (BaFin) 的指导
在 DORA 实施过程中,德国联邦金融监管局(BaFin)通过发布指导性文件与举办培训研讨会等方式,帮助德国境内金融机构理解并落实 DORA 的具体要求。这些指导文件包括:
●对 ICT 风险管理框架的细化说明
●关于第三方服务管理的最佳实践
●对重大事故报告流程的详细指引
BaFin 的积极引导能显著降低德国金融机构的合规成本与难度,促进 DORA 在德国的顺利落地。
2. 与德国现有法规的衔接
为避免重复监管和法规冲突,BaFin 对现行的银行与保险监管法规(如 BAIT、VAIT 等)进行了审查与必要调整,确保其与 DORA 的要求相兼容。一些与 DORA 要求高度重叠的旧有监管指南(如 KAIT、ZAIT 等)被撤销或更新。
这一举措使德国金融机构在实施 DORA 时能够遵循更为统一的合规标准,减少了因法规重叠导致的混乱与合规负担。
3. 德国特有的合规要求
在执行 DORA 的过程中,德国还结合自身的监管环境和市场特点,提出了一些本地化的特殊合规要求,如:
●本地化数据保护:需遵守德国《联邦数据保护法》(BDSG) 对数据管理和跨境传输的特殊规定。
●行业特定风险管理:针对银行、保险等不同金融领域,制定更具针对性的风险管控和审计要求。
●本地监管报告:在符合 DORA 要求的同时,机构还需按照 BaFin 的要求定期提交本地化报告,便于监管部门掌握其数字运营韧性状况。
九、DORA 与英国的关系及影响
1. 脱欧后的 DORA 适用性
英国脱欧后,DORA 不再对英国金融机构直接适用。然而,英国监管机构(如金融行为监管局 FCA、审慎监管局 PRA)依然密切关注 DORA 的进展,并在本国的数字运营韧性法规中借鉴相关精神与实践经验。
因此,英国金融监管框架虽与 DORA 存在差异,但在核心原则与目标上仍与 DORA 保持高度一致,以保障英国金融体系在面对数字风险时具备充足的抗冲击能力。
2. 英国自身的运营韧性法规
英国在脱欧后出台了一系列针对金融行业的运营韧性规定,包括:
●PS21/3:《构建运营韧性》:由 FCA、PRA 和英格兰银行联合发布,概述了金融机构在构建运营韧性方面的核心要求与最佳实践。
●PS24/16:《运营韧性:关键第三方》:针对关键第三方服务提供商的监管要求,类似于 DORA 对 ICT 服务提供商的监管模式。
这些法规在信息安全、业务连续性和第三方管理等方面与 DORA 存在诸多共通之处,也为英国金融机构的数字运营风险管理提供了重要指导。
3. DORA 对跨境金融服务的潜在影响
对于在欧盟和英国均开展业务的跨境金融机构,尽管 DORA 不直接适用于英国本土业务,但它依然在以下方面产生潜在影响:
●合规复杂度提升
跨境机构需同时满足欧盟的 DORA 要求和英国本土的运营韧性法规,需要在内部建立更高标准的合规与风险管理体系。
●第三方管理更为严格
若第三方服务提供商同时为欧盟与英国地区的金融机构提供服务,须遵循双方监管要求,以实现全面合规。
●强化全球风险管理
机构可能通过整合欧盟和英国的监管要求,形成更完善的全球风险管理框架,从而在国际市场中具备更强竞争力。
十、DORA 的全球影响与未来展望
1. DORA 对全球金融实体的影响
DORA 的实施不仅影响欧盟内部,也会对全球金融市场产生示范效应。与欧盟金融机构有业务往来或合作的全球金融实体,为降低合规风险,往往会自发对标 DORA 的技术标准与实践要求,进而提高自身数字运营安全水平。
这一过程有助于建立更统一、更高水准的全球金融行业数字风险管理体系,推动国际金融市场整体的安全与稳定。
2. DORA 在国际合作中的角色
DORA 的实践经验为国际金融监管合作提供了新契机。通过跨境信息共享与协作,欧盟与其他地区的金融监管机构可以:
●共同制定或参考统一的数字运营监管标准
●交流重大 ICT 事故报告与应对措施
●分享监管技术与最佳实践
这不仅能提升全球金融体系对数字风险的整体防范能力,也为建立更紧密的国际金融监管网络奠定基础。
3. 未来监管趋势与 DORA 的演变
随着人工智能、云计算、区块链等新技术在金融行业的快速应用,相关风险形态也在不断演变。DORA 预计将通过定期修订 RTS 与 ITS,不断引入对新型风险的管理要求,保持对前沿技术和新兴威胁的针对性与前瞻性。
与此同时,DORA 的实施经验也会反哺全球金融监管实践,成为各国或地区金融监管部门在制定数字运营韧性法规时的重要参考,进一步推动国际金融行业在合规与安全方面的协同发展。
十一、结束语
数字化的浪潮正深入改变金融行业的业务模式与竞争格局,网络安全与运营韧性也因此成为金融机构不可或缺的“护城河”。在此背景下,《数字运营稳健法》(DORA) 的出台,为欧盟乃至全球金融业提供了一个系统化、前瞻性的数字运营风险管理范式。
在未来,随着人工智能、区块链和云计算等技术进一步普及,金融业的监管重点与风险形态也将持续演变。DORA 不仅为欧盟内部树立了合规与安全的标杆,还为国际金融监管合作提供了可行的参考模型。金融机构只有不断学习、主动适应监管要求,加强技术与治理能力建设,才能在竞争日益激烈、风险多变的数字时代稳健前行。(全文完结)
—上海功承瀛泰律师事务所 高级合伙人 沈铭泽律师
参考文献
[1] 作者:Ana Hadnes Bruder 等. 文章标题:《Cybersecurity in the Financial Sector: EU’s Digital Operational Resilience Act Takes Effect》[D]. Mayer Brown Insights, 2025.
网址链接:https://www.mayerbrown.com/en/insights/publications/2025/01/cybersecurity-in-the-financial-sector-eus-digital-operational-resilience-act-takes-effect
[2] 作者:Akamai Technologies. 文章标题:《What Is DORA? | Compliance and Regulations》[D]. Akamai Glossary, 2023.
网址链接:https://www.akamai.com/glossary/what-is-dora
[3] 作者:Cybrela. 文章标题:《DORA Regulation | Cybrela》[D]. Cybrela, 2024.
网址链接:https://cybrela.com/en/dora/
[4] 作者:Mayer Brown Insights. 文章标题:DORA相关内容摘要[D]. Mayer Brown, 2025.
[5] 作者:Mayer Brown Insights. 文章标题:DORA对金融机构安全要求[D]. Mayer Brown, 2025.
[6] 作者:Mayer Brown Insights. 文章标题:DORA实施时间表解析[D]. Mayer Brown, 2025.
[7] 作者:Mayer Brown Insights. 文章标题:DORA技术标准详解[D]. Mayer Brown, 2025.
[8] 作者:Mayer Brown Insights. 文章标题:DORA对金融机构安全要求[D]. Mayer Brown, 2025.
[9] 作者:Mayer Brown Insights. 文章标题:DORA对第三方服务提供商的影响[D]. Mayer Brown, 2025.
[10] 作者:BaFin. 文章标题:DORA实施指导文件[D]. BaFin, 2025.
[11] 作者:BaFin. 文章标题:DORA与德国现有法规的衔接[D]. BaFin, 2025.
[12] 作者:英国金融行为监管局(FCA). 文章标题:脱欧后的DORA适用性分析[D]. FCA, 2025.
