DORA 和 ISS：数字运营韧性法案如何影响投资服务

数字运营弹性法案（DORA）是欧盟引入的一项全面监管框架，旨在应对金融服务中数字弹性日益重要性。随着投资服务提供商（ISS）越来越依赖数字技术和信息通信技术（ICT），其运营相关的法律和监管环境变得更加复杂。DORA 与 ISS 密切相关，因为该法案直接影响投资公司如何管理 ICT 相关风险，确保它们能够承受中断并在面临运营挑战时继续提供基本服务。

在本文中，我们将探讨 DORA 对投资服务提供商的影响，考察其适用性、对公司的要求，以及公司应如何为遵守其 ICT 相关风险规则做准备。

数字运营弹性法案对投资服务提供商的适用

数字运营弹性法案（DORA）是欧盟委员会加强金融部门在日益数字化的世界中弹性的努力的一部分。DORA 旨在确保金融机构，包括投资服务提供商，能够管理和缓解与数字和 ICT 系统相关的风险，特别是面对网络威胁和其他运营中断时。

DORA 适用于广泛的金融实体，包括投资服务提供商、资产管理公司和交易场所。其主要重点是创建统一的运营弹性监管方法，涵盖风险管理、事件报告以及第三方服务提供商的使用等领域。下面，我们考察 DORA 对投资服务提供商适用的关键要素。

风险管理和治理

DORA 的核心是要求公司制定全面的风险管理框架来应对 ICT 相关风险。投资服务提供商需要识别、评估和管理其技术使用相关的风险。这包括内部 ICT 系统以及它们可能依赖的任何第三方服务提供商。

为了遵守 DORA，公司必须建立强大的治理结构，以确保正确管理 ICT 风险。这些结构应包括从董事会层面到运营层面的明确责任线。公司内的关键人员必须具备管理数字弹性的必要专业知识，并对确保公司风险管理实践符合监管要求负责。

DORA 还要求公司进行定期风险评估，以评估各种 ICT 相关威胁的潜在影响。这些评估应重点识别公司数字系统中的漏洞、运营中断的潜在后果，以及现有风险缓解策略的有效性。

ICT 安全和事件报告

除了风险管理外，DORA 要求公司实施强大的 ICT 安全措施，以防范网络威胁和其他运营风险。投资服务提供商必须建立系统来预防、检测和响应网络安全事件，确保即使在中断情况下也能维持连续服务。

DORA 要求公司建立详细的事件报告协议。在发生重大 ICT 相关事件时，公司必须及时通知相关监管机构和利益相关者。事件报告流程应包括对事件原因的彻底分析、对公司运营的影响，以及解决事件的步骤。

此外，公司需要维护所有 ICT 事件及相关行动的记录。这确保了透明度，并使监管机构能够监控公司对 DORA 要求的遵守情况。公司还必须向监管机构提供关于其持续改善运营弹性的努力的定期更新。

第三方风险和外包

DORA 对投资服务提供商适用的一个重要方面是其对第三方风险管理的关注。由于许多投资公司依赖外部服务提供商提供关键 ICT 服务，DORA 要求公司采取步骤确保其第三方关系不会损害其运营弹性。

公司必须评估第三方服务提供商带来的潜在风险，包括云服务提供商、软件供应商和其他技术合作伙伴。DORA 要求公司对这些提供商进行彻底的尽职调查，以确保它们有适当的安全措施来防范网络威胁和运营中断。

投资服务提供商还必须与第三方供应商建立合同协议，概述各方在 ICT 相关事件中的责任。这些协议应包括事件响应、数据保护和业务连续性的条款，确保公司即使第三方提供商出现中断也能维持运营。

为了进一步缓解第三方风险，DORA 要求公司定期监控第三方服务提供商的绩效和对 ICT 安全标准的遵守。公司还必须制定应急计划，以防第三方提供商未能达到预期或发生重大运营故障。

公司应如何为 ICT 相关风险规则做准备

随着数字运营弹性法案的不断发展，投资服务提供商必须采取主动步骤，为法规中概述的 ICT 相关风险规则做准备。遵守 DORA 需要对公司风险管理、治理和第三方关系的方法进行重大改变。下面是一些投资公司可以用来为这些新要求做准备的关键策略。

构建全面的风险管理框架

为 DORA 合规做准备的第一步之一是构建全面的风险管理框架。该框架应设计用于应对所有 ICT 相关风险，包括网络安全威胁、运营中断和第三方风险。公司应建立明确的协议来识别、评估和缓解这些风险，以及监控和报告其有效性。

风险管理框架应融入公司的整体治理结构中，在所有层面明确责任。公司应指定负责管理 ICT 风险的关键人员，并确保公司保持对 DORA 要求的合规。这些个人也必须接受适当培训，并具备处理数字运营日益复杂风险的必要专业知识。

加强网络安全措施

鉴于网络威胁的频率和复杂性不断增加，投资服务提供商必须加强其网络安全措施以遵守 DORA。公司应进行定期安全审计，以识别 ICT 系统中的潜在漏洞并采取步骤解决它们。这可能涉及升级软件、实施更强大的访问控制以及加强数据保护实践。

投资服务提供商还应投资于先进的监控工具，以实时检测和响应网络安全事件。强大的网络安全策略对于确保公司能够承受网络攻击和其他运营中断至关重要，从而最大限度地减少对客户和更广泛金融系统的影响。

事件响应和业务连续性规划

为 DORA 的事件报告要求做准备，公司必须制定详细的事件响应计划，概述在 ICT 相关中断事件中应采取的步骤。这些计划应涵盖从检测和诊断问题到与监管机构和利益相关者沟通的一切内容。

业务连续性规划在 DORA 下也至关重要。公司必须确保在 ICT 相关事件期间和之后能够继续提供基本服务。这可能涉及设置备份系统、创建灾难恢复协议，并确保员工接受有效处理紧急情况的培训。

加强第三方风险管理

投资服务提供商必须特别注意第三方风险管理，因为 DORA 在这一领域强调重点。公司应建立明确的尽职调查流程来评估潜在第三方服务提供商，重点关注它们满足网络安全和运营弹性标准的能力。此外，公司应与供应商实施强大的合同协议，概述它们在事件发生时的义务。

对第三方服务提供商的持续监控也至关重要。公司应定期评估供应商的绩效，并确保它们遵守公司的网络安全和运营弹性标准。在涉及第三方提供商的事件中，公司必须准备快速有效响应，以最大限度地减少中断。

培训和意识程序

为了确保遵守 DORA，投资服务提供商应为所有层面的员工实施培训和意识程序。这些程序应重点关注运营弹性的重要性、ICT 中断带来的潜在风险，以及公司根据法规的义务。定期培训将有助于确保员工理解他们在维护公司数字弹性中的角色，并具备响应 ICT 相关事件的能力。

结论

数字运营弹性法案（DORA）是加强金融机构运营弹性，包括投资服务提供商的重要一步。通过关注风险管理、网络安全、第三方风险和事件响应，DORA 旨在确保公司在日益数字化的世界中能够有效运营。

投资服务提供商必须采取主动步骤为 DORA 的 ICT 相关风险规则做准备，包括构建全面的风险管理框架、加强网络安全措施以及加强第三方风险管理实践。通过这样做，公司可以确保遵守法规，并保护其运营免受数字中断日益增长的威胁。