توضیح کوهستانمقررات مالیتوضیح و تشریحJul 13, 2026, 10:20 PM· 9 دقیقه مطالعه

قانون تاب‌آوری عملیاتی دیجیتال اتحادیه اروپا (DORA): راهنمای مدیریت اجباری ریسک فناوری اطلاعات و ارتباطات و نظارت بر اشخاص ثالث برای نهادهای مالی

مقررات مهم DORA اتحادیه اروپا اکنون در مرحله اجرای فعال قرار دارد و بیش از ۲۲,۰۰۰ نهاد مالی و فروشندگان فناوری آن‌ها را ملزم می‌کند تا ثابت کنند می‌توانند در برابر اختلالات شدید سایبری مقاومت کنند. این قانون تمرکز صنعت را از ذخایر سرمایه مالی به سمت تاب‌آوری عملیاتی سخت‌گیرانه تغییر می‌دهد و گزارش‌دهی دقیق حوادث، تست نفوذ و مدیریت ریسک اشخاص ثالث را اجباری می‌کند.

به قلم تیم سردبیری کوهستان

تنظیم‌کنندگان اتحادیه اروپا 40%نهادهای مالی 35%ارائه‌دهندگان فناوری حیاتی 25%
تنظیم‌کنندگان اتحادیه اروپا
تمرکز بر حذف پراکندگی نظارتی و جلوگیری از بحران‌های مالی سیستمی ناشی از نقاط شکست فناوری واحد.
نهادهای مالی
DORA را به عنوان یک بار سنگین انطباق می‌بینند که نیازمند بازنگری عملیاتی قابل توجهی است، به ویژه در مورد مذاکره مجدد قراردادهای فروشندگان.
ارائه‌دهندگان فناوری حیاتی
انطباق با نظارت مالی مستقیم و بی‌سابقه از طریق استانداردسازی پیشنهادات امنیتی و گزارش‌دهی انطباق برای مشتریان اتحادیه اروپا.

زوایای پوشش‌داده‌نشده

  • · فروشندگان فناوری شرکت‌های کوچک و متوسط (SME) که با هزینه‌های انطباق دست و پنجه نرم می‌کنند
  • · تنظیم‌کنندگان غیر اتحادیه اروپا که اجرای این چارچوب را مشاهده می‌کنند

چرا مهم است

DORA اساساً نحوه خرید و مدیریت فناوری در بخش مالی اروپا را تغییر می‌دهد. این قانون با مسئول دانستن شخصی هیئت مدیره نهادهای مالی و نظارت مستقیم بر ارائه‌دهندگان بزرگ خدمات ابری، قصد دارد از وقوع یک شکست فناوری اطلاعات که منجر به بحران مالی سیستمی شود، جلوگیری کند.

نکات کلیدی

  • DORA تمرکز نظارتی را از ذخایر سرمایه مالی به تاب‌آوری عملیاتی تغییر می‌دهد و تضمین می‌کند که سیستم‌های حیاتی در برابر حملات سایبری دوام بیاورند.
  • این قانون برای بیش از ۲۲,۰۰۰ نهاد مالی اتحادیه اروپا اعمال می‌شود و گزارش‌دهی سخت‌گیرانه حوادث در بازه ۲۴ ساعته را اجباری می‌کند.
  • مؤسسات مالی باید یک «دفتر ثبت اطلاعات» جامع را نگهداری کنند که جزئیات تمام قراردادهای فروشندگان فناوری شخص ثالث را مشخص کند.
  • ارائه‌دهندگان بزرگ خدمات ابری مانند AWS و مایکروسافت اکنون تحت نظارت و بازرسی مستقیم تنظیم‌کنندگان اروپایی قرار دارند.
22,000+
نهادهای مالی تحت پوشش در سراسر اتحادیه اروپا
Up to 10%
حداکثر جریمه بر اساس گردش مالی سالانه
24 hours
بازه زمانی برای گزارش حوادث عمده ICT
€1 million
حداکثر جریمه شخصی برای مدیران ارشد

سال‌ها، تنظیم‌کنندگان مالی اروپا بر یک فرض اساسی عمل می‌کردند: اگر یک بانک ذخیره سرمایه کافی داشته باشد، می‌تواند تقریباً از هر بحرانی جان سالم به در ببرد. اما با دیجیتالی شدن سریع بخش مالی جهانی، تهدیدی جدید و کاملاً بدون سرمایه ظهور کرد. یک حمله سایبری پیچیده، آلودگی باج‌افزاری، یا قطعی گسترده زیرساخت ابری می‌توانست عملیات یک بانک را در عرض چند ثانیه فلج کند و ذخایر مالی عظیم آن را کاملاً بی‌فایده سازد، اگر مشتریان نتوانند به پول خود دسترسی پیدا کنند یا معاملات حیاتی را انجام دهند. درک این واقعیت که آسیب‌پذیری‌های دیجیتال یک ریسک سیستمی برای کل اقتصاد ایجاد می‌کنند، تنظیم‌کنندگان را مجبور کرد تا رویکرد خود را نسبت به ثبات مالی بازنگری کنند و کانون توجه را از ترازنامه‌ها به سمت قفسه‌های سرور (Server Racks) تغییر دهند.[1][2]

برای رسیدگی به این آسیب‌پذیری سیستمی آشکار، اتحادیه اروپا قانون تاب‌آوری عملیاتی دیجیتال (DORA) را معرفی کرد که به طور جهانی با این نام شناخته می‌شود. DORA که از ژانویه ۲۰۲۵ به طور کامل قابل اجرا است، نشان‌دهنده یک تغییر پارادایم عظیم در مقررات مالی جهانی است. این قانون صراحتاً تمرکز نظارتی را از تاب‌آوری مالی سنتی – صرفاً داشتن پول کافی برای پوشش زیان‌های غیرمنتظره – به سمت تاب‌آوری عملیاتی سخت‌گیرانه تغییر می‌دهد و تضمین می‌کند که سیستم‌های دیجیتال حیاتی در طول اختلالات شدید فناوری، آنلاین و کارآمد باقی بمانند. DORA با هماهنگ‌سازی قوانین در تمام کشورهای عضو، وصله‌کاری پراکنده دستورالعمل‌های ملی را که قبلاً اجازه می‌داد آسیب‌پذیری‌های حیاتی از شکاف‌های سیستم مالی اروپا عبور کنند، از بین می‌برد.[1][2]

با رسیدن به سال ۲۰۲۶، «دوره تحمل» اولیه برای اجرای DORA رسماً به پایان رسیده و آغازگر یک دوره جدید و سخت‌گیرانه است. مقامات ملی ذی‌صلاح (NCAs) در سراسر اتحادیه اروپا رویکرد خود را از بررسی مدارک انطباق سطح بالا به سمت انجام ممیزی‌های نظارتی فعال و مبتنی بر شواهد تغییر داده‌اند. اکنون نهادهای مالی باید به طور قطعی ثابت کنند که دفاعیات دیجیتال، برنامه‌های واکنش به حادثه و پروتکل‌های بازیابی آن‌ها واقعاً در عمل کار می‌کنند، نه فقط در تئوری. تنظیم‌کنندگان خواستار شواهد لحظه‌ای از تاب‌آوری، قابلیت‌های گزارش‌دهی خودکار و کنترل قابل اثبات بر تمام ریسک‌های فناوری اطلاعات و ارتباطات (ICT) هستند.[2][3]

دامنه صلاحیت DORA بی‌سابقه است و شامل طیف خیره‌کننده‌ای از سازمان‌ها می‌شود: بیش از ۲۲,۰۰۰ نهاد مالی که در اتحادیه اروپا فعالیت می‌کنند. این چتر نظارتی عظیم، مؤسسات اعتباری سنتی، شرکت‌های بیمه و شرکت‌های سرمایه‌گذاری را پوشش می‌دهد، اما همچنین عمیقاً به امور مالی مدرن گسترش می‌یابد و پردازشگران پرداخت، ارائه‌دهندگان خدمات دارایی‌های رمزنگاری‌شده و پلتفرم‌های تأمین مالی جمعی را در بر می‌گیرد. نکته مهم این است که این مقررات برای هر نهاد مالی غیر اتحادیه اروپا که در بازار اروپا خدمات ارائه می‌دهد نیز اعمال می‌شود، به این معنی که بانک‌های وال استریت و شرکت‌های تجاری مستقر در لندن باید به طور کامل از الزامات سخت‌گیرانه DORA برای عملیات اروپایی خود پیروی کنند.[1][5]

این مقررات به دقت حول پنج ستون اصلی ساختار یافته است که اولین آن‌ها چارچوب جامع مدیریت ریسک فناوری اطلاعات و ارتباطات (ICT) را ایجاد می‌کند. تحت DORA، امنیت سایبری دیگر به بخش فناوری اطلاعات محدود نمی‌شود یا به عنوان یک مسئله صرفاً فنی تلقی نمی‌گردد. این قانون مسئولیت نهایی و گریزناپذیر را مستقیماً بر عهده هیئت مدیره – شامل مدیران ارشد و اجرایی – قرار می‌دهد. این رهبران ارشد باید به طور فعال استراتژی ریسک ICT سازمان را تأیید، نظارت و به طور منظم بررسی کنند و در صورت اثبات سهل‌انگاری در وظایف نظارتی خود، ممکن است با جریمه‌های شخصی شدید تا سقف ۱ میلیون یورو مواجه شوند.[1][4]

ستون دوم چارچوب DORA، گزارش‌دهی حوادث مرتبط با ICT را در سراسر قاره به شدت استاندارد می‌کند. قبل از این مقررات، نهادهای مالی با چشم‌اندازی آشفته و پراکنده از الزامات گزارش‌دهی مواجه بودند و اغلب مجبور بودند با استفاده از معیارها و زمان‌بندی‌های کاملاً متفاوت، به چندین تنظیم‌کننده ملی مختلف اطلاع دهند. اکنون، سازمان‌ها باید حوادث سایبری و قطعی‌های فناوری اطلاعات را با استفاده از یک روش‌شناسی واحد و هماهنگ اروپایی طبقه‌بندی کنند. مهم‌تر از آن، آن‌ها موظفند اختلالات عمده را در یک بازه زمانی سخت‌گیرانه ۲۴ ساعته به تنظیم‌کنندگان مربوطه گزارش دهند و پس از آن، تحلیل‌های جامع ریشه‌ای و برنامه‌های اصلاحی دقیق برای جلوگیری از وقوع مجدد ارائه دهند.[2][4]

برای اطمینان از اینکه این دفاعیات دیجیتال صرفاً ساختارهای نظری موجود در یک پوشه نیستند، ستون سوم DORA تست‌های سخت‌گیرانه و مستمر تاب‌آوری عملیاتی دیجیتال را اجباری می‌کند. مؤسسات ملزم به انجام ارزیابی‌های منظم آسیب‌پذیری، تحلیل‌های منبع باز و ارزیابی‌های امنیت شبکه هستند. برای نهادهای مالی مهم، الزامات به تست نفوذ مبتنی بر تهدید (TLPT) اجباری افزایش می‌یابد. این تمرینات پیشرفته و مبتنی بر اطلاعات، حملات سایبری بسیار پیچیده و واقعی را بر روی سیستم‌های عملیاتی زنده یک نهاد مالی شبیه‌سازی می‌کنند و عمداً تلاش می‌کنند تا دفاعیات را نقض کرده و نقاط ضعف پنهان را قبل از اینکه بازیگران مخرب تحت حمایت دولت یا سندیکاهای باج‌افزاری بتوانند از آن‌ها سوءاستفاده کنند، آشکار سازند.[2][5]

مؤسسات ملزم به انجام ارزیابی‌های منظم آسیب‌پذیری، تحلیل‌های منبع باز و ارزیابی‌های امنیت شبکه هستند.

با این حال، متحول‌کننده‌ترین – و از نظر عملیاتی چالش‌برانگیزترین – جنبه DORA، ستون چهارم آن است: مدیریت سخت‌گیرانه ریسک اشخاص ثالث ICT. مؤسسات مالی مدرن به شدت به شبکه‌ای پیچیده از فروشندگان خارجی برای رایانش ابری، تحلیل داده‌ها، مدیریت ارتباط با مشتری و نرم‌افزارهای تجاری تخصصی متکی هستند. DORA صراحتاً یک اصل نظارتی اساسی را تدوین می‌کند: در حالی که یک بانک می‌تواند عملیات فناوری خود را آزادانه به یک شخص ثالث برون‌سپاری کند، اما مطلقاً نمی‌تواند مسئولیت نظارتی خود را برون‌سپاری کند. اگر یک فروشنده شکست بخورد، بانک مسئولیت کامل اختلال ناشی از آن برای مشتریان خود و بازار گسترده‌تر را بر عهده دارد.[3][4]

برای اجرای این مسئولیت‌پذیری، نهادهای مالی باید با دقت یک «دفتر ثبت اطلاعات» (RoI) جامع را نگهداری کنند که جزئیات تک تک قراردادهای منعقد شده با ارائه‌دهندگان شخص ثالث ICT را مشخص می‌کند. این پایگاه داده عظیم و دائماً به‌روزرسانی شده باید کل زنجیره تأمین فناوری مؤسسه را ترسیم کند و باید سالانه به تنظیم‌کنندگان ارائه شود. هدف اصلی RoI این است که دید بی‌سابقه‌ای به مقامات اروپایی در مورد «ریسک تمرکز» بدهد – مواردی خطرناکی که در آن تعداد زیادی از مؤسسات مالی حیاتی به طور همزمان به یک فروشنده واحد متکی هستند و یک نقطه شکست واحد برای کل اقتصاد ایجاد می‌کنند.[3][5]

علاوه بر این، DORA الزامات بسیار سخت‌گیرانه و غیرقابل مذاکره‌ای را برای تمام قراردادهای فروشندگان دیکته می‌کند. توافق‌نامه‌ها بین نهادهای مالی و ارائه‌دهندگان فناوری اکنون باید شامل توافق‌نامه‌های سطح خدمات (SLAs) کاملاً شفاف، رویه‌های اجباری اطلاع‌رسانی حادثه که با بازه گزارش‌دهی ۲۴ ساعته خود بانک همسو باشد، و حقوق ممیزی صریح باشد که به نهاد مالی اجازه می‌دهد شیوه‌های امنیتی فروشنده را بازرسی کند. نکته حیاتی این است که قراردادها باید شامل استراتژی‌های خروج کاملاً تعریف شده نیز باشند، که تضمین می‌کند یک بانک می‌تواند داده‌ها و عملیات خود را به سرعت از یک فروشنده در حال شکست یا به خطر افتاده دور کند، بدون اینکه اختلال فاجعه‌باری در خدمات خود ایجاد کند.[4][5]

دامنه این مقررات فراتر از نهادهای مالی سنتی است و گام بی‌سابقه‌ای در تنظیم مستقیم صنعت فناوری جهانی برمی‌دارد. تحت DORA، مقامات نظارتی اروپایی (ESAs) گروه منتخبی از فروشندگان فناوری را به عنوان «ارائه‌دهندگان حیاتی شخص ثالث ICT» (CTPPs) تعیین کرده‌اند. این فهرست انحصاری شامل غول‌های بزرگ فناوری جهانی است که زیرساخت ابری اساسی برای امور مالی مدرن را فراهم می‌کنند، مانند آمازون وب سرویسز (AWS)، مایکروسافت آژور (Microsoft Azure) و گوگل کلود (Google Cloud)، و اذعان می‌کند که این شرکت‌ها اکنون به اندازه خود بانک‌ها از نظر سیستمی مهم هستند.[1][5]

برای اولین بار در تاریخ نظارتی، این ارائه‌دهندگان فناوری حیاتی تحت نظارت مستقیم و مداخله‌جویانه تنظیم‌کنندگان مالی اروپا قرار می‌گیرند. به ESAs اختیارات گسترده‌ای داده شده است تا بازرسی‌های در محل از مراکز داده CTPPها انجام دهند، دسترسی به اسناد امنیتی داخلی بسیار حساس را درخواست کنند و توصیه‌های الزام‌آوری در مورد تاب‌آوری عملیاتی آن‌ها صادر کنند. اگر یک ارائه‌دهنده فناوری حیاتی در رعایت این اقدامات نظارتی شکست بخورد، تنظیم‌کنندگان می‌توانند جریمه‌های روزانه فلج‌کننده‌ای تا سقف ۱٪ از میانگین گردش مالی روزانه جهانی ارائه‌دهنده را تا زمانی که عدم انطباق به طور کامل حل شود، اعمال کنند.[1][5]

جریمه‌ها برای خود نهادهای مالی نیز به همان اندازه شدید هستند و برای جلب توجه فوری هیئت مدیره طراحی شده‌اند. سازمان‌هایی که مشخص شود به طور اساسی مقررات سخت‌گیرانه DORA را نقض کرده‌اند، با جریمه‌های اداری هنگفتی مواجه می‌شوند که می‌تواند تا ۱۰٪ از کل گردش مالی سالانه آن‌ها یا تا سقف ۱۰ میلیون یورو، بسته به شدت تخلف، برسد. این جریمه‌های مالی سنگین عمداً کالیبره شده‌اند تا اطمینان حاصل شود که سرمایه‌گذاری در تاب‌آوری دیجیتال دیگر به عنوان یک هزینه دست و پا گیر فناوری اطلاعات تلقی نمی‌شود، بلکه به عنوان یک اولویت بقای شرکتی در سطح بالا در نظر گرفته می‌شود.[4][5]

ارائه‌دهندگان بزرگ خدمات ابری اکنون تحت نظارت مستقیم تنظیم‌کنندگان مالی اروپا قرار دارند.
ارائه‌دهندگان بزرگ خدمات ابری اکنون تحت نظارت مستقیم تنظیم‌کنندگان مالی اروپا قرار دارند.

اثر موجی جهانی DORA را نمی‌توان نادیده گرفت، زیرا دامنه قضایی آن شرکت‌هایی فراتر از مرزهای اروپا را درگیر می‌کند. از آنجا که این مقررات برای هر ارائه‌دهنده ICT که به نهادهای مالی اتحادیه اروپا خدمات می‌دهد اعمال می‌شود، شرکت‌های فناوری در سراسر جهان مجبور شده‌اند تا وضعیت امنیتی، پروتکل‌های شفافیت و شرایط قرارداد پایه خود را به طور چشمگیری ارتقا دهند تا با این استانداردهای دقیق اروپایی مطابقت داشته باشند. درست مانند مقررات عمومی حفاظت از داده‌ها (GDPR) که یک دهه پیش برای حریم خصوصی داده‌ها انجام داد، DORA به سرعت در حال تثبیت خود به عنوان استاندارد طلایی جهانی بالفعل برای تاب‌آوری عملیاتی دیجیتال است.[2][3]

با شتاب گرفتن چرخه اجرایی ۲۰۲۶ و شروع تنظیم‌کنندگان به صدور اولین موج یافته‌های خود، صنعت مالی به یک درک تلخ می‌رسد: DORA یک پروژه انطباق موقت با خط پایان نیست، بلکه یک چارچوب حاکمیتی دائمی و ساختاری است. مؤسساتی که با موفقیت این استانداردهای تاب‌آوری سخت‌گیرانه را در عملیات روزانه خود جای دهند، نه تنها تنظیم‌کنندگان را راضی می‌کنند و از جریمه‌های ویرانگر اجتناب می‌ورزند، بلکه یک مزیت رقابتی متمایز و بلندمدت در اقتصادی جهانی کسب خواهند کرد که به طور فزاینده‌ای با تهدیدات دیجیتال فزاینده و شکنندگی سیستمی فناوری تعریف می‌شود.[2][6]

روند رویداد

  1. سپتامبر ۲۰۲۰

    کمیسیون اروپا پیش‌نویس اولیه قانون تاب‌آوری عملیاتی دیجیتال را پیشنهاد می‌کند.

  2. ژانویه ۲۰۲۳

    DORA رسماً لازم‌الاجرا می‌شود و یک دوره اجرای دو ساله آغاز می‌گردد.

  3. ژانویه ۲۰۲۵

    DORA به طور کامل قابل اجرا می‌شود و دوره گذار برای نهادهای مالی به پایان می‌رسد.

  4. اوایل ۲۰۲۶

    تنظیم‌کنندگان به اجرای فعال روی می‌آورند، ممیزی‌های مبتنی بر شواهد را انجام می‌دهند و اولین ارسال‌های دفتر ثبت اطلاعات را درخواست می‌کنند.

بررسی عمیق دیدگاه‌ها

تنظیم‌کنندگان اتحادیه اروپا

تمرکز بر حذف پراکندگی نظارتی و جلوگیری از بحران‌های مالی سیستمی.

مقامات نظارتی اروپایی DORA را به عنوان یک تحول ضروری در ثبات مالی می‌بینند. تنظیم‌کنندگان استدلال می‌کنند که چارچوب‌های قبلی به طرز خطرناکی منسوخ شده بودند و بیش از حد بر سرمایه مالی تمرکز داشتند، در حالی که این واقعیت را نادیده می‌گرفتند که یک قطعی بزرگ ابری می‌تواند اقتصاد را به همان اندازه مؤثر فلج کند که هجوم به بانک (Bank Run). تنظیم‌کنندگان معتقدند با هماهنگ‌سازی قوانین و کسب نظارت مستقیم بر ارائه‌دهندگان فناوری حیاتی، یک آسیب‌پذیری سیستمی عظیم را از بین می‌برند.

نهادهای مالی

DORA را به عنوان یک بار سنگین انطباق می‌بینند که نیازمند بازنگری عملیاتی قابل توجهی است.

بانک‌ها و شرکت‌های سرمایه‌گذاری عموماً از هدف تاب‌آوری عملیاتی حمایت می‌کنند، اما به چالش لجستیکی عظیم انطباق با DORA اشاره می‌کنند. نگهداری دفتر ثبت اطلاعات (RoI) مستلزم نقشه‌برداری هزاران رابطه فروشنده است، و مذاکره مجدد قراردادهای قدیمی برای گنجاندن حقوق ممیزی اجباری و استراتژی‌های خروج، یک تعهد حقوقی بزرگ است. بسیاری از مؤسسات نگران هزینه مستمر انطباق و بازه زمانی تهاجمی ۲۴ ساعته برای گزارش‌دهی حوادث هستند.

ارائه‌دهندگان فناوری حیاتی

انطباق با نظارت مالی مستقیم و بی‌سابقه از طریق استانداردسازی پیشنهادات امنیتی.

ارائه‌دهندگان بزرگ خدمات ابری و نرم‌افزاری در حال پیمایش یک واقعیت جدید هستند که در آن مستقیماً توسط تنظیم‌کنندگان مالی نظارت می‌شوند. در حالی که این امر هزینه‌های انطباق قابل توجه و تهدید جریمه‌های روزانه را به همراه دارد، بازیگران اصلی همچنین یک مزیت استراتژیک می‌بینند. با استانداردسازی پیشنهادات سازگار با DORA، غول‌های فناوری می‌توانند مشتریان سازمانی را که بیش از حد ریسک‌گریز هستند تا با فروشندگان کوچک‌تری که نمی‌توانند انطباق نظارتی را تضمین کنند، همکاری کنند، جذب و حفظ نمایند.

آنچه نمی‌دانیم

  • مقامات ملی ذی‌صلاح با چه شدتی حداکثر جریمه ۱۰ درصدی گردش مالی را در اولین موج ممیزی‌های سال ۲۰۲۶ اعمال خواهند کرد.
  • آیا الزامات سخت‌گیرانه قراردادهای فروشندگان، استارتاپ‌های فناوری کوچک‌تر و نوآور را از زنجیره تأمین مالی اروپا خارج خواهد کرد.
  • حوزه‌های قضایی غیر اتحادیه اروپا، به ویژه ایالات متحده و بریتانیا، چگونه چارچوب‌های نظارتی خود را در پاسخ به استاندارد جهانی DORA تطبیق خواهند داد.

اصطلاحات کلیدی

ارائه‌دهنده خدمات شخص ثالث ICT
یک فروشنده خارجی که خدمات دیجیتال و داده، مانند رایانش ابری، نرم‌افزار یا تحلیل داده، را به یک نهاد مالی ارائه می‌دهد.
دفتر ثبت اطلاعات (RoI)
یک پایگاه داده اجباری و دائماً به‌روزرسانی شده که توسط نهادهای مالی نگهداری می‌شود و جزئیات تمام توافقات قراردادی آن‌ها با فروشندگان فناوری را مشخص می‌کند.
تست نفوذ مبتنی بر تهدید (TLPT)
تمرینات پیشرفته امنیت سایبری مبتنی بر اطلاعات که حملات واقعی را بر روی سیستم‌های عملیاتی زنده یک مؤسسه مالی شبیه‌سازی می‌کند.
مقامات نظارتی اروپایی (ESAs)
اصطلاح جمعی برای سه تنظیم‌کننده اصلی مالی اتحادیه اروپا: EBA (بانکداری)، EIOPA (بیمه) و ESMA (بازارها).

پرسش‌های متداول

آیا DORA برای شرکت‌های خارج از اتحادیه اروپا اعمال می‌شود؟

بله. DORA برای هر نهاد مالی که در اتحادیه اروپا خدمات ارائه می‌دهد، و همچنین برای فروشندگان فناوری حیاتی در سراسر جهان که به مؤسسات مالی اروپایی خدمات می‌دهند، اعمال می‌شود.

جریمه‌های عدم انطباق چیست؟

نهادهای مالی ممکن است با جریمه‌هایی تا سقف ۱۰٪ از گردش مالی سالانه خود مواجه شوند، در حالی که ارائه‌دهندگان فناوری حیاتی ممکن است با جریمه‌های روزانه تا سقف ۱٪ از میانگین گردش مالی روزانه جهانی خود روبرو شوند.

حوادث سایبری با چه سرعتی باید گزارش شوند؟

تحت DORA، مؤسسات مالی باید حوادث عمده مرتبط با ICT را ظرف یک بازه زمانی سخت‌گیرانه ۲۴ ساعته به تنظیم‌کنندگان ملی خود گزارش دهند.

آیا ارائه‌دهندگان خدمات ابری مانند AWS و مایکروسافت تحت تأثیر قرار می‌گیرند؟

بله. ارائه‌دهندگان بزرگ خدمات ابری که به عنوان «ارائه‌دهندگان حیاتی شخص ثالث ICT» تعیین شده‌اند، اکنون تحت نظارت و بازرسی مستقیم تنظیم‌کنندگان مالی اروپا قرار دارند.

منابع

پوشش منابع

6 منبع

3 دیدگاه شناسایی‌شده

تنظیم‌کنندگان اتحادیه اروپا 40%نهادهای مالی 35%ارائه‌دهندگان فناوری حیاتی 25%
  1. [1]IBMارائه‌دهندگان فناوری حیاتی

    What is the Digital Operational Resilience Act (DORA)?

    مطالعه در IBM
  2. [2]Wolters Kluwerتنظیم‌کنندگان اتحادیه اروپا

    DORA in 2026: From Regulatory Obligation to a Strategic Advantage

    مطالعه در Wolters Kluwer
  3. [3]Mitratechتنظیم‌کنندگان اتحادیه اروپا

    DORA Compliance 2026: What Financial Institutions Need to Know

    مطالعه در Mitratech
  4. [4]SentinelOneنهادهای مالی

    What Is DORA Regulation? EU Compliance Guide

    مطالعه در SentinelOne
  5. [5]Yousignنهادهای مالی

    DORA Compliance Guide: What Financial Entities Need to Know

    مطالعه در Yousign
  6. [6]Factlen Editorial Teamارائه‌دهندگان فناوری حیاتی

    Synthesis by Factlen editorial team

    مطالعه در Factlen Editorial Team
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت راهنماها اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.