DORA対応に向けた10の重点課題：デジタル・オペレーショナル・レジリエンスの要素統合

2024-04-05

デジタル・オペレーショナル・レジリエンス法（Digital Operational Resilience Act）、通称「DORA」は、欧州連合（EU）の規制であり、デジタルビジネスの変革が進み、サイバーリスクやITリスクのエクスポージャーが増大する中、金融業界におけるデジタル・オペレーショナル・レジリエンスの強化を目的とするものです。

当規制は2023年1月16日に発効し、2025年1月17日からEUの全加盟国に適用されます。サイバー攻撃の増加と金融システムの相互連関性の高まりを考慮すると、オペレーショナルレジリエンスは、金融サービス企業および金融業界全体で取り組むべき課題であり、その重要性は著しく高まっていると言えます。

DORAは、EU加盟国間に均質かつ具体的・規定的（詳細）な要件を導入しています。組織は、ICT（情報通信技術）インシデントからの影響に耐え、対応・回復することによって、重要な機能を中断させることなく提供し、顧客と金融システムの混乱を最小限に抑える必要があります。これらを実現するには、システム、ツール、サードパーティに係る有効な対策と管理を確立し、適切な業務継続計画を策定して、その有効性を継続的にテストすることが不可欠です。

DORA規制の要件は以下の5点です：
①ICTリスク管理
②ICTインシデント管理
③デジタル・オペレーショナル・レジリエンスの検証
④サードパーティ管理
⑤情報共有

DORAは欧州の規制ではありますが、日本においてもオペレーショナルレジリエンス、サイバーレジリエンス、サードパーティリスク管理の必要性が高まる中で、当規制への対応が参考になると考え、ご紹介します。

本レポートは､PwCフランスが2022年11月24日に開催した会合「DORA規制：概要､主な課題､実績からのフィードバック（DORA Regulation: overview, main challenges and experience feedback）」の内容を、その後のDORA対応の進展も踏まえて取りまとめたものであり、対応に向けた10の課題について解説しています。

DORAの概要や施行までのタイムラインを概説した内容は以下のリンクからご覧ください。
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-dora-act.html

DORA対応に向けた10の重点課題：デジタル・オペレーショナル・レジリエンスの要素統合

PDFダウンロード [1,512KB]

※本コンテンツは、DORA The 10 key challenges of a successful compliance journeyを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
原文のリンク：https://www.pwc.com/gx/en/issues/risk-regulation/dora-whitepaper-jan2024.pdf