قانون تابآوری عملیاتی دیجیتال اتحادیه اروپا (DORA): راهنمایی برای ریسک فناوری اطلاعات و ارتباطات، نظارت بر اشخاص ثالث و اجرای ۲۰۲۶
با ورود قانون تابآوری عملیاتی دیجیتال اتحادیه اروپا به مرحله اجرای فعال، مؤسسات مالی و ارائهدهندگان فناوری آنها با الزامات جدید و سختگیرانهای برای ثبات دیجیتال مواجه هستند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- مقامات نظارتی
- تمرکز بر ثبات سیستمی، قوانین هماهنگ و حذف ریسک تمرکز در سراسر بخش مالی.
- مؤسسات مالی
- تمرکز بر تداوم عملیاتی، مدیریت قراردادهای فروشندگان و مدیریت مسئولیت هیئت مدیره.
- ارائهدهندگان ابری و فناوری اطلاعات و ارتباطات
- تمرکز بر برآورده کردن استانداردهای زیرساخت حیاتی، انطباق با نظارت مستقیم و اثبات تابآوری.
- تیمهای مهندسی و ریسک
- تمرکز بر ایجاد تعادل بین سرعت استقرار و انطباق، گزارشدهی خودکار و معماری امن.
زوایای پوششدادهنشده
- · استارتاپهای کوچک فینتک
- · ناظران مالی غیر اتحادیه اروپا
چرا مهم است
قانون DORA اساساً قوانین مالی دیجیتال را بازنویسی میکند و مسئولیت تابآوری سایبری را مستقیماً به هیئت مدیره منتقل میسازد. برای هر سازمانی که در بخش مالی اروپا فعالیت میکند یا فناوری به آن ارائه میدهد، انطباق دیگر یک تمرین نظری نیست، بلکه یک الزام اجباری برای دسترسی به بازار است.
نکات کلیدی
- DORA اکنون در مرحله اجرای فعال خود قرار دارد و نیازمند انطباق مستمر از سوی ۲۲,۰۰۰ نهاد مالی اتحادیه اروپا است.
- این مقررات تمرکز نظارتی را از ذخایر سرمایه سنتی به تابآوری زیرساختهای دیجیتال تغییر میدهد.
- مؤسسات مالی باید یک «سجل جامع اطلاعات» (Register of Information) شامل جزئیات تمام قراردادهای فناوری اطلاعات و ارتباطات با اشخاص ثالث را نگهداری کنند.
- ۱۹ فروشنده بزرگ فناوری به عنوان حیاتی تعیین شدهاند و مستقیماً تحت نظارت نظارتی اتحادیه اروپا قرار میگیرند.
- اعضای هیئت مدیره اکنون شخصاً مسئول تابآوری عملیاتی دیجیتال سازمان و گزارشدهی حوادث هستند.
دوره مهلت رسماً به پایان رسیده است. از سال ۲۰۲۶، قانون تابآوری عملیاتی دیجیتال اتحادیه اروپا (DORA) قاطعانه از مرحله اجرا به مرحله اجرای فعال و سختگیرانه منتقل شده است. برای تقریباً ۲۲,۰۰۰ نهاد مالی که در اتحادیه اروپا فعالیت میکنند، سؤال نظارتی دیگر این نیست که چگونه برای قوانین آماده شوند، بلکه این است که چگونه پایبندی مستمر خود به آنها را اثبات کنند.[3]
DORA نشاندهنده بازنگری اساسی در نحوه برخورد بخش مالی با ریسک است. از لحاظ تاریخی، مقررات مالی به شدت بر ذخایر سرمایه متمرکز بود—اطمینان از اینکه بانکها پول کافی در خزانه دارند تا از یک شوک اقتصادی جان سالم به در ببرند. امروزه، سیستم مالی کاملاً دیجیتال است، به این معنی که یک قطعی شدید سرویس ابری یا یک حمله سایبری پیچیده، به همان اندازه سقوط بازار، ریسک سیستمی ایجاد میکند.[5]
پیش از DORA، مدیریت ریسک دیجیتال در سراسر اتحادیه اروپا مجموعهای پراکنده از دستورالعملهای ملی بود. برخی از کشورهای عضو استانداردهای سختگیرانه امنیت سایبری را اعمال میکردند، در حالی که برخی دیگر به اصول کلی متکی بودند. DORA این ناهماهنگی را با ایجاد یک کتابچه قوانین واحد و هماهنگ که به طور یکسان برای بانکهای جهانی، شرکتهای بیمه، ارائهدهندگان داراییهای رمزنگاری شده و پلتفرمهای تأمین مالی جمعی اعمال میشود، از بین میبرد.[5][7]
این مقررات بر پنج ستون اصلی بنا شده است که برای ایجاد یک سپر جامع در اطراف عملیات مالی طراحی شدهاند. این ستونها شامل مدیریت سختگیرانه ریسک فناوری اطلاعات و ارتباطات (ICT)، گزارشدهی سریع حوادث، آزمایش پیشرفته تابآوری، نظارت بر ریسک اشخاص ثالث و اشتراکگذاری ساختاریافته اطلاعات است.[2]
تحت دو ستون اول، پاسخگویی به بالاترین سطح سلسله مراتب سازمانی منتقل میشود. اعضای هیئت مدیره و مدیران اجرایی اکنون شخصاً مسئول تابآوری دیجیتال سازمان خود هستند. علاوه بر این، جدول زمانی برای گزارشدهی حوادث بزرگ فناوری اطلاعات و ارتباطات به شدت فشرده شده است، به طوری که اعلانهای اولیه ظرف چند ساعت پس از وقوع اختلال مورد نیاز است.[4]
ستون سوم، عصر جدیدی از دفاع پیشگیرانه را از طریق «آزمایش نفوذ مبتنی بر تهدید» (TLPT) معرفی میکند. نهادهای مالی فراتر از اسکنهای معمول آسیبپذیری، اکنون باید تمرینهای پیشرفته «تیم قرمز» (red-team) مبتنی بر اطلاعات و بر اساس چارچوب TIBER-EU انجام دهند. این شبیهسازیها حملات دنیای واقعی را تقلید میکنند تا نقاط ضعف را قبل از اینکه بازیگران مخرب بتوانند از آنها سوءاستفاده کنند، آشکار سازند.[2]
با این حال، انقلابیترین جنبه DORA در ستون چهارم آن نهفته است: مدیریت ریسک شخص ثالث فناوری اطلاعات و ارتباطات. این مقررات یک واقعیت حیاتی فناوری مدرن را رسمی میکند—برونسپاری یک عملکرد، ریسک مرتبط با آن را برونسپاری نمیکند. اگر یک بانک به یک ارائهدهنده نرمافزار خارجی متکی باشد، بانک همچنان مسئول کامل ثبات آن نرمافزار باقی میماند.[6]
با این حال، انقلابیترین جنبه DORA در ستون چهارم آن نهفته است: مدیریت ریسک شخص ثالث فناوری اطلاعات و ارتباطات.
برای اجرای این امر، مؤسسات مالی اکنون باید یک «سجل جامع اطلاعات» (RoI) نگهداری کنند. این پایگاه داده زنده، تک تک ترتیبات قراردادی با ارائهدهندگان شخص ثالث فناوری اطلاعات و ارتباطات را مستند میکند و شبکه پیچیده وابستگیهای دیجیتالی را که سازمان را سرپا نگه میدارد، ترسیم مینماید.[3]
این شفافیت زنجیره تأمین، یک ترس بزرگ نظارتی را برطرف میکند: ریسک تمرکز. ناظران تشخیص دادند که هزاران مؤسسه مالی به زیرساخت ابری یکسان متکی هستند. اگر یکی از آن ارائهدهندگان بزرگ ابری دچار نقص شود، اثر آبشاری آن میتواند اقتصاد اروپا را فلج کند.[6][8]
برای کاهش این آسیبپذیری سیستمی، DORA اختیارات بیسابقهای به مقامات نظارتی اروپا اعطا میکند. در اواخر سال ۲۰۲۵، ناظران ۱۹ فروشنده بزرگ فناوری—از جمله غولهای ابری جهانی مانند آمازون، گوگل و آیبیام—را به عنوان «ارائهدهندگان حیاتی شخص ثالث فناوری اطلاعات و ارتباطات» (CTPPs) تعیین کردند.[1][5]
این تعیین، اساساً رابطه بین شرکتهای بزرگ فناوری و بخش مالی اروپا را تغییر میدهد. این ارائهدهندگان حیاتی دیگر فقط فروشنده نیستند؛ آنها نهادهایی هستند که مستقیماً تحت نظارت قرار دارند و مشمول بازرسیها، حسابرسیها و جریمههای احتمالی از سوی ناظران مالی اتحادیه اروپا میشوند.[7][8]
در داخل مؤسسات مالی، DORA یک برخورد فرهنگی بین تیمهای انطباق و مهندسان نرمافزار ایجاد میکند. سالهاست که تیمهای DevOps موفقیت را از طریق معیارهای سرعت مانند فراوانی استقرار اندازهگیری میکنند. تحت DORA، ناظران خواستار اثبات این هستند که تحویل سریع نرمافزار، بدهی امنیتی ایجاد نمیکند یا زمان بازیابی سیستم را به خطر نمیاندازد.[4]
مرحله اجرا همچنین موج عظیمی از مذاکرات مجدد قراردادها را به دنبال داشته است. DORA حکم میکند که توافقنامهها با ارائهدهندگان فناوری اطلاعات و ارتباطات شامل مقررات خاصی برای استراتژیهای خروج، حقوق حسابرسی و اهداف عملکردی سختگیرانه باشند. فروشندگانی که نمیتوانند این استانداردهای تابآوری را برآورده کنند، به سرعت در حال تبدیل شدن به مسئولیتهای انطباقی هستند.[1]

با وجود الزامات سختگیرانه، DORA با در نظر گرفتن تناسب طراحی شده است. در حالی که بانکهای بزرگ چندملیتی باید آزمایشهای نفوذ پیچیده مبتنی بر تهدید را اجرا کنند، نهادهای کوچکتر ملزم به رعایت استانداردهایی هستند که متناسب با اندازه و مشخصات ریسک آنها باشد، و اطمینان حاصل میشود که این مقررات ناخواسته نوآوری فینتک را از بین نبرد.[5]
تأثیر DORA بسیار فراتر از مرزهای اروپا گسترش مییابد. از آنجا که این مقررات برای هر ارائهدهنده فناوری که به یک نهاد مالی اتحادیه اروپا خدمات میدهد اعمال میشود، الزامات سختگیرانه آن به سرعت در حال تبدیل شدن به یک مبنای جهانی بالفعل برای تابآوری دیجیتال است، درست همانطور که GDPR برای حفظ حریم خصوصی دادهها عمل کرد.[6]
در نهایت، DORA صرفاً یک تمرین انطباق تنبیهی نیست؛ بلکه یک بلوغ حیاتی برای اکوسیستم فناوری مالی است. با مجبور کردن سازمانها به ترسیم وابستگیهای خود، آزمایش دفاعیات خود و پاسخگو نگه داشتن فروشندگان خود، این مقررات نقشهای واضح برای ساختن یک سیستم مالی ارائه میدهد که واقعاً ضد سقوط باشد.[7]
روند رویداد
Dec 2022
اتحادیه اروپا رسماً قانون تابآوری عملیاتی دیجیتال را تصویب میکند.
Jan 2023
DORA لازمالاجرا میشود و یک پنجره دو ساله برای اجرا در بخش مالی آغاز میشود.
Jan 2025
این مقررات به طور کامل قابل اجرا میشود و دوره مهلت برای انطباق پایان مییابد.
Nov 2025
مقامات اروپایی اولین ۱۹ فروشنده فناوری را به عنوان زیرساخت حیاتی تعیین میکنند.
2026
اجرای فعال آغاز میشود و ناظران حسابرسیها را انجام میدهند و خواستار اثبات تابآوری میشوند.
بررسی عمیق دیدگاهها
مقامات نظارتی
ناظران DORA را به عنوان یک تکامل ضروری برای محافظت از سیستم مالی در برابر فروپاشی سیستمی دیجیتال میبینند.
برای مقامات نظارتی اروپا، سیستم مالی دیگر فقط یک شبکه سرمایه نیست؛ بلکه شبکهای از سرورها، APIها و نمونههای ابری است. ناظران استدلال میکنند که چارچوبهای قبلی نقاط کور خطرناکی را به ویژه در مورد ریسک تمرکز باقی گذاشتند. با اجرای DORA، هدف آنها این است که اطمینان حاصل کنند یک حمله سایبری یا قطعی ابری واحد نمیتواند به یک بحران بانکی سیستمی تبدیل شود و مدیران اجرایی را شخصاً مسئول بهداشت دیجیتال میدانند.
مؤسسات مالی
بانکها و شرکتهای سرمایهگذاری در حال گذر از انطباق کاغذی به تابآوری فعال و مستمر هستند.
برای ۲۲,۰۰۰ نهاد تحت پوشش DORA، این مقررات نشاندهنده یک تغییر عملیاتی عظیم است. رهبران مالی ضرورت دفاعیات قوی را تأیید میکنند اما با واقعیت پیچیده ترسیم زنجیرههای تأمین عمیق و مذاکره مجدد قراردادهای فروشنده قدیمی مواجه هستند. تمرکز آنها بر ساخت مکانیسمهای انطباق خودکار و مستمر است که حسابرسیهای نظارتی را بدون متوقف کردن عملیات مالی روزمره برآورده کند.
ارائهدهندگان ابری و فناوری اطلاعات و ارتباطات
فروشندگان فناوری در حال انطباق با نظارت مستقیم بیسابقهای از سوی ناظران مالی هستند.
ارائهدهندگان زیرساخت ابری بزرگ و فروشندگان نرمافزار حیاتی خود را در یک پارادایم نظارتی جدید مییابند. ارائهدهندگان حیاتی که قبلاً پشت مشتریان مالی خود پنهان بودند، اکنون با بازرسیهای مستقیم مقامات اتحادیه اروپا مواجه هستند. این ارائهدهندگان به شدت در ابزارهای گزارشدهی شفاف، راهحلهای داده محلی و ضمائم انطباق استاندارد سرمایهگذاری میکنند تا تابآوری خود را اثبات کرده و مزیت رقابتی خود را در بازار اروپا حفظ کنند.
آنچه نمیدانیم
- مقامات ذیصلاح ملی تا چه حد تخلفات اولیه را در طول چرخههای حسابرسی ۲۰۲۶ جریمه خواهند کرد.
- پارامترهای فنی دقیقی که سناریوهای آتی «آزمایش نفوذ مبتنی بر تهدید» (TLPT) را با تکامل تهدیدات سایبری تعریف خواهند کرد.
- آیا کمیسیون اروپا دامنه DORA را در بررسیهای آتی خود به حسابرسان قانونی و شرکتهای حسابرسی گسترش خواهد داد یا خیر.
اصطلاحات کلیدی
- ریسک شخص ثالث فناوری اطلاعات و ارتباطات
- پتانسیل اختلال عملیاتی یا از دست دادن دادهها که ناشی از اتکای یک مؤسسه مالی به فروشندگان فناوری خارجی است.
- آزمایش نفوذ مبتنی بر تهدید (TLPT)
- تمرینهای پیشرفته امنیت سایبری که حملات دنیای واقعی را بر اساس اطلاعات تهدیدات فعلی شبیهسازی میکنند تا دفاعیات یک سازمان را آزمایش کنند.
- ریسک تمرکز
- آسیبپذیری سیستمی ایجاد شده زمانی که بخش بزرگی از بخش مالی به یک ارائهدهنده فناوری واحد، مانند یک پلتفرم ابری بزرگ، متکی است.
- CTPP (ارائهدهنده حیاتی شخص ثالث فناوری اطلاعات و ارتباطات)
- یک فروشنده فناوری که آنقدر برای سیستم مالی ضروری تلقی میشود که مستقیماً تحت نظارت نظارتی مقامات اتحادیه اروپا قرار میگیرد.
پرسشهای متداول
آیا DORA برای شرکتهای خارج از اتحادیه اروپا اعمال میشود؟
بله. اگر یک ارائهدهنده فناوری غیر اتحادیه اروپا خدمات حیاتی را به یک نهاد مالی اتحادیه اروپا ارائه دهد، باید با الزامات ریسک شخص ثالث DORA مطابقت داشته باشد.
اگر شرکتی نتواند مطابقت داشته باشد چه اتفاقی میافتد؟
عدم انطباق میتواند منجر به جریمههای روزانه، محدودیتهای عملیاتی و مداخله مستقیم نظارتی شود، با جریمههای خاص که توسط مقامات ذیصلاح ملی تعیین میشود.
DORA چگونه بر ارائهدهندگان ابری مانند AWS یا گوگل تأثیر میگذارد؟
ارائهدهندگان ابری بزرگی که به عنوان حیاتی تعیین شدهاند، اکنون برای اطمینان از ثبات سیستمی، با بازرسی و نظارت مستقیم ناظران مالی اروپا مواجه هستند.
«سجل اطلاعات» (RoI) چیست؟
این یک پایگاه داده اجباری و جامع است که نهادهای مالی باید نگهداری کنند و تمام ترتیبات قراردادی خود با ارائهدهندگان شخص ثالث فناوری اطلاعات و ارتباطات را مستند میکند.
منابع
[1]Deployflowتیمهای مهندسی و ریسک
DORA and Global Operational Resilience: How the Regulatory Landscape Is Shifting
مطالعه در Deployflow →[2]Panoraysتیمهای مهندسی و ریسک
DORA Compliance Requirements: The Five Core Areas
مطالعه در Panorays →[3]Cloudsmithمؤسسات مالی
Why DORA compliance is the 2026 'North Star' for financial risk
مطالعه در Cloudsmith →[4]Apiiroتیمهای مهندسی و ریسک
What DORA Means for Security and Risk Teams in 2026
مطالعه در Apiiro →[5]IBMارائهدهندگان ابری و فناوری اطلاعات و ارتباطات
What is the DORA?
مطالعه در IBM →[6]MyHarmoneyمؤسسات مالی
DORA and third-party risk management: regulatory recognition of extended risk
مطالعه در MyHarmoney →[7]Palo Alto Networksارائهدهندگان ابری و فناوری اطلاعات و ارتباطات
DORA Readiness Checklist
مطالعه در Palo Alto Networks →[8]Program on International Financial Systemsمقامات نظارتی
Technology Outsourcing in the Financial Sector
مطالعه در Program on International Financial Systems →
هر زاویه. هر روز.
دریافت راهنماها اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.











