欧盟金融实体的注意事项：金融实体必须建立 ICT 风险管理的内部治理和控制框架，并持续监控 ICT 风险。这些 ICT 风险管理和监控要求也适用于使用第三方提供商提供的 ICT 服务的情况。

ICT 提供商的注意事项：ICT 提供商需要能够支持客户的 ICT 风险管理和监控，包括相关系统和流程由提供商管理的情况。此外，对于关键 ICT 提供商，新的主管监管机构将评估提供商的风险管理流程，包括 ICT 风险管理政策、ICT 业务连续性政策，以及 ICT 响应和恢复计划。

Google Cloud 支持：即使在迁移到 Google Cloud 之前，您也可以使用我们的风险评估和关键资产发现解决方案来评估贵组织当前的 IT 风险，确定关键资产所在的位置，并获得有关改善安全状况和弹性的建议。我们还发布了有关通过控制措施来管理风险以及资产管理的指南。

迁移到 Google Cloud 后，您可以利用多种工具来持续映射和管理云资源，包括 Google Cloud Operations、Resource Manager、Cloud Deployment Manager 和 Risk Manager。如需了解 Google 的风险管理方法，请参阅 Google 的认证和审核报告。

如果您需要其他帮助，Mandiant（现在属于 Google Cloud）提供多种风险管理服务，包括信息风险管理运营服务、威胁建模安全服务、信息安全尽职调查服务和信息安全计划评估。 另请参阅我们的 ICT 风险管理客户指南，获取更多指导。

欧盟金融实体的注意事项：DORA 将金融行业突发事件报告要求整合到一个简化的框架下。这意味着，如果金融实体在多个行业或欧盟成员国运营，在时效性要求高的情况下，将不再需要满足多个平行且重叠的报告制度。

DORA 还旨在满足 NIS2 等平行的突发事件报告制度。这些变化将帮助监管机构获得其需要的信息，同时使金融实体能够专注于突发事件响应的其他关键方面。金融实体必须根据特定模板和时间表中定义的阈值（尚未完全定义）报告突发事件，并实施在突发事件后记录根本原因和改进措施的流程。

ICT 提供商的注意事项：ICT 提供商需要能够满足客户的突发事件报告要求。此外，对于关键 ICT 提供商，新的主管监管机构将直接评估提供商关于识别、监控与 ICT 相关的突发事件并及时向金融实体报告的流程。

Google Cloud 支持：从 2025 年开始，Google 将向客户告知影响其对 Google Cloud 的使用的 ICT 相关突发事件的更新版 DORA 合同条款。我们将通过现有的通知渠道（包括电子邮件、Personalized Service Health [PSH]、Service Health 信息中心和 Google Cloud 支持中心）免费提供这些通知。

虽然这些要求仍在不断完善，但我们致力于在相应的时间范围内通知金融实体，并提供金融实体根据最终要求调整自己的评估和报告所需的信息。

欧盟金融实体的注意事项：DORA 借鉴现有的欧盟措施（例如 TIBER-EU），制定了一个新的欧盟范围方法来测试数字运营弹性。对于某些金融实体，这包括每三年一次的以威胁为导向的高级渗透测试 (TLPT)。通过阐明测试方法并推行对测试结果的相互承认，DORA 将帮助金融实体以在欧盟行之有效的方式持续构建和扩展其测试能力。  

ICT 提供商的注意事项：DORA 直接规定了 ICT 提供商在金融实体执行的 TLPT 测试中的角色。特别是，DORA 允许使用合并测试来管理测试对公有云等多租户服务的影响。此外，对于关键 ICT 提供商，新的主管监管机构将直接评估提供商自己的 ICT 系统、基础设施和控制措施测试。

Google Cloud 支持：如 DORA 第 26(4) 条所述，从 2025 年开始，Google 将通过协助外部测试机构进行的合并测试来参与 TLPT。我们相信，合并测试是有效测试 Google Cloud 的数字运营弹性，同时管理在多租户环境中进行测试时其他客户面临的固有风险的最佳方式。

欧盟金融实体的注意事项：DORA 基于欧洲监管机构各自外包指南建立的坚实基础，进一步协调跨行业的 ICT 第三方风险管理要求，包括实施 ICT 第三方风险管理框架以及与 ICT 提供商签订合同的要求。通过帮助确保所有行业和欧盟成员国一致地应对类似风险，DORA 将使金融实体能够整合并增强其 ICT 第三方风险管理计划。

ICT 提供商的注意事项：ICT 提供商需要能够满足客户的第三方风险管理要求。此外，DORA 还将允许新的主管监管机构直接监督关键 ICT 提供商。这种机制将通过每年开展的互动（包括监督计划、检查和建议），在监管机构与认定的 ICT 提供商之间建立直接沟通渠道。

Google Cloud 支持 ：Google 会向金融实体提供更新后的 Google Cloud 和 Google Workspace 合同条款，以遵守第 30 条中的关键合同条款。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。我们还编写了 Google Cloud 和 Google Workspace 与第 30 条的对应情况，以帮助您了解我们的合同、控制措施和流程如何帮助您满足 DORA 要求。

欧盟金融实体的注意事项：DORA 概述了金融实体自愿与其他金融实体和监管机构分享网络威胁信息和情报的注意事项。

ICT 提供商的注意事项：DORA 打算让 ICT 参与保护潜在敏感信息的信息共享安排。不过，这些安排尚未定义。 

Google Cloud 支持：Google Cloud 提供符合 DORA 要求的产品和服务，帮助客户主动防范网络威胁。我们发布季度威胁情报报告，以向客户提供有关威胁的战略情报。客户还可以利用 Mandiant 的突发事件响应、网络风险管理服务和技术保证服务来防范网络突发事件并做好准备工作。

DORA 是欧盟的一项新法规。它将适用于欧盟所有成员国的金融服务行业。DORA 更新了现有规则并制定了一组增强的通用要求，以降低 ICT 风险并增强欧洲金融体系的数字弹性。重要的是，DORA 还引入了一个新框架，供欧盟的金融监管机构用于直接监督关键 ICT 提供商。

DORA 针对欧盟的金融实体规定了一组增强的通用要求，以降低 ICT 风险并增强欧洲金融体系的数字弹性。特别是：

1. DORA 包含有关金融实体的 ICT 风险管理的详细要求。

2. DORA 将金融行业突发事件报告要求整合到一个简化的框架下。

3. DORA 借鉴现有的欧盟措施（例如 TIBER-EU），制定了一个新的欧盟范围方法来测试数字运营弹性，包括以威胁为导向的渗透测试。

4. DORA 基于欧洲监管机构各自外包指南建立的坚实基础，进一步协调跨行业的 ICT 第三方风险管理要求，包括与 ICT 提供商签订合同的要求。

DORA 还将允许金融监管机构直接监管关键 ICT 提供商。这种机制将通过每年开展的互动（包括监督计划、检查和建议），在监管机构与认定的 ICT 提供商之间建立直接沟通渠道。

DORA 主要适用于欧盟的金融实体。 但是，DORA 有一部分规定直接适用于被欧盟金融监管机构依照官方流程认定为“关键”的 ICT 提供商（包括云服务提供商）。认定将基于多个因素，包括 ICT 提供商服务故障的系统影响，以及依赖这些服务的金融实体的系统重要性。

DORA 将于 2025 年 1 月 17 日生效，即在《欧盟官方公报》上发布后的两年零 20 天。

在被欧盟金融监管机构认定为“关键”ICT 提供商后，DORA 才会直接应用于这些提供商。因此，关键 ICT 提供商的合规最后期限取决于认定时间。尽管在官方认定之前 DORA 不会直接适用于 Google Cloud，但我们已经做好准备来满足可能的直接要求。

从 2020 年 9 月 DORA 正式提交讨论以来，我们一直就 DORA 提案与政策制定者进行接触。与此同时，随着 DORA 在立法过程中的发展，我们制定了一项准备计划来分析潜在客户的预期和我们自己的责任。

随着 DORA 的定稿，Google Cloud 的跨职能团队（包括来自风险与合规性、安全、法务、监管事务、政府事务和产品团队的主题事务专家）正在研究细节，并准备和实施相应的合规计划。这些计划建立在我们在安全、弹性和第三方风险管理等领域的强大基础之上，此基础已使我们的客户能够满足各种严格的要求，包括 EBA 外包准则、EIOPA 云服务外包准则和 ESMA 云服务外包准则等。

我们将利用实施期进一步增强我们在每个 DORA 重点领域的能力。我们的目标是将 Google Cloud 打造成支持欧洲组织的可持续数字化转型的最佳服务。

DORA 下针对关键 ICT 提供商的监督框架创造了真正的机会来增进 ICT 提供商、金融实体和金融监管机构之间的理解、透明度和信任，并最终促进欧洲金融行业的创新。DORA 将通过每年开展的互动（包括监督计划、检查和建议），在监管机构与认定的 ICT 提供商之间建立直接沟通渠道。我们相信，这种有组织的对话将有助于改善整个行业的风险管理和弹性。

Google Cloud 致力于使监管机构能够有效地监管金融实体对我们服务的使用。我们向金融实体、其监管机构及其指定组织授予信息、审计和访问权限，并在客户或其监管机构选择行使这些权利时为我们的客户提供支持。我们会与主管监管机构建立良好关系，并秉持持续保持透明、协作和保证的承诺。

我们非常注重针对直接监督要求的规划，并致力于确保我们的直接监督职能部门在规定的期限内为监管机构的沟通、高效审核和补救计划有效提供支持。

我们会为金融实体提供更新后的 Google Cloud 和 Google Workspace 合同条款，以遵守第 30 条中的重要合同条款。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。

我们还编写了 Google Cloud 和 Google Workspace 与第 30 条的对应情况，以帮助您了解我们的合同、控制措施和流程如何帮助您满足 DORA 要求。

我们知道，关于分包的 RTS 草稿包含额外的合同要求。Google Cloud 一直在监控 RTS 的进展，并在欧盟委员会采用最终版本后，将根据需要提供更新后的合同条款。点击此处可查看欧盟委员会通过的 DORA 实施和委托行为的列表。

我们深知，如果您使用 Google Cloud 为欧盟的金融实体提供自己的 ICT 服务，则需要与 Google 签订适当的下游合同条款。在这种情况下，为了方便客户和合作伙伴遵守第 30 条中的重要合同规定，我们向客户和合作伙伴提供了同等的合同条款。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。

我们还为 Google Cloud 提供了与第 30 条的对应情况说明，以帮助您了解我们的合同、控制措施和流程如何支持您满足 DORA 的要求。

我们参与金融服务行业政策制定，这些政策会对 Google Cloud 以及全球客户对我们服务的使用产生重大影响。

如果政策制定者正在考虑采用与 DORA 类似的方法，他们通常会先考虑该方法如何配合现有的当地监管框架，包括任何需要改进的方面。欧盟委员会在 2020 年就此问题征求意见，之后提交了 DORA 初稿。

当政策制定者已确认需要采用其他（且可能直接）的监管方法，我们积极分享与云服务相关的技术专业知识，并始终倡导：

要求的协调和去重（国家/地区内和国家/地区之间）

比例恰当且契合目标的要求

鼓励创新的技术中立方法

- 一种尊重我们的服务为客户提供的安全性和完整性的方法

例如，英国目前正在考虑设立针对金融行业的关键第三方服务提供商的直接监管框架。我们根据上述原则参与了征求意见稿的编撰。

请务必注意，DORA 并非唯一适用于欧洲云服务提供商的法规。NISD2 指令也将增加对于关键第三方的行业中立监督，此外还有许多国家有适用于受监管行业的云服务的规定。

在金融服务领域采用云技术仍然是一项新鲜事物，而即将出台的法规需要鼓励这种创新。不同的国家/地区将采用不同的方法来确保金融服务生态系统的安全和运营弹性，直接监管或监督并非适合不同市场的唯一解决方案。我们理解，其他管辖区的监管机构同样重视标准、横向规则和自我监管做法。无论政策制定者采取哪种方法，都应全面确保法规的一致性和所适用原则的协调性，因为它们会影响全球技术参与者和跨境数字金融生态系统。