デジタルオペレーションレジリエンス法（DORA）の概要―EUの金融業界のレジリエンスに関する新しい規制―

デジタルオペレーションレジリエンス法（DORA）の概要

デジタルオペレーションレジリエンス法（DORA）とは、EUの金融業界のデジタルオペレーショナルレジリエンスに関する新しい規制で、主に「ICTリスク管理」「ICT関連インシデント報告」「デジタル運用のレジリエンステスト」「ICTサードパーティのリスク管理」「情報共有」の5項目にフォーカスしています。

規制の対象となるのは、EU内の約22,000の金融会社やICTサービスプロバイダーなどです。日本企業であってもEU内に拠点を置く金融機関、EUの金融機関にサービスを提供するICTサービスプロバイダーは対象となり、2025年初頭までに準拠する必要があります。

DORAがフォーカスする分野

DORAがフォーカスする分野は、以下の5つです。

ICTリスク管理：
企業戦略や目標に沿ったICTリスク管理の枠組みの策定
ICT関連インシデント報告：
ICT関連の重大インシデントに関する初報、続報、最終報告書を当局へ提出
デジタル運用のレジリエンステスト：
全ての重要なICTシステムの年次テストの実施、ICTサードパーティプロバイダのテスト参画
ICTサードパーティのリスク管理：
外部委託にかかわるリスクの監視や再委託によるリスクの考慮、契約時の留意事項などサードパーティがもたらすリスクの管理を強化
情報共有：
サイバー脅威に関する情報を金融機関間で共有

施行までのタイムライン

欧州委員会は、DORAを2023年1月16日に発効しました。今後、技術規制標準仕様（Regulatory Technical Standards：RTS）、技術導入標準仕様（Implementing Technical Standards：ITS）といった標準仕様が策定される予定です。DORAの発効後、適用開始までに24カ月の移行期間が設けられています。つまり、2025年1月にDORAが適用開始されるため、EU内に拠点を置いている金融機関、EUの金融機関にサービスを提供しているICTサービスプロバイダーは、その時期までに準拠する必要があります。

金融機関における直近のサイバーセキュリティ関連法規制

金融ビジネスがテクノロジーへの依存度を高め、ICTサービスプロバイダーと密接に連携を進めるに伴い、デジタルに関連する新たな規制が次々と制定されています。グローバルにビジネス展開する金融機関は、事業展開している国や地域の法規制をモニタリングすることが必要です。2021年以降の主な法規制動向は以下のとおりです。

まとめ

DORAとは、EUの金融業界のデジタルオペレーショナルレジリエンスに関する新しい規制であり、EU内に拠点置いている金融機関は2025年初頭までに本規制に準拠する必要があります。また、自社だけではなく、ICTサードパーティのリスク管理も求められるため、情報を早めに収集することが求められます。

今後、RTSやITSといった標準仕様が策定される予定であり、欧州監督機関（ESA）の動向を注視する必要があります。

欧州委員会（EU）, 2023, 「Digital Operational Resilience for the Financial Sector and amending Regulations」, 2023/3/14閲覧,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=EN

PwCフランスが2022年11月24日に開催した会合「DORA規制：概要､主な課題､実績からのフィードバック」の内容を、その後のDORA対応の進展も踏まえて取りまとめた、対応に向けた10の課題について解説したレポートは以下のリンクからご覧ください。
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/digital-operational-resilience-act.html