DORAは、金融機関とICTプロバイダーの技術要件を4分野に分けて定めています。

ICTリスク管理とガバナンス

インシデント対応 と報告

デジタル・オペレーショナル・レジリエンス・テスト

サードパーティーのリスク管理

第5の分野は情報共有に関するものですが、他の4つの分野とは異なり、必須ではなく奨励事項とされています。

DORAの対象となる金融機関は、外部プロバイダーのICTリスク管理に積極的な役割を果たすことが期待されています。クリティカルかつ重要な機能を外部に委託する場合、金融機関は、出口戦略、監査、データへのアクセシビリティー、完全性、セキュリティーなどのパフォーマンス目標に関して、契約上の取り決めについて交渉することが求められます。企業は、これらの要件を満たさないICTプロバイダーと契約することはできません。EBCおよび国内管轄当局は、非遵守の契約を一時停止または強制終了することができます。欧州委員会は、企業やICTプロバイダーが確実にDORAを遵守するために使用できる、標準化された契約条項の作成を検討しています。

金融機関はまた、 サードパーティーのICTへの依存関係をマッピングする必要があり、重要な機能が単一のプロバイダーまたは小規模なプロバイダー・グループに集中しすぎないようにする必要があります。

クリティカルな外部ICTサービス・プロバイダーは、ESAから直接監督されます。欧州委員会は、どのプロバイダーがクリティカルであるかを判断するための基準を策定中です。基準を満たす企業には、ESAの1つが主任監督者として割り当てられます。主任監督者はクリティカルなプロバイダーに対し、DORAの要件を強制することに加えて、DORAの要件を遵守していない金融機関やその他のICTプロバイダーとの契約締結を禁止することもできます。