欧盟金融实体的注意事项：金融实体必须建立 ICT 风险管理的内部治理和控制框架，并持续监控 ICT 风险。这些 ICT 风险管理和监控要求也适用于使用第三方提供商提供的 ICT 服务的情况。

ICT 提供商的注意事项：ICT 提供商需要能够支持客户的 ICT 风险管理和监控，包括相关系统和流程由提供商管理的情况。此外，对于关键 ICT 提供商，新的主管监管机构将评估提供商的风险管理流程，包括 ICT 风险管理政策、ICT 业务连续性政策，以及 ICT 响应和恢复计划。

Google Cloud 支持：即使在迁移到 Google Cloud 之前，您也可以使用我们的风险评估和关键资产发现解决方案来评估贵组织当前的 IT 风险，确定关键资产所在的位置，并获得有关改善安全状况和弹性的建议。我们还发布了有关通过控制措施来管理风险以及资产管理的指南。

迁移到 Google Cloud 后，您可以利用多种工具来持续映射和管理云资源，包括 Cloud Monitoring、Resource Manager、Infrastructure Manager 和 Cyber Insurance Hub。如需了解 Google 的风险管理方法，请参阅 Google 的认证和审核报告。

如果您需要其他帮助，Mandiant（现在属于 Google Cloud）提供多种风险管理服务，包括信息风险管理运营服务、威胁建模安全服务、信息安全尽职调查服务和信息安全计划评估。 另请参阅我们的 ICT 风险管理客户指南，获取更多指导。

欧盟金融实体的注意事项：DORA 将金融行业突发事件报告要求整合到一个简化的框架下。这意味着，如果金融实体在多个行业或欧盟成员国运营，在时效性要求高的情况下，将不再需要满足多个平行且重叠的报告制度。

DORA 还旨在满足 NIS2 等平行的突发事件报告制度。这些变化将帮助监管机构获得其需要的信息，同时使金融实体能够专注于突发事件响应的其他关键方面。金融实体必须根据特定模板和时间表中定义的阈值报告突发事件，并实施在突发事件后记录根本原因和改进措施的流程。

ICT 提供商的注意事项：ICT 提供商需要能够满足客户的突发事件报告要求。此外，对于关键 ICT 提供商，主管监管机构将直接评估提供商用于识别、监控重大 ICT 相关突发事件并及时向金融实体报告的流程。

Google Cloud 支持：Google 将向客户告知影响其对 Google Cloud 的使用的 ICT 相关突发事件的更新版 DORA 合同条款。我们将通过现有的通知渠道（包括电子邮件、Personalized Service Health [PSH]、Service Health 信息中心和 Google Cloud 支持中心）免费提供这些通知。

我们致力于在相应的时间范围内通知金融实体，并提供金融实体根据 DORA 要求调整自己的评估和报告所需的信息。

欧盟金融实体的注意事项：DORA 借鉴 TIBER-EU 等现有欧盟举措，制定了一套通行欧盟的数字运营韧性测试方法。对于某些金融实体，这包括每三年一次的以威胁为导向的高级渗透测试 (TLPT)。通过阐明测试方法并推行对测试结果的相互承认，DORA 将帮助金融实体以在欧盟行之有效的方式持续构建和扩展其测试能力。  

ICT 提供商的注意事项：DORA 直接规定了 ICT 提供商在金融实体执行的 TLPT 测试中的角色。特别是，DORA 允许使用合并测试来管理测试对公有云等多租户服务的影响。此外，对于关键 ICT 提供商，主管监管机构将直接评估提供商自己的 ICT 系统、基础设施和控制措施测试。

Google Cloud 支持：如 DORA 第 26(4) 条所述，Google 将通过协助外部测试机构进行的合并测试来参与 TLPT。我们相信，合并测试是有效测试 Google Cloud 的数字运营弹性，同时管理在多租户环境中进行测试时其他客户面临的固有风险的最佳方式。

欧盟金融实体的注意事项：DORA 基于欧洲监管机构各自外包指南建立的坚实基础，进一步协调跨行业的 ICT 第三方风险管理要求，包括实施 ICT 第三方风险管理框架以及与 ICT 提供商签订合同的要求。通过帮助确保所有行业和欧盟成员国一致地应对类似风险，DORA 将使金融实体能够整合并增强其 ICT 第三方风险管理计划。

ICT 提供商的注意事项：ICT 提供商需要能够满足客户的第三方风险管理要求。此外，DORA 还将允许主管监管机构直接监督关键 ICT 提供商。这种机制将通过每年开展的互动（包括监督计划、检查和建议），在监管机构与认定的 ICT 提供商之间建立直接沟通渠道。

Google Cloud 支持：Google 为金融实体提供更新后的 Google Cloud、Google Workspace 和 SecOps 服务合同条款，旨在满足第 30 条中的关键合同规定。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。我们还编写了 Google Cloud 和 Google Workspace 与第 30 条的对应情况，以帮助您了解我们的合同、控制措施和流程如何帮助您满足 DORA 要求。

欧盟金融实体的注意事项：DORA 概述了金融实体自愿与其他金融实体和监管机构分享网络威胁信息和情报的注意事项。

ICT 提供商的注意事项：DORA 打算让 ICT 参与保护潜在敏感信息的信息共享安排。不过，这些安排尚未定义。 

Google Cloud 支持：Google Cloud 提供符合 DORA 要求的产品和服务，帮助客户主动防范网络威胁。我们发布季度威胁情报报告，以向客户提供有关威胁的战略情报。客户还可以利用 Mandiant 的突发事件响应、网络风险管理服务和进攻性安全服务来防范网络突发事件并做好准备工作。

DORA 是欧盟的一项法规。它将适用于欧盟所有成员国的金融服务行业。DORA 更新了现有规则并制定了一组增强的通用要求，以降低 ICT 风险并增强欧洲金融体系的数字弹性。重要的是，DORA 还引入了一个框架，供欧盟的金融监管机构（即欧洲银行业管理局、欧洲保险和职业养老金管理局以及欧洲证券及市场管理局，统称为欧洲监管机构）用于直接监督关键 ICT 提供商。

DORA 针对欧盟的金融实体规定了一组增强的通用要求，以降低 ICT 风险并增强欧洲金融体系的数字弹性。具体而言：

1. DORA 包含有关金融实体的 ICT 风险管理的详细要求。
2. DORA 将金融行业突发事件报告要求整合到一个简化的框架下。
3. DORA 借鉴 TIBER-EU 等现有欧盟举措，制定了一套通行欧盟的数字运营韧性测试方法，其中包括威胁驱动的渗透测试。
4. DORA 基于欧洲监管机构各自外包指南建立的坚实基础，进一步协调跨行业的 ICT 第三方风险管理要求，包括与 ICT 提供商签订合同的要求。

DORA 还允许欧洲监管机构直接监管关键 ICT 提供商。该机制通过年度合作（包括监督计划、检查和建议），在监管机构与指定的 ICT 提供商之间建立直接沟通渠道。

DORA 主要适用于欧盟的金融实体。 但是，DORA 有一部分规定直接适用于被欧洲监管机构依照官方流程认定为“关键”的 ICT 提供商（包括云服务提供商）。认定将基于多个因素，包括 ICT 提供商服务故障的系统影响，以及依赖这些服务的金融实体的系统重要性。

DORA 已于 2025 年 1 月 17 日生效，即在《欧盟官方公报》上发布后的两年零 20 天。

在被欧洲监管机构认定为“关键”ICT 提供商后，DORA 才会直接应用于这些提供商。因此，关键 ICT 提供商的合规最后期限取决于认定时间。

Google Cloud EMEA Limited 已被正式指定为关键 ICT 第三方服务提供商 (CTPP)。此指定包括以下 Google Cloud EMEA Limited 子公司：Google Cloud France SARL、Google Cloud Italy S.r.l 和 Google Cloud Poland Sp. z o.o。

根据欧洲监管机构 (ESA) 执行的关键性评估，Google Cloud EMEA Limited 已被指定为关键 ICT 第三方服务提供商 (CTPP)。为得出关于每个 CTPP 的结论，ESA 会考虑 DORA 中规定的以下标准：(a) CTPP 的 ICT 服务中断对金融部门的系统性影响；(b) 使用 CTPP 的 ICT 服务的金融实体的系统重要性；(c) 金融实体对 CTPP 的 ICT 服务的依赖程度；(d) CTPP 的 ICT 服务的可替代性。ESA 关键性评估的具体方法，在《关于将 ICT 第三方服务提供商指定为金融实体关键提供商之标准的授权法规》中已有规定。

Google Cloud EMEA Limited 将直接受指定的牵头监管机构监督。牵头监管机构将是欧洲金融业的监管机构之一。牵头监管机构将评估 Google Cloud EMEA Limited 是否制定了全面、健全且有效的规则、程序、机制和安排，以管理其服务可能给使用其服务的金融实体带来的信息和通信技术 (ICT) 风险。如需详细了解如何实际监督关键 ICT 第三方服务提供商 (CTPP)，请参阅欧洲监管机构发布的监督活动指南。

Google Cloud EMEA Limited 被指定为关键 ICT 第三方服务提供商 (CTPP) 并接受监管，此举不会影响客户对我们服务的使用，也不会改变您合同中的条款。

如果您的组织是受 DORA 约束的金融实体，那么对 CTPP 的监督绝不会取代或减少您的组织在 DORA 下的责任，包括第三方风险管理责任。

尽管如此，通过补充金融实体的风险管理，并创建清晰的机制以促进 CTPP 与欧盟及各国主要监管利益相关方之间的信息与经验交流，我们坚信客户和用户将从对 CTPP 的监督中获益。

DORA 下针对关键 ICT 提供商的监督框架创造了真正的机会来增进 ICT 提供商、金融实体和金融监管机构之间的理解、透明度和信任，并最终促进欧洲金融行业的创新。DORA 将通过每年开展的互动（包括监督计划、检查和建议），在监管机构与认定的 ICT 提供商之间建立直接沟通渠道。我们相信，这种有组织的对话将有助于改善整个行业的风险管理和弹性。

Google Cloud 致力于使监管机构能够有效地监管金融实体对我们服务的使用。我们向金融实体、其监管机构及其指定组织授予信息、审计和访问权限，并在客户或其监管机构选择行使这些权利时为我们的客户提供支持。在与主管监管机构的合作中，我们将秉持一贯的承诺，坚持公开透明、紧密协作并提供可靠保证。

我们非常注重针对直接监督要求进行规划，并致力于确保我们的直接监督职能部门能够有效地支持监管机构沟通、高效审计和在规定期限内完成补救计划。

我们为金融实体提供更新后的 Google Cloud、Google Workspace 和 SecOps 服务合同条款，旨在满足第 30 条中的关键合同规定。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。

我们还编写了 Google Cloud 和 Google Workspace 与第 30 条的对应情况，以帮助您了解我们的合同、控制措施和流程如何帮助您满足 DORA 要求。

转包合同的 RTS 包含额外的合同要求。我们为 Google Cloud、Google Workspace 和 SecOps 服务更新的合同条款同样满足了《分包监管技术标准》(RTS) 中的合同要求。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。

如果您使用 Google Cloud 向欧盟的金融实体提供自己的 ICT 服务，我们知道您需要与 Google 签订合适的下游合同条款。为提供帮助，在这种情况下，我们为客户和合作伙伴提供相应的合同条款，以满足第 30 条中的关键合同规定。如果您需要 DORA 合同条款，请联系您的 Google Cloud 代表，了解更多详情。

我们还为 Google Cloud 提供了与第 30 条的对应情况说明，以帮助您了解我们的合同、控制措施和流程如何支持您满足 DORA 的要求。