EU 금융 기관 고려사항: 금융 기관은 ICT 위험 관리를 위한 내부 거버넌스 및 제어 프레임워크를 구축하고 ICT 위험을 지속적으로 모니터링해야 합니다. 이러한 ICT 위험 관리 및 모니터링 요구사항은 서드 파티 제공업체가 제공하는 ICT 서비스 사용까지 적용됩니다.

ICT 제공업체 고려사항: ICT 제공업체는 고객의 ICT 위험 관리 및 모니터링을 지원할 수 있어야 합니다. 여기에는 제공업체에서 관련 시스템과 프로세스를 관리하는 경우가 포함됩니다. 또한 중요 ICT 제공업체의 경우 새로운 리드 감독자가 ICT 위험 관리 정책, ICT 비즈니스 연속성 정책, ICT 대응 및 복구 계획을 포함한 제공업체의 위험 관리 프로세스를 평가합니다. 

Google Cloud 지원: Google Cloud를 사용하기 전에 위험 평가 및 중요 애셋 탐색 솔루션을 사용하여 조직의 현재 IT 위험을 파악하고, 중요한 애셋의 위치를 식별하고, 보안 상황 및 복원력을 개선하기 위한 권장사항을 받을 수 있습니다. 제어를 통한 위험 관리 및 애셋 관리에 대한 안내도 게시했습니다. 

Google Cloud에 접속하면 Cloud Monitoring, Resource Manager, Infrastructure Manager, Cyber Insurance Hub를 비롯한 여러 도구를 활용하여 지속적으로 클라우드 리소스를 매핑하고 관리할 수 있습니다. 위험 관리에 대한 Google의 접근 방식에 대한 정보는 Google의 인증 및 감사 보고서에서 확인할 수 있습니다.

추가 지원이 필요한 경우 Mandiant(현재 Google Cloud 소속)에서 Cyber Risk Management Operations Service, Threat Modeling Security Service, Cyber Security Due Diligence Service, Cyber Security Program Assessment 등의 위험 관리 서비스를 제공합니다. 자세한 안내는 ICT 위험 관리 고객 가이드를 참조하세요.

EU 금융 기관에 대한 고려사항: DORA는 금융 부문 사고 보고 요구사항을 간소화된 단일 프레임워크로 통합합니다. 즉, 여러 부문 또는 EU 회원국에서 운영되는 금융 기관은 시급한 상황에서 병렬적이고 중복되는 보고 체계를 탐색하지 않아도 됩니다. 

또한 DORA는 NIS2와 같은 병렬 사고 보고 체계를 해결하는 것을 목표로 합니다. 이러한 변화는 규제 기관이 필요한 정보를 확보하는 동시에 금융 기관이 이슈 대응의 다른 중요한 측면에 집중할 수 있도록 지원합니다. 금융 기관은 특정 템플릿과 타임라인에 정의된 기준에 따라 이슈를 보고해야 하며 근본 원인과 이슈 이후의 개선사항을 문서화하는 절차를 구현해야 합니다. 

ICT 제공업체 고려사항: ICT 제공업체는 고객의 이슈 보고 요구사항을 지원할 수 있어야 합니다. 또한 중요 ICT 제공업체의 경우 리드 감독자가 중요 ICT 관련 사고의 식별, 모니터링 및 금융 기관에 즉시 보고하는 제공업체의 프로세스를 직접 평가합니다. 

Google Cloud 지원: Google은 고객의 Google Cloud 사용에 영향을 미치는 ICT 관련 이슈와 관련해 업데이트된 DORA 계약 조항을 고객에게 알릴 예정입니다. 이러한 알림은 추가 비용 없이 기존 알림 채널(이메일, Personalized Service Health(PSH), Service Health 대시보드, Google Cloud Support Center 포함)을 통해 제공됩니다. 

Google은 DORA 요구사항에 따라 금융 기관에서 자체적인 평가 및 보고를 진행하는 데 필요한 정보를 기한 내에 제공하기 위해 최선을 다하고 있습니다.

EU 금융 기관 고려사항: DORA는 TIBER-EU와 같은 기존 EU 이니셔티브를 기반으로 디지털 운영 복원력을 테스트하는 EU 전반의 접근 방식을 수립했습니다. 특정 금융 기관의 경우 3년마다 고급 위협 주도 침투 테스트(TLPT)가 포함됩니다. DORA는 테스트 방법을 명확하게 규정하고 테스트 결과에 대한 상호 인식을 도입함으로써 금융 기관이 EU 전역에서 작동하는 방식으로 테스트 기능을 계속 빌드하고 확장할 수 있도록 지원합니다.  

ICT 제공업체 고려사항: DORA는 금융 기관에서 수행하는 TLPT에서 ICT 제공업체의 역할을 직접 다룹니다. 특히 DORA는 합동 테스트를 통해 퍼블릭 클라우드와 같은 멀티 테넌트 서비스에 미치는 영향을 관리할 수 있습니다. 또한 중요 ICT 제공업체의 경우 리드 감독자가 제공업체의 자체 ICT 시스템, 인프라, 제어 테스트를 직접 평가합니다. 

Google Cloud 지원: 2025Google은 DORA 제26조 (4)항에 설명된 대로 외부 테스터의 합동 테스트를 진행하여 TLPT에 참여할 예정입니다. 합동 테스트는 멀티 테넌트 환경에서 테스트를 수행하는 다른 고객에게 내재된 위험을 관리하면서 Google Cloud의 디지털 운영 복원력을 효과적으로 테스트하는 가장 좋은 방법이라고 확신합니다.

EU 금융 기관 고려사항: DORA는 ICT 서드 파티 위험 관리 프레임워크를 구현하기 위한 요구사항 및 ICT 제공업체와의 계약을 포함하여 부문 전반에 걸쳐 ICT 서드 파티 위험 관리를 추가로 조정함으로써 유럽 감독 당국의 개별 아웃소싱 가이드라인에 따라 강력한 기반을 구축했습니다. DORA는 여러 부문과 EU 회원국에서 유사한 위험을 일관성 있게 해결함으로써 금융 기관이 ICT 서드 파티 위험 관리 프로그램을 통합하고 개선할 수 있도록 지원합니다.

ICT 제공업체 고려사항: ICT 제공업체는 고객의 서드 파티 위험 관리 요구사항을 지원할 수 있어야 합니다. 또한 DORA는 리드 감독자가 중요 ICT 제공업체를 직접 감독할 수 있도록 허용합니다. 이 메커니즘은 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다.

Google Cloud 지원: Google은 제30조의 주요 계약 조항을 준수할 수 있도록 금융 기관에 Google Cloud, Google Workspace, SecOps 서비스의 업데이트된 계약 약관을 제공합니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요. 또한 Google의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 충족하는 데 도움이 되는지 이해할 수 있도록 Google Cloud와 Google Workspace 모두에 적용되는 제30조에 대한 안내서도 마련했습니다.

EU 금융 기관 고려사항: DORA는 금융 기관이 다른 금융 기관 및 규제 기관과 자발적으로 사이버 위협 정보를 공유할 때의 고려사항을 간략하게 설명합니다. 

ICT 제공업체 고려사항: DORA는 민감할 수 있는 정보를 보호하는 정보 공유 계약에 ICT 제공업체가 관여하는 것을 고려합니다. 하지만 이러한 계약은 아직 정의되지 않았습니다.  

Google Cloud 지원: Google Cloud는 고객이 DORA의 요구사항에 따라 사이버 위협으로부터 선제적으로 보호할 수 있도록 지원하는 제품과 서비스를 제공합니다. Google은 고객이 받는 위협에 대한 전략적 인텔리전스를 제공하기 위해 분기별 위협 범위 보고서를 발표합니다. 또한 고객은 Mandiant의 사고 대응, 사이버 위험 관리 서비스, 공격 보안 서비스를 활용하여 사이버 사고로부터 보호하고 이에 대비할 수 있습니다.

DORA는 EU 규정입니다. 이 규정은 모든 EU 회원국의 금융 서비스 부문에 적용됩니다. DORA는 유럽 금융 시스템의 ICT 위험을 완화하고 디지털 복원력을 강화하기 위해 기존 규칙을 업데이트하고 강화된 공통 요구사항을 확립합니다. 또한 DORA는 EU의 금융 규제 기관, 즉 유럽 은행 당국, 유럽보험연금감독청, 유럽 증권 시장 당국(총칭하여 유럽 감독 당국)에서 중요 ICT 제공업체를 직접 감독할 수 있는 프레임워크도 도입합니다.

DORA는 유럽 금융 시스템의 ICT 위험을 완화하고 디지털 복원력을 강화하기 위해 EU의 금융 기관에 대한 강화된 공통 요구사항을 확립합니다. 특히 다음 내용이 해당됩니다.

1. DORA에는 금융 기관의 ICT 위험 관리에 관한 자세한 요구사항이 포함되어 있습니다.
2. DORA는 금융 부문 사고 보고 요구사항을 간소화된 단일 프레임워크로 통합합니다.
3. DORA는 TIBER-EU와 같은 기존 EU 이니셔티브를 바탕으로 위협 주도 침투 시험을 포함한 EU 전반의 디지털 운영 복원력 테스트를 위한 접근 방식을 설정합니다.
4. DORA는 ICT 제공업체와의 계약을 포함하여 부문 전반에 걸쳐 ICT 서드 파티 위험 관리를 추가로 조정함으로써 유럽 감독 당국의 개별 아웃소싱 가이드라인에 따라 강력한 기반을 구축했습니다.

또한 DORA는 유럽 감독 당국이 중요 ICT 제공업체를 직접 감독할 수 있도록 허용합니다. 이 메커니즘은 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다.

DORA는 주로 EU의 금융 기관에 적용됩니다. 그러나 일부 DORA는 공식 절차에 따라 유럽 감독 당국에서 '중요'하다고 지정한 ICT 제공업체(클라우드 서비스 제공업체 포함)에 직접 적용됩니다. 지정 대상은 ICT 제공업체의 서비스 장애로 인한 시스템적 영향과 해당 서비스에 의존하는 금융 기관의 시스템적 중요성 등 다양한 요소를 바탕으로 결정됩니다.

DORA는 2025년 1월 17일(EU 공식 저널에 게시된 날로부터 2년 20일 후)부터 적용되었습니다. 

DORA는 유럽 감독 당국에서 '중요'하다고 지정한 중요 ICT 제공업체에만 직접 적용됩니다. 따라서 중요한 ICT 제공업체의 규정 준수 기한은 지정 시점에 따라 다릅니다.

Google Cloud EMEA Limited는 공식적으로 중요 ICT 서드 파티 서비스 제공업체(CTPP)로 지정되었습니다. 이 지정에는 Google Cloud EMEA Limited의 자회사인 Google Cloud France SARL, Google Cloud Italy S.r.l, Google Cloud Poland Sp. z o.o가 포함됩니다.

Google Cloud EMEA Limited는 유럽 감독 당국(ESA)에서 수행한 중요도 평가를 바탕으로 중요 ICT 서드 파티 서비스 제공업체(CTPP)로 지정되었습니다. 각 CTPP에 대한 결론을 도출하기 위해 ESA는 DORA에 명시된 다음 기준을 고려합니다. (a) CTPP의 ICT 서비스 중단이 금융 부문에 미치는 시스템적 영향, (b) CTPP의 ICT 서비스를 사용하는 금융 기관의 시스템적 중요성, (c) CTPP의 ICT 서비스에 대한 금융 기관의 의존도, (d) CTPP의 ICT 서비스의 대체 가능성. ESA의 중요도 평가를 위한 정확한 방법론은 금융 기관에 중요 ICT 서드 파티 서비스 제공업체 지정을 위한 기준을 명시하는 위임 규정에 명시되어 있습니다.

Google Cloud EMEA Limited는 지정된 리드 감독자의 직접적인 감독을 받습니다. 리드 감독자는 금융 부문에 대한 유럽 감독 당국 중 하나가 됩니다. 리드 감독자는 Google Cloud EMEA Limited가 서비스를 사용하는 금융 기관에 발생할 수 있는 정보통신기술(ICT) 위험을 관리하기 위한 포괄적이고 건전하며 효과적인 규칙, 절차, 메커니즘, 조치를 갖추고 있는지 평가합니다. 중요 ICT 서드 파티 서비스 제공업체(CTPP)에 대한 감독이 실제로 어떻게 이루어지는지 자세히 알아보려면 유럽 감독 당국에서 발행한 감독 활동 가이드를 참조하세요.

Google Cloud EMEA Limited가 중요 ICT 서드 파티 서비스 제공업체(CTPP)로 지정되고 감독을 받는다고 해서 고객의 서비스 사용에 영향을 미치거나 계약의 약관이 변경되는 것은 아닙니다.

조직이 DORA의 적용을 받는 금융 기관인 경우 CTPP에 대한 감독이 서드 파티 위험 관리를 포함한 DORA에 따른 조직의 책임을 대체하거나 줄여주지는 않습니다.

그럼에도 불구하고 금융 기관의 위험 관리를 보완하고 CTPP와 주요 EU 및 국가 감독 이해관계자 간에 정보와 학습 내용이 흐르는 명확한 메커니즘을 만들면 고객과 사용자가 CTPP의 감독으로부터 혜택을 받을 수 있을 것이라고 확신합니다.

DORA가 적용되는 중요 ICT 제공업체를 위한 감독 프레임워크는 ICT 제공업체, 금융 기관, 금융 규제 기관 간의 이해, 투명성, 신뢰를 높이고 궁극적으로 유럽 금융 부문의 혁신을 촉진할 수 있는 진정한 기회를 창출합니다. DORA는 감독 계획, 검사, 추천 등 연간 참여를 통해 규제 기관과 지정된 ICT 제공업체 간의 직접적인 커뮤니케이션 채널을 만듭니다. Google은 이 체계적인 대화가 모든 부문의 위험 관리 및 복원력을 개선하는 데 도움이 될 것이라고 확신합니다.

Google Cloud는 규제 기관에서 금융 기관의 Google Cloud 서비스 사용을 효과적으로 감독할 수 있도록 지원하기 위해 최선을 다하고 있습니다. 금융 기관, 해당 규제 기관 및 피지정인에게 정보, 감사, 액세스 권한을 부여하며, 금융 기관 또는 해당 규제 기관이 권한을 실행하기로 선택하는 경우 고객을 지원합니다. Google은 지속적인 투명성, 협업, 신뢰를 위한 노력의 일환으로 리드 감독자와 관계를 맺을 것입니다. 

Google은 직접 감독 요구사항에 대한 계획에 중점을 두고 있으며, 직접 감독 기능이 규제 기관의 커뮤니케이션, 효율적인 감사, 기한 내 해결 계획을 효과적으로 지원할 수 있도록 노력하고 있습니다.

Google은 제30조의 주요 계약 조항을 준수할 수 있도록 금융 기관에 Google Cloud, Google Workspace, SecOps 서비스의 업데이트된 계약 약관을 제공합니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요. 

또한 Google의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 충족하는 데 도움이 되는지 이해할 수 있도록 Google Cloud와 Google Workspace 모두에 적용되는 제30조에 대한 안내서도 마련했습니다.

하도급에 대한 RTS에는 추가 계약 요구사항이 포함되어 있습니다. Google Cloud, Google Workspace, SecOps 서비스의 업데이트된 계약 약관은 하도급에 대한 RTS의 계약 요건도 다룹니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요.

Google Cloud를 사용하여 EU의 금융 기관에 자체 ICT 서비스를 제공하는 경우 Google과 적절한 다운스트림 계약 약관을 맺어야 합니다. 이 경우 고객과 파트너가 제30조의 주요 계약 조항을 준수할 수 있도록 Google은 동등한 계약 약관을 제공합니다. DORA 계약 약관이 필요한 경우 자세한 내용은 Google Cloud 담당자에게 문의하세요. 

또한 Google Cloud의 계약, 제어, 프로세스가 어떻게 DORA 요구사항을 충족하는 데 도움이 되는지 이해할 수 있도록 Google Cloud에 적용되는 제30조에 대한 안내서도 마련했습니다.