Google Cloud 積極因應歐洲《數位營運彈性法案 DORA》，以持續支持金融業數位轉型

歐洲立法者於 2022 年 5 月就《數位營運彈性法案》(DORA) 達成了機構間協議。這是採用旨在確保金融實體能夠承受、應對所有類型的 ICT 並從中恢復新規則的一個重要里程碑 – 相關的中斷和威脅，包括日益複雜的網路攻擊。

DORA 將協調金融實體必須如何報告網路安全事件、測試其數位營運彈性以及管理金融服務部門和歐盟 (EU) 成員國的 ICT 第三方風險。 除了對 ICT 提供商的作用建立明確的期望外，DORA 還將允許金融監管機構直接監督關鍵的 ICT 提供商。

Google Cloud 對 DORA 協議表示歡迎。 作為我們 Cloud On Europe 條款計劃的一部分，我們致力於通過滿足其監管、數位主權、可持續性和經濟目標的雲端與歐洲政府和企業建立信任。

我們認可歐盟委員會、歐洲理事會和歐洲議會為設計相稱、有效和面向未來的法規所做的持續努力。 自 DORA 提案於 2020 年 9 月提交以來，我們一直在與政策制定者進行接觸，並對立法者與 ICT 組織進行的建設性對話表示讚賞。

立即聯繫 iKala Cloud，了解更多雲端新訊與服務！

Google Cloud 對 DORA 的看法

我們堅信 DORA 對加速歐洲金融服務業的數位創新至關重要。 它創建了一個堅實的框架，以增強 ICT 提供商、金融實體和金融監管機構之間的理解、透明度和信任。

以下是 DORA 的幾個主要優點：

• 協調的 ICT 事件報告：DORA 將金融部門事件報告要求整合到一個簡化的框架下。 這意味著在時間敏感的情況下，在多個部門或歐盟成員國運營的金融實體不再需要導航平行、重疊的報告制度。 DORA 還旨在解決類似 NIS2 的並行事件報告機制。 這些變化共同幫助監管機構獲得他們需要的信息，同時還允許金融實體專注於事件響應的其他關鍵方面。

• 數位營運彈性測試的新框架：利用現有的歐盟倡議，如 TIBER-EU，DORA 建立了一種新的歐盟範圍內的數位營運彈性測試方法，包括以威脅為主導的滲透測試。 通過澄清測試方法和引入測試結果的相互認可，DORA 將幫助金融實體繼續以在整個歐盟範圍內有效的方式建立和擴展其測試能力。 重要的是，DORA 解決了 ICT 提供商在測試中的角色，並允許集中測試來管理測試對公共雲端等多租戶服務的影響。

• 協調的 ICT 第三方風險管理：DORA 建立在歐洲監管機構，而各自外包指南建立的堅實基礎之上，進一步協調跨部門的 ICT 第三方風險管理要求，包括與 ICT 提供商簽訂合同的要求。 通過幫助確保跨部門和歐盟成員國一致地解決類似風險，DORA 將使金融實體能夠整合和加強其 ICT 第三方風險管理計劃。

• 直接監督關鍵 ICT 提供商：DORA 將允許金融監管機構直接監督關鍵 ICT 提供商。 該機制將通過年度參與（包括監督計劃、檢查和建議）在監管機構和指定的 ICT 提供商之間建立直接溝通管道。 我們相信，這種結構化的對話將有助於改善整個行業的風險管理和彈性。

Google Cloud 如何為 DORA 做準備

儘管已經就 DORA 的主要內容達成了政治協議，但立法者仍在敲定全部細節。 我們預計最終文本將在今年晚些時候發布，發布後將有兩年的實施期。 雖然 DORA 預計最早要到 2024 年才會生效，但以下是 DORA 將影響的四個重要主題，以及 Google Cloud 今天為支持我們在這些領域的客戶所做的工作。

• 事件報告：Google Cloud 運行行業領先的訊息安全營運，結合了嚴格的流程、世界一流的團隊以及多層資訊安全和隱私基礎建設。 我們的數據事件響應白皮書概述了 Google Cloud 管理和響應數據事件的方法。 我們還提供複雜的工具和解決方案，客戶可以使用這些工具和解決方案獨立監控其數據的安全性，例如安全指揮中心。 我們根據不斷發展的法律和行業最佳實踐不斷審查我們的事件管理方法，並將密切關注 DORA 下該領域的發展。

• 數位營運彈性測試：我們認識到營運彈性是金融部門的重點。 關於通過遷移到 Google Cloud 來增強金融服務營運彈性的研究論文討論了執行良好的向 Google Cloud 遷移在增強彈性方面可以發揮的作用。 我們也認識到必須測試彈性。 Google Cloud 執行我們自己的嚴格測試，包括滲透測試和災難恢復測試。 我們還授權我們的客戶對其數據和應用程式執行他們自己的滲透測試和災難恢復測試。

• 第三方風險：Google Cloud 與歐盟金融實體簽訂的合同涉及 EBA 外包指南、EIOPA 雲端外包指南、ESMA 雲端外包指南和其他成員國要求中的合同要求。 我們正在密切關注 DORA 下這些要求將如何演變。

• 監督：Google Cloud 致力於使監管機構能夠有效監督金融實體對我們服務的使用。 我們向金融實體、其監管機構及其指定人員授予訊息、審計和訪問權，並在客戶或其監管機構選擇行使這些權利時為他們提供支持。 我們將與一位對持續透明、協作和保證同樣承諾的首席監督員建立關係。

我們與尋求加強歐洲金融業數位化營運彈性的立法者和監管機構有著相同的目標，我們打算在為 DORA 做準備時繼續鞏固我們在這一領域的堅實基礎。 我們的目標是讓 Google Cloud 成為歐洲組織可持續數位化轉型的最佳服務，未來還會有更多。