DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act)

EU 금융 부문의 ICT 리스크 관리와 디지털 운영 회복력을 규정하는 규정으로, 2025년 1월 적용 개시

목적: 금융 기관의 ICT 리스크 관리 표준화, 디지털 운영 회복력 테스트 의무화, ICT 서드파티 리스크 관리, 사이버 사고 보고 체계화

주요 내용

• •ICT 리스크 관리: 금융 기관 경영진 책임, ICT 리스크 관리 프레임워크 수립·유지
• •디지털 운영 회복력 테스트: TLPT(Threat-Led Penetration Testing) 최소 3년 주기, 시나리오 기반 테스트
• •ICT 서드파티 관리: 핵심 ICT 서비스 제공자(클라우드/SaaS) EU 감독 체계 편입, 집중 리스크 관리
• •사고 보고: 주요 ICT 사고 감독 당국 보고 의무, 분류 기준 표준화

비교: DORA(금융 ICT 회복력/EU) vs NIS2(범부문 사이버보안/EU) vs BCP(업무연속성/일반) vs SOX(재무 내부통제/미국)

연관: NIS2, 금융 보안, BCP/DRP, ICT 리스크, Chaos Engineering, 클라우드 보안

연관: 블록체인, 스테이블코인, 규제