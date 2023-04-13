DORA는 다음 네 가지 영역에 걸쳐 금융 기관 및 ICT 제공업체에 대한 기술 요구 사항을 설정합니다.

ICT 리스크 관리 및 거버넌스

인시던트 대응 및 보고

디지털 운영 복원력 테스트

서드파티 위험 관리

정보 공유는 권장되지만 필수는 아닙니다.

요구 사항은 비례적으로 시행될 것입니다. 이는 소규모 기업은 대규모 금융 기관과 동일한 기준을 따르지 않는다는 것을 의미합니다. 각 도메인에 대한 RTS 및 ITS는 아직 개발 중이지만 기존 DORA 법률은 일반적인 요구 사항에 대한 인사이트를 제공합니다.

ICT 리스크 관리 및 거버넌스

DORA는 법인의 관리 기관이 ICT 관리를 책임지도록 하고 있습니다. 이사회 구성원, 경영진 및 기타 고위 관리자는 적절한 위험 관리 전략을 정의하고 실행을 적극적으로 지원하며 ICT 위험 환경에 대한 최신 지식을 유지해야 합니다. 관리자는 기업의 규정 준수 실패에 대해 책임져야 할 수도 있습니다.



대상 기업은 포괄적인 ICT 위험 관리 프레임워크를 개발해야 합니다. 기업은 ICT 시스템을 매핑해야 합니다. 중요한 자산과 기능을 식별하고 분류합니다. 자산, 시스템, 프로세스 및 공급자 간의 종속성을 문서화합니다. 기업은 ICT 시스템에 대한 지속적인 위험 평가를 수행하고, 사이버 위협을 문서화 및 분류하고, 확인된 위험을 완화하기 위한 단계를 문서화해야 합니다.

위험 평가 프로세스의 일환으로 기업은 비즈니스 영향 분석을 수행하여 특정 시나리오와 심각한 중단이 비즈니스에 어떤 영향을 미칠 수 있는지 평가해야 합니다. 기업은 이러한 분석 결과를 사용하여 위험 허용 수준을 설정하고 ICT 인프라 설계를 알려야 합니다. 또한 기업은 확장 탐지 및 대응 시스템, 보안 정보 및 이벤트 관리(SIEM) 소프트웨어, 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구와 같은 기술적 제어와 함께 ID 및 액세스 관리 정책, 패치 관리 등 적절한 사이버 보안 보호 조치를 구현해야 합니다.

또한 기업은 ICT 서비스 장애, 자연재해, 사이버 공격 등 다양한 사이버 위험 시나리오에 대비한 비즈니스 연속성 및 재해 복구 계획을 수립해야 합니다. 이러한 계획에는 데이터 백업 및 복구 조치, 시스템 복원 프로세스, 영향을 받는 고객, 파트너 및 당국과의 통신 계획이 포함되어야 합니다.

기업의 위험 관리 프레임워크의 필수 요소를 지정하는 RTS가 곧 출시될 예정입니다. 전문가들은 ICT 및 보안 위험 관리에 대한 기존 EBA 가이드라인과 유사할 것으로 보고 있습니다.

인시던트 대응 및 보고

대상 기관은 ICT 관련 사고를 모니터링, 관리, 기록, 분류 및 보고하기 위한 시스템을 구축해야 합니다. 인시던트의 심각도에 따라 기업은 규제 기관과 영향을 받는 고객 및 파트너 모두에게 보고해야 할 수 있습니다. 기관은 중대한 인시던트에 대해 당국에 알리는 초기 보고서, 인시던트 해결 진행 상황에 대한 중간 보고서, 인시던트의 근본 원인을 분석하는 최종 보고서 등 세 가지 종류의 보고서를 제출해야 합니다.

인시던트를 분류하는 방법, 보고해야 하는 인시던트, 보고 일정에 대한 규칙이 곧 발표될 예정입니다. ESA는 또한 중앙 허브와 공통 보고서 템플릿을 구축하여 보고를 간소화하는 방법을 모색하고 있습니다.

디지털 운영 복원력 테스트

기업은 보호 강도를 평가하고 취약점을 식별하기 위해 ICT 시스템을 정기적으로 테스트해야 합니다. 이러한 테스트 결과와 발견된 약점을 해결하기 위한 계획은 관련 관할 당국에 보고되고 검증됩니다.

기업은 1년에 한 번씩 취약성 평가 및 시나리오 기반 테스트와 같은 기본 테스트를 수행해야 합니다. 금융 시스템에서 중요한 역할을 하는 것으로 판단되는 금융 기관도 3년마다 위협 기반 침투 테스트(TLPT)를 받아야 합니다. 기업의 주요 ICT 제공업체도 이러한 침투 테스트에 참여해야 합니다. TLPT를 수행하는 방법에 대한 기술 표준은 곧 발표될 예정이지만, 위협 인텔리전스 기반 윤리적 레드팀을 위한 TIBER-EU 프레임워크와 일치할 가능성이 높습니다.

서드파티 위험 관리

DORA의 독특한 측면 중 하나는 금융 기관뿐만 아니라 금융 부문에 서비스를 제공하는 ICT 제공업체에도 적용된다는 점입니다.

금융 회사가 ICT 제3자 리스크 관리에 활발한 역할을 할 것이라 기대하고 있습니다. 중요한 기능을 아웃소싱할 때 금융 기관은 무엇보다도 접근성, 무결성 및 보안에 대한 출구 전략, 감사 및 성과 목표에 관한 구체적인 계약 사항을 협상해야 합니다. 기업은 이러한 요구 사항을 충족할 수 없는 ICT 제공업체와 계약을 맺을 수 없습니다. 관할 당국은 이를 준수하지 않는 계약을 중단하거나 종료할 수 있는 권한을 갖습니다. 유럽 위원회는 기업 및 ICT 제공업체가 계약이 DORA를 준수하도록 보장하는 데 사용할 수 있는 표준화된 계약 조항의 초안을 작성할 가능성을 모색하고 있습니다.

금융 기관은 또한 타사 ICT 종속성을 매핑해야 하며, 중요한 기능이 단일 제공업체 또는 소수의 제공업체 그룹에 지나치게 집중되지 않도록 해야 합니다.

주요 ICT 제3자 서비스 제공업체는 관련 ESA의 직접적인 감독을 받게 됩니다. 유럽연합 집행위원회는 어떤 제공자가 중요한지 결정하기 위한 기준을 계속 개발하고 있습니다. 표준을 충족하는 기업에는 ESA 중 한 명이 리드 오버바이저로 지정됩니다. 책임 감독관은 중요 제공업체에 DORA 요건을 시행하는 것 외에도 제공업체가 DORA를 준수하지 않는 금융회사 또는 기타 ICT 제공업체와 계약을 체결하는 것을 금지할 수 있는 권한을 갖게 됩니다.

정보 공유

금융 기관은 내부 및 외부 ICT 관련 인시던트로부터 학습할 수 있는 프로세스를 수립해야 합니다. 이를 위해 DORA는 기업이 자발적인 위협 인텔리전스 공유 협약에 참여하도록 권장합니다. 이러한 방식으로 공유되는 모든 정보는 관련 가이드라인에 따라 보호되어야 합니다. 예를 들어 개인 식별 정보는 여전히 일반 데이터 보호 규정의 고려 대상입니다.