DORA 第一年报告揭示了欧盟金融领域的 3,383 起重大 ICT 事件;加密货币公司突出显示
当《数字运营弹性法案》(DORA) 于 2025 年 1 月全面适用时,欧洲各地的金融机构面临着新的现实。银行、经纪商、支付提供商、加密货币公司和技术供应商突然被要求在统一框架下报告重大ICT事件,进行弹性测试,加强第三方监管,提高事件响应能力。
现在,欧洲监管机构(EBA、ESMA 和 EIOPA)根据 DORA 发布了第一份关于重大 ICT 相关事件的年度报告,以前所未有的视角展示了金融部门在实施第一年后的真实弹性。研究结果揭示了一些令人惊讶的趋势。
乍一看,这个数字可能听起来令人震惊。 2025 年,整个欧盟的金融机构报告了3,383 起与 ICT 相关的重大事件。然而,监管机构强调,事件数量本身不应被解释为疲软的迹象。在高度数字化的金融市场中,操作事件是不可避免的。重要的是企业检测、遏制并从中恢复的速度有多快。这就是该报告令人鼓舞的地方。
风险无国界
整个欧洲的金融服务相互联系日益紧密。
- 所有重大事件中有 31% 具有跨境影响
- 超过 1,000 起事件影响多个国家
- 大约8% 影响了 10 多个国家/地区
这一发现对于多司法管辖区经纪商、跨境支付提供商、加密货币交易所和交易基础设施提供商尤其重要,所有这些机构都在相互关联的市场上运营,并严重依赖共享技术和服务提供商。
源自一个市场的颠覆可以通过共享技术平台和供应商生态系统迅速传播。这种相互关联性有助于解释为什么监管机构选择统一的框架而不是拼凑而成的国家报告标准。
网络威胁正在演变
尽管网络安全事件仅占所有重大事件的 10% 左右,但它们仍然是一个重大问题。在报告的网络事件中:
- DDoS 攻击占比 33%
- 数据盗窃、数据操纵和身份盗窃占 31%
- 社交工程、勒索软件和供应链攻击占其余部分
有趣的是,监管机构得出的结论是,网络安全事件数量相对较低可能表明现有的安全控制措施总体上是有效的。然而,这并不意味着企业可以放松警惕。
报告特别指出,随着攻击者越来越多地采用人工智能驱动的工具和自动化,机构必须继续加强其网络安全能力。
在我们的 FM Intelligence 门户上阅读完整版本的评论的全面细分。