⦁ EU 금융기관의 디지털 운영 복원력 강화를 위해 ICT 리스크 관리, 사고 보고, 운영 복원력 테스트, 제3자 리스크 관리에 대한 통일된 규제 프레임워크를 도입 

⦁ 20가지 유형의 금융기관과 ICT 제3자 서비스 제공업체에 적용되는 포괄적인 사이버 보안 및 운영 연속성 요구사항을 규정 

⦁ 중요 ICT 제3자 서비스 제공업체에 대한 범유럽 감독체계를 구축하고 금융 안정성 보호를 위한 직접적인 감독 권한을 부여

□ ICT 리스크 관리 프레임워크 강화

⦁ 금융기관은 사이버 위협과 ICT 중단으로부터 견딜 수 있도록 포괄적이고 문서화된 ICT 리스크 관리 프레임워크를 구축해야 함

⦁ 경영진은 ICT 리스크 관리에 대한 궁극적 책임을 지고 디지털 운영 복원력 전략을 승인하고 감독해야 함 

⦁ ICT 자산의 식별, 보호, 탐지, 대응, 복구 및 학습 진화를 포함한 다층적 보안 체계를 구축해야 함

⦁ 정기적인 리스크 평가, 취약점 분석, 사고 대응 계획 수립을 통해 지속적인 모니터링 체계를 운영해야 함 

□ 사고 보고 및 위기 대응 체계 표준화

⦁ 주요 ICT 관련 사고에 대해 표준화된 분류 기준과 보고 일정에 따라 즉시 보고해야 함 

⦁ 사고 보고는 72시간 이내 초기 보고, 1개월 이내 중간 보고, 3개월 이내 최종 보고의 단계적 절차를 따라야 함

⦁ ICT 비즈니스 연속성 정책과 대응 복구 계획을 수립하여 중요 기능의 연속성을 보장해야 함

⦁ 감독당국은 금융기관들로부터 받은 사고 보고를 다른 공공기관과 공유하여 효과적인 대응 체계를 구축함 

□ 디지털 운영 복원력 테스트 의무화

⦁ 금융기관은 ICT 시스템과 직원의 예방, 탐지, 대응, 복구 역량의 효과성을 정기적으로 테스트해야 함 

⦁ 대형 시스템적 금융기관은 실제 위협 환경을 모방한 고급 위협 주도 침투 테스트(TLPT)를 의무적으로 실시해야 함

⦁ 여러 금융기관이 공동으로 참여하는 풀링 테스트와 테스트 결과의 상호 인정을 통해 테스트의 효율성을 제고함

⦁ 테스트 결과는 ICT 리스크 관리 프레임워크의 지속적 개선에 반영되어야 함

□ 제3자 ICT 서비스 제공업체 감독 강화

⦁ 중요 또는 핵심 기능을 지원하는 ICT 서비스에 대한 계약상 최소 요구사항을 규정하고 감사권 및 종료권을 보장함 

⦁ 2025년 4월까지 금융기관은 ICT 제3자 서비스 제공업체와의 계약 정보를 감독당국에 제출해야 함 

⦁ 중요 ICT 제3자 서비스 제공업체로 지정된 업체는 EU 내 자회사 설립을 통해 직접적인 감독을 받아야 함 

⦁ ESA가 지정하는 주요 감독기관이 중요 ICT 제3자 서비스 제공업체에 대한 정기적 검토와 평가를 실시함 

□ 시행 및 제재 체계

⦁ 금융기관의 경우 연간 매출액의 2%까지, 중요 ICT 서비스 제공업체의 경우 최대 500만 유로까지 과태료를 부과할 수 있음 

⦁ 각 EU 회원국은 자국 금융법에 DORA 요구사항을 반영하는 국내법을 제정하고 있음 

⦁ 감독당국은 검사, 시정조치, 기존 계약의 정지나 종료까지 명령할 수 있는 광범위한 권한을 보유함

⦁ 2025년 1월 17일부터 완전 시행되어 모든 적용 대상 기관은 즉시 준수해야 함"