DORA 實施六個月後,大多數金融公司仍未做好準備
2025 年 1 月起,歐盟正式施行針對金融領域的 數位營運韌性法案(DORA),至 2025 年 7 月已有六個月實施期。然而,Help Net Security 發表一份基於 Censuswide 調查的報導指出,歐洲、中東與非洲(EMEA)地區金融服務機構中高達 96% 表示其數位韌性「尚未達到應有水平」。儘管 94% 的機構已將 DORA 列為組織議程優先事項,40% 更視其為「當前最重要的數位韌性任務」,實際執行仍面臨重重阻礙。
整體合規現況與痛點
調查結果顯示,儘管金融業已廣泛認知 DORA 重要性,但在實際落實方面,仍有多項核心要求未完成:
24% 尚未建立災害復原與業務持續測試;
24% 尚未建立重大 ICT 事件通報流程;
24% 尚無指定 DORA 實施負責人;
23% 尚未開展數位韌性測試;
21% 尚未確保備份完整性與安全恢復措施。
調查顯示,第三方風險監控更成為最具挑戰項目,有 34% 認為此為最難推動的部分,即使僅 20% 尚未進行。此外,許多受測組織反映:
41% 表示 IT 與資安團隊壓力劇增;
37% 認為 ICT 廠商成本提高;
22% 認為數位法規數量已成創新與競爭障礙;
20% 尚未取得足夠預算支持合規任務。
DORA 五大核心要求與具體困難
DORA 規範明訂金融實體須落實五大領域:
ICT 風險管理
ICT 事件管理與通報
數位營運韌性測試(DRTP)
第三方 ICT 風險管理
資訊交流與威脅共享。
核心痛點包括:
分散與零散資訊:企業資訊散落於不同部門,缺少統一 ICT 資產與風險視圖,難以整合管理。
營運韌性測試不足:尚未建立包含災難模擬、穿透測試、系統恢復的整合測試機制。
第三方風險監控:合約中缺乏必要條款或無自動化評估流程,難以追蹤供應商績效與符合度。
治理與組織文化挑戰:董事會與高層需高度參與 ICT 風險管控,許多機構尚未建立健全治理架構與責任制度。
資源與預算壓力:合規需投資工具、技術與人才,小型機構更難負擔,IT 團隊工作負荷迅速上升。
改善策略與落實對策
針對上述挑戰,合規專家與顧問機構提出以下對策建議:
- 建立中央 ICT 資產與風險管理平台:集中管理 ICT 系統、雲服務與供應商資訊,替代散亂 Excel 表格與部門孤島方式,並定期風險評估、更新資產清單與依賴關係。
- 推行全面營運韌性測試方案:制定包含穿透測試、災難恢復模擬與情境演練的常態計畫,並按照 DORA Technical Standards(RTS/ITS)確保流程合規戽效性檢驗。
- 加強第三方風險治理與合約控管:對 ICT 供應商建立合約審查、風險評估與 SLA 規範,並納入第三方相關流程,包含重大服務中斷與通報權利與責任。
- 組織治理與高層參與:制定董事會層級 ICT 風險治理架構,提供可視化風險儀表板,定期培訓高層以提升決策與監督能力。
- 精算資源投入與長期規劃:依據風險優先順序分期推進合規任務,採用可擴充工具與自動化流程減輕人工作業負擔,並分散成本至多期預算中規劃。
對台灣金融科技業者之借鏡與啟示
1. 對台灣金融業的挑戰與機會
預見 ICT 資產追蹤需求:台灣金融機構及 SaaS 業者應建立可視且可稽核的資產與第三方名錄。
內建韌性設計意識於產品開發:研發應整合穿透測試、容災備援架構與合約通報機制,以提升產品對接 DORA、NIS2 或本地法規合規能力。
提供供應鏈風險管理工具:台灣軟體業可開發專為第三方風險評估、合約條款管理與監控設計的解決方案,支援金融機構合規要求。
協助企業建構治理與教育機制:提供董事或高層專屬儀表板與培訓模組,協助企業建立 DORA/NIS2 等法規所需的治理架構與報告流程。
開發整合型合規平台:整合風險管理、事件通報、合規測試等功能之低代碼或雲端平台,幫助中小型金融業者快速導入並達成持續合規。
2. 提升國際競爭力的策略
透過整合 DORA 合規需求與技術設計需求,業者可提升軟體產品在歐洲與國際金融市場的可授權性與信任度,開創跨境金融科技服務的機會。
總結與展望
儘管 EU DORA 自 2025 年 1 月開始正式生效,至今已有半年,絕大多數金融機構仍未真正準備就緒。核心挑戰涵蓋 ICT 風險治理、韌性測試、第三方監控、組織治理與資源配套等。台灣應用軟體業者應以此為鏡,內建合規設計、供應鏈治理及可視監控機制,透過平台化、工具化與策略佈局,協助金融機構合規,同時提升自身產品國際競爭力。
資料來源:https://www.helpnetsecurity.com/2025/07/25/dora-compliance-challenges-financial-firms/