DORA 규제란 무엇인가? EU 디지털 복원력 프레임워크

DORA 규제란 무엇인가?

EU 내 금융 기관은 2025년 1월 17일부터 시행되는 의무적 준수 프레임워크의 적용을 받으며, 미준수 시 최대 500만~1,000만 유로 또는 연간 매출의 5~10%에 달하는 벌금이 부과될 수 있습니다. 디지털 운영 복원력법(DORA, 공식적으로 규정 (EU) 2022/2554)은 EU 금융 기관 전반에 걸쳐 ICT 위험 관리에 대한 통일된 요구사항을 규정합니다. 공식 규정 문서에 따르면, DORA는 금융 기관이 높은 수준의 디지털 운영 복원력을 달성할 것을 요구하며, 이는 정보통신기술과 관련된 모든 중단에 대해 견디고, 대응하며, 복구할 수 있는 능력을 입증해야 함을 의미합니다.

DORA는 신용 기관, 결제 서비스 제공자, 투자 회사, 암호자산 서비스 제공자, 보험 회사, ICT 제3자 서비스 제공자를 포함한 금융 기관을 규율합니다. EU 금융 부문에서 운영 중이라면, DORA가 귀하의 보안 운영을 규제할 가능성이 높습니다.

업계 연구에 따르면, 금융 기관 중 ICT 제3자 위험 관리 요구사항을 완전히 준수한다고 보고한 곳은 극히 일부에 불과하며, 이는 모든 DORA 핵심 영역 중 가장 낮은 준수율을 보입니다 [TKTK - 출처 필요]. 2025년 4월 30일까지의 제3자 보고 마감일을 고려할 때, 아직 이러한 격차를 해소하지 않았다면 조치가 필요합니다.

이 규제가 존재하는 이유를 이해하면 요구사항의 범위를 맥락화하는 데 도움이 됩니다.

금융 기관에 DORA가 중요한 이유

DORA는 EU 금융 부문 전반에 걸쳐 통일된 디지털 운영 복원력 요구사항을 수립하여, 이전에 존재하던 규제 단절로 인한 준수 복잡성과 보안 격차를 해소합니다. 최근 금융 기관을 겨냥한 사이버 공격 사례는 이 규제의 필요성을 명확히 보여줍니다.

2016년, 공격자는 SWIFT 메시징 시스템을 악용해 방글라데시 중앙은행에서 8,100만 달러를 탈취했으며, 이는 DORA가 현재 다루는 제3자 ICT 위험 관리의 치명적 약점을 드러냈습니다. 2019년 Capital One 침해 사고에서는 잘못 구성된 클라우드 환경을 통해 1억 건이 넘는 고객 정보가 유출되어, 하이브리드 인프라 전반에 걸친 통합 ICT 위험 프레임워크의 필요성을 부각시켰습니다. 2018년에는 공격자가 파괴적 악성코드를 이용해 Banco de Chile 직원의 주의를 분산시키는 동시에 SWIFT 사기 거래로 1,000만 달러를 탈취해, 운영 중단이 금융 탈취를 은폐할 수 있음을 보여주었습니다.

• 시스템적 위험 감소: DORA는 통일된 ICT 위험 관리 기준을 의무화함으로써, 한 기관의 운영 실패가 금융 시스템 전체로 확산될 가능성을 줄입니다. 이 통일된 접근법은 금융 기관이 ICT 중단에 견디고, 대응하며, 복구할 수 있도록 보장합니다.
• 제3자 위험 투명성: 핵심 제3자 제공자 감독 프레임워크는 금융 부문이 소수의 ICT 제공자에 의존할 때 발생하는 집중 위험을 해결합니다.  EIOPA 감독 프레임워크에 따르면, 31~44조는 핵심 ICT 제3자 서비스 제공자(CTPP)에 대한 직접적 규제 감독을 수립하며, 이는 EU가 이 규모로 감독을 시행하는 첫 사례입니다.
• 사고 대응 표준화: 4시간 내 통지 요구사항은 금융 기관이 보안 사고를 처리하는 방식에 일관성을 부여합니다. 주요 ICT 관련 사고가 시스템적 영향을 미칠 경우, 당국은 유럽 시스템적 사이버 사고 조정 프레임워크(EU-SCICF)를 통해 대응을 조율합니다.
• 고객 보호 강화: DORA는 금융 기관이 주요 ICT 관련 사고 및 중대한 사이버 보안 위협을 관할 당국에 보고하도록 요구하며, 고객 통지 의무는 DORA가 아닌 GDPR 또는 PSD2와 같은 기타 부문별 법률에서 발생할 수 있습니다.

이러한 이점은 금융 부문 전반에 적용되지만, 첫 단계는 귀하의 조직이 DORA 적용 대상인지 여부를 판단하는 것입니다.

DORA 준수 대상

DORA는 EU 내에서 운영되는 21개 금융 기관 범주에 적용되며, 금융 서비스 사이버보안 규제 중 가장 광범위한 적용 범위를 형성합니다. 2조에서 적용 대상 기관의 전체 목록을 정의합니다.

전통적 금융 기관이 핵심 적용 대상에 속합니다: 신용 기관, 결제 기관, 전자화폐 기관, 투자 회사, 중앙 증권 예탁기관 등입니다. 보험 및 재보험 회사, 보험 중개인, 직업연금제도 기관도 DORA 요구사항에 포함됩니다. 또한 암호자산 서비스 제공자, 크라우드펀딩 서비스 제공자, 유동화 저장소도 규제 대상입니다.

시장 인프라 기관에는 거래소, 거래 저장소, 중앙 상대방, 데이터 보고 서비스 제공자가 포함되며, 이들 역시 준수해야 합니다. 신용평가 기관, 중요 벤치마크 관리자, 계좌 정보 서비스 제공자도 금융 기관 범주를 완성합니다.

ICT 제3자 서비스 제공자는 제공자의 본사가 어디에 있든 EU 금융 기관에 서비스를 제공할 경우 DORA 요구사항을 준수해야 합니다. EU 외 기술 기업이 EU 은행에 클라우드 서비스, 소프트웨어, 관리형 서비스를 제공하는 경우 DORA의 계약상 요구사항을 충족해야 합니다. ESAs는 시스템적 중요성을 기준으로 특정 제공자를 핵심 제3자 제공자(CTPP)로 지정하며, 이들은 직접적인 규제 감독을 받습니다.

4조의 비례성 원칙에 따라, 소규모 기관은 규모, 위험 프로필, 복잡성에 비례한 요구사항을 적용할 수 있습니다. 마이크로기업은 16조 3항에 따라 간소화된 ICT 위험 관리 프레임워크를 적용받을 수 있으나, 사고 보고 및 제3자 감독 의무는 여전히 적용됩니다.

DORA가 귀하의 조직에 적용되는지 판단했다면, 다음으로 직면하는 구체적 보안 의무가 무엇인지 확인해야 합니다.

DORA 사이버보안 요구사항

DORA는 금융 부문 비즈니스 프로세스를 지원하는 네트워크 및 정보 시스템의 보안을 구체적으로 다룹니다. ICT 관련 중단 및 사이버 위협은 금융 안정성, 운영 연속성, 고객 보호에 중대한 위험을 초래합니다.

15조는 명시적 사이버보안 요구사항을 규정합니다: 네트워크 사용 패턴, 시간대, IT 활동, 미확인 기기 등에서 이상 행위를 모니터링해야 합니다. 공식 규정 문서에 따르면, 금융 기관은 적절한 지표를 통해 ICT 위험과 관련된 이상 행위 모니터링을 구현해야 합니다.

사고 보고 요구사항은 기존 사이버보안 프레임워크를 넘어섭니다. 19조 및 20조는 사고 및 위협 보고서에 위협 행위자 식별을 포함할 것을 요구합니다. 사고 발생 후 4시간 이내에 사고를 주요 또는 비주요로 분류하고, 즉시 관할 당국에 최초 통지를 제출해야 합니다.

DORA는 금융 부문에 대한 특별법(lex specialis)으로서 NIS2보다 우선 적용됩니다. ISO 27001이 기반을 제공하지만, DORA는 위협 행위자 식별, 고객 통지 의무, 시스템적 집중 위험을 다루는 제3자 감독 메커니즘 등 필수 요구사항을 추가합니다.

이러한 사이버보안 요구사항은 DORA의 광범위한 규제 구조의 일부로, 다섯 개의 주요 축으로 조직되어 있습니다.

DORA의 운영 방식

DORA는 유럽 감독 당국이 조정하는 국가 관할 당국에 의해 집행되는 의무적 기술 요구사항을 통해 운영됩니다.

귀하의 ICT 위험 관리 프레임워크에는 전략, 정책, 절차가 필요합니다. 경영진은 DORA의 규제 요구사항 전반에 걸쳐 ICT 위험 감독에 대한 최종 책임을 집니다.  Citi의 규제 브리핑에 따르면, 이는 명확히 규정되어 있습니다.

사고 발생 시, 사전 정의된 기준을 사용해 즉시 사고를 분류합니다. 주요 사고의 경우, 분류 후 4시간 이내에 관할 당국에 최초 통지를 제출하고, 상황 변화에 따라 연속적으로 추가 통지를 진행합니다.

복원력 테스트 프로그램은 정해진 주기로 운영됩니다. 대부분의 기관은 위험 프로필에 적합한 정기 평가 및 시나리오 기반 테스트를 수행해야 합니다. 규제 당국이 귀하의 기관을 중요 기관으로 지정한 경우, 최소 3년마다 TLPT를 수행해야 합니다. 테스트 완료 후에는 요약 결과와 시정 계획 및 일정표를 문서화해야 합니다.

제3자 감독은 계약상 요구사항과 규제 지정에 의해 이루어집니다. ICT 서비스 제공자와 계약 체결 전, DORA의 정보보안 기준 준수 여부를 확인해야 합니다.  30조에 따르면, 계약에는 다음이 포함되어야 합니다:

• 성과 지표가 포함된 서비스 수준 계약
• 보안 기준 및 준수 요구사항
• 감사 권한 및 접근 조항
• 종료 전략 및 전환 계획

ESAs는 시스템적 중요성을 기준으로 특정 제공자를 핵심 제3자 제공자(CTPP)로 지정합니다. 이들 CTPP는 소재지와 관계없이 직접적 규제 감독을 받습니다.

DORA의 다섯 개 축 중 두 가지, 즉 ICT 위험 관리와 사고 보고가 보안팀에 가장 큰 운영적 영향을 미칩니다.

DORA 하의 ICT 위험 관리

ICT 위험 관리는 DORA 규제 프레임워크의 기반을 이룹니다. 6조는 금융 기관이 ICT 위험 관리 프레임워크를 전체  위험 관리 시스템의 필수 요소로 구축할 것을 요구하며, 경영진에 직접 책임을 부여합니다.

경영진은 ICT 위험 관리 체계의 정의, 승인, 감독, 책임을 져야 합니다. 여기에는 위험 허용 수준 설정, ICT 비즈니스 연속성 정책 승인, 디지털 운영 복원력 확보를 위한 충분한 예산 배정이 포함됩니다. DORA는 ICT 위험이 IT 부서가 아닌 이사회 수준의 책임임을 명확히 합니다.

8조는 ICT 제3자 의존성에서 발생하는 위험을 포함해 모든 ICT 위험의 식별을 의무화합니다. 모든 ICT 자산의 완전한 목록을 유지하고, 시스템 간 상호의존성을 매핑하며, ICT가 지원하는 모든 비즈니스 기능을 문서화해야 합니다. 이 매핑 작업은 집중 위험과 금융 서비스 중단을 초래할 수 있는 단일 실패 지점을 드러냅니다.

9조의 보호 및 예방 요구사항에 따라, 금융 기관은 다음 영역 전반에 걸쳐 ICT 보안 정책을 구현해야 합니다:

• 전송 중 및 저장 중 데이터의 정보보안
• 네트워크 보안 관리 및 분할
• 접근 제어 정책 및 인증 메커니즘
• 패치 및 업데이트 관리 절차
• ICT 자산의 물리적 및 환경적 보안

이러한 통제는 개별적으로 적용되는 것이 아니라 통합된 시스템으로 작동해야 합니다.

탐지 역량도 동일하게 중요합니다. 10조는 ICT 네트워크 성능 문제 및 ICT 관련 사고를 포함한 이상 활동을 신속히 탐지할 수 있는 메커니즘을 요구합니다. 탐지 인프라는 적절한 지표를 통해 이상 행위를 모니터링하고, 다중 계층의 통제를 가능하게 해야 합니다.

11조 및 12조의 대응 및 복구 절차가 프레임워크를 완성합니다. ICT 비즈니스 연속성 정책, 재해 복구 계획, 백업 정책을 구현해야 하며, 이들은 정기적으로 테스트되고, 중단, 복원력 테스트, 감사 결과에서 얻은 교훈을 반영해 갱신되어야 합니다.

이러한 ICT 위험 관리 의무를 충족하는 것이 DORA의 엄격한 사고 보고 요구사항을 위한 기반을 마련합니다.

DORA 하의 사고 보고 요구사항

DORA는 대부분의 금융 기관이 기존 규제 하에서 구현한 것보다 더 구조화되고 시간에 민감한 사고 보고 프레임워크를 수립합니다. 17~23조는 분류 기준, 보고 일정, ICT 관련 사고에 대한 통지 의무를 정의합니다.

먼저 18조에서 정의한 기준을 사용해 모든 ICT 관련 사고를 분류해야 합니다. 분류 요소에는 영향받은 고객 수, 사고의 지속 시간 및 지리적 범위, 데이터 손실, 영향받은 서비스의 중요도, 경제적 영향 등이 포함됩니다. 이 평가를 바탕으로 사고가 DORA 기준상 "주요" 사고에 해당하는지 결정합니다.

주요 사고의 경우, 보고 일정은 엄격합니다:

• 최초 통지: 사고 분류 후 4시간 이내
• 중간 보고서: 최초 통지 후 72시간 이내, 진행 상황, 예비 근본 원인 분석, 임시 조치 포함
• 최종 보고서: 중간 보고서 후 1개월 이내, 확정된 근본 원인 분석, 실제 영향 평가, 시정 조치 포함

효과적인  사고 대응 프로세스가 이러한 일정 준수에 필수적입니다. 19조 및 20조는 사고 및 위협 보고서에 위협 행위자 식별을 포함할 것을 요구하여,  위협 인텔리전스 통합이 보고 워크플로우에 필요함을 의미합니다.

주요 사고 외에도, DORA는 19조에 따라 중대한 사이버 위협의 자발적 보고를 도입합니다. 금융 기관은 아직 사고로 이어지지 않았더라도 금융 시스템에 관련성이 있다고 판단되는 사이버 위협을 관할 당국에 통지할 수 있습니다.

이러한 보고 의무에는 집행 결과가 수반되며, 이는 DORA의 벌칙 프레임워크로 이어집니다.

DORA 벌칙 및 집행

DORA 집행은 유럽 감독 당국(EBA, ESMA, EIOPA)이 조정하는 국가 관할 당국을 통해 이루어집니다. 각 EU 회원국은 DORA의 범위 내에서 자체 벌칙 프레임워크를 시행하며, 최대 벌금 및 집행 방식에 차이가 있습니다.

벌칙 구조는 회원국마다 크게 다릅니다.  DLA Piper의 분석에 따르면, 벨기에는 최대 500만 유로 또는 연간 순매출의 10%의 벌금을 부과합니다. 스웨덴은 100만 유로, 연간 총 순매출의 10%, 위반으로 얻은 이익의 3배 중 가장 높은 금액을 적용합니다. 독일은 법인에 최대 500만 유로, 경영진 개인에 최대 50만 유로의 벌금을 부과할 수 있습니다.

집행 권한은 금전적 벌칙을 넘어 확장됩니다. 관할 당국은 다음을 할 수 있습니다:

• 즉각적 시정 조치를 요구하는 중지 명령 발령
• 비준수 기관의 명칭을 공개하는 공공 경고 발표
• ICT 위험 감독 실패에 책임이 있는 이사회 구성원 해임

이러한 평판적 결과는 장기적으로 직접적 금전적 벌칙보다 더 큰 비즈니스 영향을 미칠 수 있습니다.

54조는 관할 당국이 행정 벌칙 부과 결정을 공식 웹사이트에 공개하도록 요구하며, 위반 유형 및 성격, 책임자 신원 등 정보를 포함해야 합니다. 이 공개 메커니즘은 투명성을 제공하는 동시에, 비준수 조직에 상당한 평판 위험을 초래합니다.

핵심 제3자 제공자는 ESAs가 지정한 주감독자의 직접 감독을 받습니다. 감독 권고를 준수하지 않는 CTPP는 금융 기관에 부과되는 벌칙과 별도로, 준수 달성 시까지 정기적 벌칙금을 부과받을 수 있습니다.

이러한 집행 위험을 고려할 때, 실질적 준수 장애 요인을 이해하는 것이 필수적입니다.

DORA 이행의 과제

업계 연구에 따르면, 금융 부문 전반에 걸쳐 ICT 제3자 위험 관리 및 디지털 운영 복원력 테스트에서 가장 낮은 준수율을 보이며, 체계적 이행 장애가 존재합니다.

1. 제3자 위험 관리의 복잡성: ICT 제3자 위험 관리는 모든 DORA 핵심 영역 중 가장 낮은 준수율을 보입니다. 조직은 수천 건에 달할 수 있는 계약에 대해 기술 기반 법률 검토를 수행해야 하며, 각 공급업체가 DORA 보안 기준을 준수하는지 확인해야 합니다.
2. 테스트 프로그램 미비: 디지털 운영 복원력 테스트 역시 우려스러운 준수 수준을 보입니다. 이는 조직이 DORA가 요구하는 위협 기반 침투 테스트 프레임워크 구현에 어려움을 겪고 있음을 시사합니다.
3. 멀티클라우드 가시성 부족: 복잡하고 분리·분할된 ICT 시스템의 중앙 개요를 구축하는 것이 주요 과제입니다. 멀티클라우드 환경의 메타데이터 수집, 온프레미스 인프라 통합, 완전한 자산 목록이 필요합니다. 멀티클라우드 및 온프레미스 환경 전반의 모니터링을 통합하는 통합 가시성 플랫폼이 이 과제 해결에 도움이 됩니다.
4. 사고 귀속 요구사항: 사고 보고서에  위협 행위자 식별을 포함해야 하는 의무는 기존 사고 대응을 넘어서는 운영 부담을 초래합니다. 이 요구사항은 위협 인텔리전스 피드와 식별 전문성을 갖춘 분석가, 다중 이해관계자 통지(고객 커뮤니케이션 포함)를 지원하는 자동화된 보고 워크플로우를 필요로 합니다.
5. 시간 압박: 사고 분류 후 4시간 내 통지 요구사항은 상당한 운영 압박을 야기합니다. 자율 기능을 갖춘 보안 플랫폼은 수동 개입 없이 위협을 탐지·분류해 대응 시간을 단축합니다. 사고가 새벽 2시에 발생해도, 4시간 내에 심각도 분류, 영향 평가, 위협 행위자 결정, 최초 통지를 완료해야 합니다.

이러한 장애를 피하려면 DORA의 가장 까다로운 요구사항을 해결하는 전략적 접근이 필요합니다.

DORA 모범 사례

성공적인 DORA 이행을 위해서는 거버넌스, 운영, 기술 측면에서 구조화된 접근이 필요합니다.

제3자 위험 관리 우선순위화: 제3자 위험 관리의 준수율이 가장 낮으므로, 모든 ICT 서비스 제공자 계약에 대해 기술 기반 법률 검토를 수행해야 합니다. 핵심 제공자에 대해서는 개별화된 접근을 적용합니다. 제3자 준수의 지속적 모니터링을 구축하고, 다각화 전략을 통해 집중 위험을 해소합니다.

자율 사고 대응 구현: 15조가 요구하는 대로 네트워크 패턴, 시간대, IT 활동, 미확인 기기 전반의 이상 행위를 모니터링하는 행동 기반 AI를 배포하는 보안 플랫폼은 신속한 사고 대응을 가능하게 합니다.  보안 플랫폼이 자율적으로 위협을 탐지·분류해 4시간 내 통지 일정을 준수할 수 있도록 해야 합니다. 19~20조가 요구하는 위협 행위자 식별 분석을 지원하기 위해 위협 인텔리전스 통합도 필요합니다.

위험 프로필별 테스트 프로그램 구축: 식별된 중요 시스템에 대해 최소 3년마다 위협 기반 침투 테스트(TLPT)를 실시합니다. 테스트 프로그램에는 다음이 포함되어야 합니다:

• 정기적 시나리오 기반 복원력 연습
• 요약 결과가 포함된 문서화된 테스트 결과
• 구체적 일정이 포함된 시정 계획
• 비즈니스 연속성 계획과의 통합

통합 가시성 플랫폼 배포: 멀티클라우드 및 온프레미스 환경 전반의 중앙 가시성을 구축합니다. 완전한 ICT 자산 목록을 유지하고, 지속적 상태 관리를 구현합니다. 업계 권고에 따라 멀티클라우드 및 하이브리드 인프라 가시성 과제를 해결할 수 있는 ICT 의존성의 단일 진실 원본을 만듭니다.

지속적 준수 체계 구축: 시점 평가가 아닌 지속적  준수 모니터링 프로그램을 구축합니다. 테스트에서 위험 관리로 피드백 루프를 만듭니다. 감독 기대치 변화에 대한 인식을 유지하고, 규제 기술 기준 업데이트에 대비합니다. 당국의 핵심 제3자 제공자 지정 현황을 모니터링합니다.

이러한 운영 관행과 함께, DORA의 준수 일정 이해는 이행 우선순위 설정에 도움이 됩니다.

DORA 준수 일정 및 주요 마감일

DORA는 공표 시점부터 시작해 지속적인 규제 기술 기준 업데이트에 이르는 단계별 이행 일정을 따릅니다. 이러한 마감일을 선제적으로 관리하는 것이 준수 유지에 필수적입니다.

DORA는  EU 공식 저널에 2022년 12월 27일 공표되었으며, 2023년 1월 16일 발효되었습니다. 금융 기관과 ICT 제3자 서비스 제공자는 규정 요구사항 이행을 위한 2년의 전환 기간을 가졌습니다.

주요 집행일은 2025년 1월 17일이었습니다. 이 날짜부터 모든 적용 금융 기관은 DORA의 핵심 요구사항(ICT 위험 관리 프레임워크, 사고 보고 절차, 복원력 테스트 프로그램, 제3자 위험 관리 의무) 준수를 입증해야 합니다.

집행 이후 주요 마감일은 다음과 같습니다:

• 2025년 1월 17일: 모든 적용 기관의 완전 준수 필요
• 2025년 4월 30일: ICT 제3자 계약 정보 등록부의 최초 제출 마감일
• 지속적(3년마다): 중요 기관 대상 위협 기반 침투 테스트(TLPT)
• 지속적: ICT 제3자 등록부 연간 갱신 및 제3자 준수 지속 모니터링

유럽 감독 당국은 DORA의 특정 의무에 대한 상세 지침을 제공하는 규제 기술 기준(RTS) 및 시행 기술 기준(ITS)을 계속 발표하고 있습니다.  첫 번째 RTS는 2024년 초 ICT 위험 관리, 사고 분류, 제3자 위험을 다루며, 두 번째 배치는 TLPT 요구사항 및 고급 테스트 프레임워크를 다룹니다.

금융 기관은 기술 기준 및 감독 지침의 업데이트를 위해 ESA 발표를 모니터링해야 하며, 시간이 지남에 따라 준수 기대치가 조정될 수 있습니다. DORA는 금융 기관이 동시에 준수해야 하는 기타 EU 규제 프레임워크와도 교차합니다.

DORA와 관련 EU 규정

DORA는 금융 기관의 사이버보안 및 운영 복원력 환경을 형성하는 여러 EU 규정과 함께 운영됩니다. 이러한 프레임워크의 상호작용을 이해하면 중복 노력을 방지하고 완전한 규제 준수를 보장할 수 있습니다.

• DORA와 NIS2: DORA는 금융 부문에 대한 특별법(lex specialis)으로, 적용 대상 기관에 대해 네트워크 및 정보보안 지침(NIS2)보다 우선 적용됩니다. 두 규정이 모두 적용될 수 있는 경우, DORA의 금융 부문 특화 요구사항이 NIS2의 일반 사이버보안 조항을 대체합니다. 단, CTPP로 분류되지 않은 ICT 서비스 제공자는 해당 지침상 필수 또는 중요 기관에 해당할 경우 NIS2 의무가 적용될 수 있습니다.
• DORA와 GDPR: 일반 개인정보 보호 규정은 특히 개인정보 유출 통지와 관련해 DORA와 함께 적용됩니다. ICT 관련 사고에 개인정보가 포함된 경우, DORA의 사고 보고 일정(관할 당국에 4시간 내 최초 통지)과 GDPR의 데이터 보호 당국에 72시간 내 통지를 모두 준수해야 합니다. 두 보고 체계는 일정, 수신자, 내용 요구사항이 서로 다릅니다.
• DORA와 사이버 복원력법(CRA): CRA는 EU 시장에 출시되는 디지털 요소가 포함된 제품의 사이버보안 요구사항에 초점을 둡니다. DORA가 금융 기관의 ICT 위험 운영 관리를 규율하는 반면, CRA는 해당 기관이 조달하는 하드웨어 및 소프트웨어 제품의 보안을 다룹니다. 두 규정은 공급망 보안 프레임워크를 형성하며, 제품 제조업체는 CRA 기준을 충족해야 하고, 금융 기관은 DORA 하에서 공급업체 준수를 검증해야 합니다.
• DORA와 ISO 27001: ISO 27001은 자발적 정보보안 관리 시스템 프레임워크를 제공하는 반면, DORA는 의무적 요구사항을 부과합니다. ENISA는 DORA 요구사항과 ISO 27001 통제 간 공식 매핑 표를 제공합니다. ISO 27001 인증을 받은 금융 기관은 유리한 출발점에 있지만, DORA가 특별히 요구하는 위협 행위자 식별, 고객 통지 프로토콜, 제3자 집중 위험 관리, TLPT 요구사항 등에서는 여전히 격차가 존재합니다.

이러한 모범 사례를 구현하고 규제 중복을 관리하려면, 지속적 모니터링과 신속 대응이 가능한 보안 인프라가 필요합니다.

핵심 요약

DORA는 2025년 1월 17일부터 EU 금융 기관 전반에 디지털 운영 복원력을 의무화합니다. 이 규정은 이사회 책임 하의 ICT 위험 관리 프레임워크, 주요 사고 발생 시 4시간 내 사고 분류 및 위협 행위자 식별 포함 보고, 중요 기관 대상 최소 3년마다 TLPT를 포함한 복원력 테스트, 2025년 4월 30일부터 시작되는 ICT 제공자 보고를 포함한 제3자 감독, 사이버 위협 인텔리전스 교환을 위한 정보 공유 메커니즘을 요구합니다.

제3자 위험 관리와 복원력 테스트는 금융 부문 전반에서 가장 낮은 준수율을 보여, 상당한 규제 노출을 초래합니다. 이상 행위 모니터링, 위협 인텔리전스 통합, 신속한 사고 대응을 지원하는 보안 플랫폼은 조직이 DORA의 까다로운 요구사항을 충족하는 데 도움이 됩니다.