EUのDORAに関する（極めて簡潔な）メモです。なお、CTPPに該当するクラウドサービスプロバイダ（CSP）は、基本的にNIS2指令の対象になっていると思われ、CSPのセキュリティに関する規制の全体像を把握するには、NIS2指令も参照する必要があります。

 

• 「デジタルオペレーショナルレジリエンス法（DORA）（規則2023/2554）は、EUの金融エンティティに関するデジタルオペレーショナルレジリエンスについて包括的な枠組みを確立する。金融セクターの全てのエンティティはDORAの適用対象となり、金融エンティティにICTサービスを提供し、かつ重要（critical）と特定されたICTサードパーティプロバイダー（CTPPs）は、EUの監督枠組みの適用対象となる。DORAの監督枠組みは、3つの欧州監督機構（ESAs）（すなわち、欧州銀行監督機構（EBA）、欧州証券市場監督機構（ESMA）、欧州保険・職域年金監督機構（EIOPA））に対し、主管監督当局としての役割を付与し、EU金融セクターに対して生じ得るリスクについて、CTPPsが汎欧州的規模で適切に監視されることを確保する」（EBA）。
• DORAは、7章からなる。第1章は総則、第2章はICTリスク管理、第3章はICT関連インシデント管理等、第4章はデジタルオペレーショナルレジリエンステスト、第5章はICTサードパーティリスク管理、第6章は情報共有取決め、第7章は当局の監督権限を定める。
• 第2章は、ICTリスク管理の一般的な枠組みを定める。第1節（＝第5条）は、ガバナンス及び組織を規定する。第2節（第6条〜第16条）は、ICTリスク管理のプロセスと主要なリスク管理措置を定める。
• 第3章は、インシデントレスポンスを定める。特に、第19条は、インシデント報告を定める。
• 第4章は、デジタルオペレーショナルレジリエンステスト（≒セキュリティテスト）について定める。テストとして、一般的なテスト（最低年1回実施）と、TLPT（最低3年に1回実施）が定められている。TLPTは、脅威インテリジェンスに基づくレッドチーミングテストである。
• 第5章は、ICTに関するサードパーティリスク管理を定める。
  • 第1節（第26条〜第30条）は、金融機関のサードパーティリスク管理義務を定める。特に、第30条は、金融機関とICTサードパーティサービス提供者（クラウドサービスプロバイダ等）の間の契約で合意すべき事項を定める。
  • 第2節（第31条〜第44条）は、CTPPの義務と欧州当局（EBA、EIOPA、ESMA）の監督権限を定める。当局は、CTPPの指定権限、情報提出要求・立入検査権限、勧告権限を有し、CTPPは、勧告に応答する義務を負う（従う義務はない）。当局は、CTPPが勧告の応諾を拒否した場合、最終手段として、金融エンティティに当該CTPPとの契約を終了させることを要求することができる。なお、これら以外に、DORAは、CTPPに直接に義務を課すことはしていない。
• 第6章は、サイバー脅威情報・インテリジェンスの共有取決め（ISAC等）について定める。
• 第7章は、加盟国当局の監督権限（基本的に金融機関に対するもの。）を定める。