HackerNews 编译,转载请注明出处:
自周五起,欧盟金融机构及其第三方供应商需向本国监管机构报告重大信息技术事件,标志着欧盟《数字运营弹性法案》(DORA)正式生效。
该法案旨在推动金融行业及其供应链的最佳实践,既包括保护企业免受网络攻击,也包括防范其他形式的业务中断,如去年CrowdStrike的错误更新事件。报告要求同样适用于国际上的第三方供应商。
对于不遵守规定的行为,法案将处以严厉处罚,最显著的是对受监管“金融机构”失职管理层成员可能追究刑事责任——该术语涵盖范围广泛,包括银行、支付服务提供商、投资公司以及从事加密资产业务的企业。
法案要求这些机构的管理层定期接收高级信息技术人员的报告,以支持组织的韧性建设。
如未能提供此类信息,欧盟成员国已接到指示,需为失职的个别董事会成员建立民事责任制度,同时保留在法规中追究刑事责任的可能性。
网络弹性公司Rubrik的企业首席技术官詹姆斯·休斯表示:“任何法规中的个人问责制往往能使人更加专注。”他还补充说,该公司对金融服务公司的调查显示,近一半的公司为准备这项法规花费了超过100万美元。
违反义务的金融机构可能被处以全球年度营业额2%或1000万欧元(1030万美元)的罚款,以较高者为准。不遵守规定的第三方信息技术供应商可能每天被处以全球平均日营业额1%的罚款,“直至合规为止,且罚款期限不超过六个月”。
休斯说:“如果责任岗位上有专人负责,如果他们个人负责——我认为近年来法规一直在朝这个方向发展——我认为这样才能把事情做好。”
消息来源:The Record, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
