EU 은행 업계는 DORA 규정 준수에 대비할 것입니까?

2025년 1월, 유럽의 금융 기관들은 디지털 운영 레질리언스 법 (DORA) 이라는 중대한 시험에 직면하게 됩니다.

DORA는 ICT 리스크 및 레질리언스 규칙을 하나의 통합 프레임워크로 결합합니다.하지만 금융 기관들은 준비가 되어 있을까요?

많은 사람들이 시계와 경쟁하고 있습니다.촉박한 일정과 변화하는 표준으로 인해 준비가 더 어려워지고 있습니다.

Illumio의 산업 솔루션 마케팅 담당 수석 이사인 라구 난다쿠마라 (Raghu Nandakumara) 는 다음과 같이 설명합니다. “은행은 더 일찍 더 명확한 기술 표준을 통해 혜택을 받았을 것입니다.이 표준은 두 가지 방식으로 적용되었습니다. 하나는 2022년 초에, 다른 하나는 2024년 중반에 도입되었습니다.이로 인해 마감일인 1월 17일이 12개월도 채 남지 않았습니다.”

도라 포장 풀기

무엇을 하는가 도라 마감일까지 필요합니까?시스템 보호에만 국한된 문제가 아닙니다.장애 발생 시에도 중요한 서비스를 계속 운영하는 데 중점을 둡니다.

DORA의 표준을 충족하기 위해 금융 기관은 다음을 수행해야 합니다.

• ICT 시스템을 정기적으로 테스트합니다.

• 타사 공급업체를 통한 위험 관리

• 어떤 상황에서도 필수 서비스가 계속 운영되도록 보장

“DORA는 분명한 초점을 두고 있습니다. 바로 사고의 영향을 줄이는 것입니다.접근 방식은?보안 침해가 일어날 거라고 가정해 보세요.” — 라구 난다쿠마라

DORA 규정 준수의 6가지 주요 과제

1.촉박한 일정, 진화하는 표준

DORA의 요구 사항을 설명하는 규칙은 다음과 같습니다. 규제 기술 표준 (RTS), 늦게 출시되었습니다.첫 번째 버전은 2024년 1월에 출시되었고, 두 번째 버전은 7월에 출시되었습니다.준비하는 데 1년도 채 남지 않은 상황에서 요구 사항을 충족하는 것은 시간과의 경쟁으로 바뀌었습니다.

2.서드파티 제공업체 관리

하이퍼스케일러 및 매니지드 서비스 프로바이더 (MSP) 와 같은 써드파티 프로바이더는 금융 서비스의 핵심입니다.하지만 한 가지 문제가 있습니다. 공급업체가 DORA의 범위에 속하는지 여부는 누가 결정할까요?“그렇지 않나요? 금융 기관 아니면 규제 기관이 결정합니까?”라구에게 묻습니다.

소규모 MSP의 경우 장애물이 훨씬 더 높습니다.규정 준수는 재무 프로세스에서의 역할에 따라 달라집니다.명확한 규칙이 없으면 무엇이 필요한지 알기 어렵습니다.이 문제를 해결하려면 다음 두 가지가 필요합니다.

• 더 명확한 가이드라인

• 공급업체와의 협업 강화

3.거버넌스와 리더십의 조정

DORA는 운영 레질리언스를 리더십 아젠다의 최우선 과제로 삼습니다. 보드 반드시:

• 명확한 ICT 위험 한도 설정

• 주요 사건 모니터링

• 적절한 리소스가 마련되어 있는지 확인

그러나 많은 조직은 이러한 목표를 달성할 수 있는 구조와 인식이 부족합니다.

4.테스트 및 꾸준한 개선

테스트는 다음과 같은 분야에서 중요한 역할을 합니다. 도라 규정 준수. 조직은 다음을 수행해야 합니다.

• ICT 시스템에 대한 연간 복원력 테스트 실행

• 3년마다 고급 침투 테스트 실시

“테스트는 격차를 파악하고 개선 계획을 개발하여 진행 상황을 성숙하게 이끄는 데 도움이 됩니다.하지만 이러한 테스트는 리소스가 많이 소요되며 부서 및 공급업체 간의 팀워크가 필요합니다. — 라구 난다쿠마라

5.회복력 있는 문화 구축

DORA는 체크박스에 관한 것이 아닙니다.준비에 만전을 기하는 게 관건이죠.리더십은 반드시:

• 챔피언 운영 레질리언스

• 부서 간 팀워크 촉진

문화적 변화는 장기적인 성공에 매우 중요할 수 있습니다.

6.기술 격차: 커지는 압박

더 글로벌 사이버 보안 인력 격차 약 4백만 명으로 추산되며, 이는 DORA의 문제를 더욱 악화시킵니다.강력한 규정 준수 프로그램은 이러한 압박을 완화할 수 있습니다.노력을 단순화하는 동시에 광범위한 운영상의 이점을 제공합니다.

“DORA의 새로운 명령은 보안 운영, 정책 및 감사 팀에 압력을 가중시킵니다.” — 라구 난다쿠마라

DORA와 제로 트러스트는 어떻게 연계되나요?

도라가 언급하나요? 제로 트러스트?직접적으로는 아니에요.하지만 최소 권한 액세스, 지속적인 모니터링과 같은 핵심 아이디어는 긴밀하게 일치합니다.

제로 트러스트의 철학인 “절대 신뢰하지 말고 항상 검증하라”는 원칙은 모든 사용자, 기기, 애플리케이션 및 워크로드가 액세스하기 전에 인증을 받도록 하여 위험을 줄입니다.

오늘날 가장 큰 사이버 위험에 어떻게 도움이 될까요?

• 랜섬웨어 차단: 영향 감소 랜섬웨어 공격 네트워크를 통해 확산될 수 있는 범위를 제한함으로써 말이죠.

• 클라우드 보안: 동적 정책은 다음을 보호합니다. 하이브리드 멀티클라우드.

• 타사 위험 관리: 제한 공급 업체 중요 시스템에 대한 액세스공급업체가 중요 시스템에 얼마나 액세스할 수 있는지 제어할 수 있습니다.

1월 17일까지 카운트다운

시계가 똑딱 거리고 있어요.테스트, 타사 감독, 레질리언스 계획은 선택 사항이 아닙니다.이를 위해서는 사전 예방적 전략과 레질리언스로의 문화적 전환이 필요합니다.

라구 (Raghu) 는 “EU는 완벽이 아니라 발전을 원한다”고 설명했다.그들은 조직이 요구 사항을 어떻게 해석하고 무엇을 달성했는지 알고 싶어합니다.”

DORA 규정 준수에 대해 자세히 알아보는 데 관심이 있으십니까?무료 eBook을 다운로드하세요. DORA 규정 준수를 위한 전략: 마이크로세그멘테이션의 주요 역할.마이크로세그멘테이션을 통해 조직의 보안을 어떻게 개선할 수 있는지 알아보십시오.