搜索:
Debevoise数据博客
网络安全

欧盟数字运营弹性法案(DORA):管理义务和董事会的作用

由:

早在2022年11月,我们强调了欧盟《数字运营弹性法案》(“朵拉),这将对几乎所有受欧盟监管的金融服务公司(包括银行、保险公司、支付服务提供商、加密资产托管人、基金管理公司等)施加影响深远的运营弹性要求和董事会监督要求。DORA还对关键服务提供商进行监管,这些服务提供商将首次受到欧盟金融服务监管机构的直接监管。在本文中,我们将仔细研究DORA对所涵盖的实体委员会施加的义务。

鉴于会员国必须规定联委会成员的个人民事责任,如果它们愿意,也可以规定刑事责任,因此更有动力主动处理联委会的作用。具体而言,承保实体不妨:

  1. 尽早将DORA纳入董事会的关注范围——我们预计董事会将有兴趣了解DORA,以及他们个人和作为一个组织可能需要做些什么,以便为DORA做好准备并确保持续合规;
  2. 评估董事会成员是否具备足够的知识和技能来理解和评估信息通信技术风险及其对所涉实体的影响,并在2025年1月之前提供培训,以解决任何潜在的技能差距;
  3. 评估审计委员会在《DORA》项下的义务与其他有关司法管辖区的管理监督义务之间的相互关系NYDFS Part 500网络规则在联合合规框架中确定潜在的协同作用。

下面,我们概述了DORA下董事会的义务,并提供了更具体的实施建议。

什么是“管理机构”

DORA对所涵盖实体的“管理主体”施加义务。对于大多数涵盖的实体,DORA采用了针对该类型实体的主要监管立法(例如,PSD2, MiFID等)的“管理主体”定义。在大多数情况下,这意味着这些义务影响到所涉实体的董事会,甚至在集团结构中也是如此。因此,实体一级的委员会可能需要评估它们是否对集团一级制定的政策和程序有充分的监督、投入和控制,以履行它们在《DORA》下的义务。

董事会负有最终责任

根据DORA,审计委员会对所涉实体的信通技术风险管理和业务复原力战略负有最终责任。这表明,与目前的情况相比,董事会可能会更密切地监督与数字运营弹性相关的风险,包括确保至少遵守DORA的各种详细的技术和政策义务,这可能会增加监管期望。

在实践中,我们预计在常规监管询问和正式调查期间,可能会有更多关于董事会参与的性质和程度的问题,特别是在怀疑系统性失败的情况下。

董事会成员的强制性技能和培训

DORA要求董事会成员掌握足够的知识和技能,以了解和评估信息通信技术风险及其对所涉实体的潜在影响,包括定期接受具体培训。

实际上,这可能意味着执行局成员至少需要发展和保持对以下方面的理解:

  • 信息通信技术安全和弹性的基本技术和组织特征;
  • 信息通信技术安全和复原力对金融实体的重要性;
  • 金融实体面临的具体信息通信技术相关风险;和
  • 金融实体为减轻这些风险和相关的可接受风险容忍度而采取的措施。

这种培训可以通过定期简报、桌面模拟练习和讲习班的组合有效地进行。受保实体可能希望记录这些活动,以便能够证明审计委员会有意义的参与。这可能是一份简短的文件,概述所涵盖实体的董事会培训计划(包括节奏和内容)和出席记录。

董事会接受强制性简报

DORA要求审计委员会至少每年收到信息和通信技术高级工作人员关于从测试、审计和事件中吸取教训的报告。DORA还要求审计委员会建立报告渠道,使其能够收到关于“至少与信通技术有关的重大事件”的报告。

许多涉及的实体已经建立了程序,以确保各委员会定期从信息和通信技术高级工作人员那里得到情况介绍,并收到重大事件的通知。不过,对于某些涉及的实体,审计事务厅可能会扩大这些情况介绍的范围,并降低向审计委员会通报事件的门槛。

因此,相关实体可能需要审查现有的简报和报告协议以及网络事件响应计划,以确保它们与DORA保持一致。在此过程中,受保实体还应考虑其风险概况是否意味着更频繁的简报是必要的或适当的,以配合DORA可能带来的更严格的监管审查。

董事会必须批准并定期审查政策和程序

DORA要求董事会执行、核准和定期审查各项主要政策、计划和安排。这包括,例如:

  • 为所有与信通技术有关的职能设定和审查明确的角色和责任,并制定治理安排;
  • 建立和审查ICT第三方服务提供商的报告渠道,计划对ICT第三方服务提供商进行重大变更,此类变更对关键或重要功能的潜在影响,以及重大ICT相关事件;
  • 实施和审查数据的可用性、真实性、完整性和机密性政策;
  • 批准和审查金融实体的ICT业务连续性政策以及ICT响应和恢复计划;
  • 批准资讯及通讯科技内部审计计划及修订,并检讨结果;
  • 分配和审查数字操作弹性

对许多涉及的实体来说,这些义务可能扩大由审计委员会承担最终责任的政策的范围,这符合审计部希望更积极地参与监督信通技术风险的期望。制定并能够展示董事会积极参与审批和审查过程的程序可能很重要。如上所述,所涵盖的实体可以考虑将批准和审查流程与强制性培训(例如,初步简报、桌面演习或研讨会)或ICT高级工作人员的强制性年度简报保持一致。

利害攸关的是什么?

如上所述,《DORA》要求会员国规定执行局成员的个人民事责任,并允许会员国也规定刑事责任。再加上对不合规实体的潜在重大组织处罚,很明显,DORA提高了董事会参与数字运营弹性风险问题的风险。考虑到DORA可能需要的结构变化,在某些情况下,文化变化,所覆盖的实体可能希望在2025年1月DORA“上线”日期之前开始计划如何进行这些变化。

订阅数据博客,请点击这里

这篇博文的封面是由DALL-E制作的

作者

Robert Maddox是Debevoise & Plimpton LLP伦敦数据战略与安全业务和白领与监管辩护团队的国际法律顾问和成员。他的工作重点是网络安全事件的准备和响应、数据保护和战略、内部调查、合规审查和监管辩护。2021年,罗伯特被《全球数据评论》评为“40岁以下40人”。他被《美国法律500强》(The Legal 500 US, 2022)评为网络法律领域的“后起之秀”。您可以通过rmaddox@debevoise.com与他联系。

作者

特里斯坦·洛克伍德(Tristan Lockwood)是本所数据战略与安全业务的助理。您可以通过tlockwood@debevoise.com与他联系。

相关的帖子

Baidu
map