FinWiki
EN

DORA · EU Digital Operational Resilience Act 概观

置信度: 确定 更新 2026-05-26 复核期限 2026-09-22 出处 5 机器翻译 原文(日)
#fintech#law#regulation#eu#dora#operational-resilience
本页目录

Wiki 路径

本条目位于 金融科技 之下。可与 日本金融监管 — 关于代币、加密资产与支付的法律体系 以及 日本稳定币监管制度的三层结构(JPYC、USDC、Project Pax) 对照阅读,用于理解数字运营韧性监管与加密资产、稳定币和金融 ICT 第三方风险之间的交叉关系。

[!info] TL;DR DORA(Regulation (EU) 2022/2554)于 2025-01-17 全面施行,向 EU 全部金融机构 + 其 critical ICT 第三方供应商(含 cloud / wallet provider / blockchain infrastructure)课以 5 大支柱的要求:ICT risk management / incident reporting / digital operational resilience testing / third-party risk / information sharing。与 MiCA 相结合形成“业务 + 韧性”双轨监管。

关键事实

  • DORA 通过:2022-12-14(Regulation (EU) 2022/2554)
  • DORA 施行:2025-01-17(全部条款)
  • 适用范围:EU 金融机构约 22,000 社 + ICT 供应商 3,000+ 家
  • 罚款上限:金融机构为全球营收的 1% + ICT 供应商为营收的 1%
  • ESAs 于 2024-07 公布了 9 套 Level 2 RTS/ITS
  • Major incident 须在 4 小时内初报 + 72 小时内详报
  • TLPT 框架:约 5 年覆盖全部 significant 金融机构
  • DORA Joint Committee 由 EBA + ESMA + EIOPA 三方构成

机制与运作方式

五大支柱:

  • ICT Risk Management (Art. 5-16):治理框架 · CEO / Board 直接负责 · 资产 inventory + 风险评估 · Business Continuity Plan + Disaster Recovery
  • ICT-Related Incident Reporting (Art. 17-23):Major incident 须在 4 小时内初报 + 72 小时内详报 · EU 共通模板(ESAs 2024-07 RTS)
  • Digital Operational Resilience Testing (Art. 24-27):每 3 年进行 Threat-Led Penetration Testing (TLPT) · 基于 TIBER-EU 框架 · 跨境协调测试
  • ICT Third-Party Risk (Art. 28-44):Critical Third-Party Provider (CTPP) 由 ESAs 直接监督 · 覆盖 cloud / blockchain infra / wallet provider — 详情参见 DORA CTPP 第三方风险 · 将 AWS/Anchorage 间接纳入金融监管
  • Information Sharing (Art. 45):任意的威胁情报共享 · 类似 US FS-ISAC

起源与演进

DORA 作为 2020-09 的 EU Commission Digital Finance Package 的一部分被提案,与 MiCA 同期推进。2022-12 通过、2025-01 全面施行。ESAs(EBA + ESMA + EIOPA)于 2024-07 公布了 9 套 Level 2 RTS/ITS,落实了 9 个子领域。美国对应:在 FFIEC IT Handbook · NYDFS Part 500 · OCC Heightened Standards · MRA 的维度上,USA-EU MRA 需要纳入 DORA-equivalent 条款,详情参见 MiCA 跨境含义 · USDC ↔ EURC 双向互认 + 美国-欧盟 MRA 2026-Q3

Sources