歐盟金融實體的注意事項：金融實體必須建立內部管理機制並控管 ICT 風險管理架構，同時持續監控 ICT 風險。這些 ICT 風險管理和監控規定適用於第三方供應商提供的 ICT 服務，也規範這些服務的使用方式。

ICT 供應商的注意事項：ICT 供應商必須能夠支援客戶的 ICT 風險管理與監控業務，包括供應商管理相關系統和程序的位置。另外，如果為重要 ICT 供應商，新的主監察人會評估供應商本身的風險管理程序，包括 ICT 風險管理政策、ICT 業務持續性政策，以及 ICT 應變和復原計畫。

Google Cloud 支援：即使您尚未採用 Google Cloud，還是可以使用我們的 風險評估與關鍵資產探索解決方案來評估貴機構的目前的 IT 風險、識別重要資產的所在位置，並取得建議，協助您提升安全防護機制和營運韌性。我們也發布了指南，說明如何透過控管機制及資產管理，協助您管理風險。

導入 Google Cloud 後，您就能持續使用多項工具，持續規劃及管理雲端資源，包括：Google Cloud 作業套件、Resource Manager、Cloud Deployment Manager 和 Risk Manager。如需瞭解 Google 風險管理做法，請參閱 Google 的認證與稽核報告。

如需額外協助，Mandiant (現已加入 Google Cloud) 提供風險管理服務，包括網路風險管理營運服務、威脅模型安全性服務、網路安全盡職調查服務和網路安全計畫評估。

歐盟金融實體注意事項：DORA 已整合金融產業事件回報規定，合併成單一精簡架構。也就是說，如果金融實體在多個產業或歐盟會員國內營運，往後就不需要在有時限的情況下，同時進行多項回報程序。

DORA 也設法解決 NIS2 這類平行事件回報機制的缺點。這些異動實施後，可協助監管機構取得所需資訊，同時讓金融實體將重心放在事件應變的其他重要面向。金融實體必須根據特定範本和時間軸中定義的門檻來回報事件 (實際做法尚待定義)，並導入實施程序，記錄根本原因和事件發生後的改善措施。

ICT 供應商注意事項：ICT 供應商必須能夠協助客戶遵守事件回報規定。此外，如果為重要 ICT 供應商，新的主監察人會直接評估供應商辨識身分、監控和快速回報金融實體實質 ICT 相關事件的流程。

Google Cloud 支援：自 2025 年起，Google 將通知客戶 ICT 相關事件的新版 DORA 合約條款，這會影響他們使用 Google Cloud。我們會透過現有的通知管道 (包括電子郵件、Service Health 資訊主頁及 Google Cloud 支援中心) 發布這類消息，無須額外付費。

儘管相關規定日後仍會變動，但我們承諾會在第一時間發出通知，並提供金融實體所需的資訊，以便協助他們根據最終規定自行評估及製作報表。

歐盟金融實體注意事項：DORA 以現有歐盟計畫 (例如 TIBER-EU) 為基礎，制定了一套適用全歐盟的新做法，以便測試數位營運韌性。以某些金融實體來說，這包括每三年一次針對進階威脅的滲透測試 (TLPT)。DORA 清楚說明測試方法並引進測試結果的雙向認可機制，可協助金融實體持續建構及擴充適用於歐盟境內的測試功能。  

ICT 供應商注意事項：DORA 直接定義 ICT 供應商在金融實體進行的 TLPT 中所扮演的角色。值得一提的是，DORA 允許群體測試，以便控管多用戶群服務 (例如公有雲) 的測試影響。此外，如果是重要 ICT 供應商，新的主監察人會直接評估供應商對 ICT 系統、基礎架構和控管機制的測試。

Google Cloud 支援：自 2025 年起，Google 將參與 TLPT，具體做法是協助外部測試人員進行群體測試，如 DORA 第 26(4) 條所述。我們確信群體測試是最佳方式，能有效測試 Google Cloud 數位營運韌性，同時控管多用戶群環境中，參與測試的其他客戶的固有風險。

歐盟金融實體注意事項：DORA 堅實的立法基礎是奠基於歐洲監管機關各自訂立的外包指南，同時整合各產業的 ICT 第三方風險管理規定，包括導入 ICT 第三方風險管理架構的規定，以及和 ICT 供應商簽署合約的規定。DORA 確保各產業和歐盟會員國能以一致的做法處理相似的風險，藉此協助金融實體整合及強化自家 ICT 第三方風險管理計畫。

ICT 供應商注意事項：ICT 供應商必須能夠協助客戶遵守第三方風險管理規定。此外，DORA 也允許新的主監察人直接監督重要 ICT 供應商。這項機制會透過年度參與 (包括監督計畫、監察和建議)，在監管機構和指定 ICT 供應商之間建立直接通訊管道。

Google Cloud 支援：自 2024 年 2 月起，Google 將為金融實體提供新版 Google Cloud 和 Google Workspace 合約條款，以配合第 30 條的關鍵合約規定。如需 DORA 合約條款，請聯絡 Google Cloud 代表以瞭解詳情。我們也為 Google Cloud 和 Google Workspace 製作第 30 條的對照表，方便您瞭解我們的合約、控管措施和程序均如何協助您遵守 DORA 規定。

歐盟金融實體注意事項：DORA 概述金融實體自願和其他金融實體與監管機構分享網路威脅資訊與情報時，須留意的注意事項。

ICT 供應商注意事項：DORA 會仔細考量 ICT 供應商在資訊分享架構中的參與程度，藉此保護潛在機密資訊。不過，實際架構尚待定義。 

Google Cloud 支援：Google Cloud 提供產品和服務，協助客戶按照 DORA 的規定主動防範網路威脅。我們每季會發布威脅趨勢報告，為客戶提供有關威脅的策略情報。客戶也能運用 Mandiant 的事件應變、網路風險管理服務與技術保證服務來防範網路事件，並為這些事件做好萬全準備。

DORA 是新的歐盟法規，所有歐盟會員國的金融服務部門皆受該法規約束。DORA 更新現有規則，並制定一套更完善的通用規定，可降低 ICT 風險並強化歐洲金融體系中的數位韌性。更重要的是，DORA 也導入了新的架構，讓歐盟金融監管機構直接監督重要的 ICT 供應商。

DORA 為歐盟地區的金融實體制定了一套更完善的通用規定，藉此降低 ICT 風險並強化歐洲金融體系中的數位韌性。特別是：

1. DORA 針對金融實體制定 ICT 風險管理相關的詳細規定。

2. DORA 已整合金融產業事件回報規定，合併成單一精簡架構。

3. DORA 以現有歐盟計畫 (例如 TIBER-EU) 為基礎，制定了一套適用全歐盟的新做法，以便測試數位營運韌性，包含針對威脅的滲透測試。

4. DORA 堅實的立法基礎是奠基於歐洲監管機關各自訂立的外包指南，同時整合各產業的 ICT 第三方風險管理規定，包括和 ICT 供應商簽署合約的規定。

DORA 也可讓金融監管機構直接監督關鍵 ICT 供應商。這項機制會透過年度參與 (包括監督計畫、監察和建議)，在監管機構和指定 ICT 供應商之間建立直接通訊管道。

DORA 主要規範歐盟境內的金融實體。不過，針對歐盟金融監管機構依據官方程序，指定為「重要」的 ICT 供應商 (包括雲端服務供應商)，則受 DORA 直接規範。指定為「重要」的依據，取決於多項因素，包含 ICT 供應商服務故障產生的系統影響，以及仰賴這些服務的金融實體的系統重要性。

DORA 將於 2025 年 1 月 17 日生效 (歐盟官方公報發布後 2 年 20 天)。

重要 ICT 供應商只有在金融監管機構指定為「重要」後，才會受 DORA 直接規範。因此，重要 ICT 供應商的法規遵循期限取決於指定時間。除非受歐盟監管機構正式指定為重要 ICT 供應商，否則 Google Cloud 不受 DORA 直接規範。即便如此，我們已做好準備，配合潛在的直接規定。

自 2020 年 9 月公告以來，我們便一直與政策制定者交流互動，討論 DORA 提案。另外，我們也設立了完備性計畫，以分析潛在顧客期望，以及我們應盡的責任，因為 DORA 在立法程序期間有所變動。

DORA 條文現已定案，Google Cloud 跨部門團隊 (包括風險與法規遵循、安全性、法務、政府事務與產品等領域專家) 正在審查詳細資料，並在必要時準備並實施法規遵循計畫。這些計畫奠基於我們在安全性、韌性和第三方風險管理等方面的堅實基礎。這些優勢已幫助我們的客戶遵循嚴格的規範，包括 EBA 外包規範、EIOPA 雲端外包規範、ESMA 雲端外包指南。

我們打算在實施期間，進一步強化每個 DORA 重點領域的功能。我們的目標是讓 Google Cloud 成為最優質的服務，助歐洲機構根據自身需求推動永續數位轉型。

雖然 DORA 條文已定案，部分重要規定仍需進一步在二次立法程序中敲定，也就是 DORA 第 2 級法規。其中包括以下重要領域的監管技術標準 (「RTS」)：事件回報、針對威脅的滲透測試和分包契約。

我們瞭解，必須在適用情況下配合最終版第 2 級規定。不過，第 2 級規定草案可能會有變動，因此無法事先採取行動。

為協助政策制定者和我們的客戶，Google Cloud 正積極參與歐盟政策相關討論，掌握 DORA 第 2 級法案的資訊。我們將以公開且具建設性的方式繼續參與 DORA 相關對話。我們尤其提倡：

第 2 級法案與 DORA 的授權保持一致。

統合全球金融產業和其他平行歐盟體系中日漸成熟的做法，例如事件回報的做法。

採取比例原則，特別是適用於部分 ICT 服務的監管做法，如果套用在公有雲服務，可能會對金融產業韌性造成無法預期的負面影響。

DORA 規定的重要 ICT 供應商監督架構帶來真正的機會，提升 ICT 供應商、金融實體和金融監管機構的理解程度、資訊透明度和信任，最終推動歐洲金融產業的創新。DORA 會透過年度參與 (包括監督計畫、監察和建議)，在監管機構和指定 ICT 供應商之間建立直接通訊管道。我們相信，這種有建設性的對話有助於提升整個產業的風險管理效能和韌性。

Google Cloud 致力讓監管機構有效監督金融實體使用 Google 服務的行為。我們將資訊、稽核和存取權授予金融實體、其監管機構及其受託人，並在金融實體或其監管機構選擇行使這些權利時支援客戶。我們會與主監察人合作，秉持相同的承諾，持續提供公開透明的資訊、促進合作及提供保證。

我們正努力確保我們的直接監督功能可有效支援監管機構溝通、高效稽核，並承諾在期限內完成修復措施。儘管我們非常注重針對直接規定進行規劃，針對監督的法規技術標準中，法規監督的實際做法仍待定案。

自 2024 年 2 月起，我們將為金融實體提供新版 Google Cloud 和 Google Workspace 合約條款，以配合第 30 條的關鍵合約規定。如需 DORA 合約條款，請聯絡 Google Cloud 代表以瞭解詳情。

我們也為 Google Cloud 和 Google Workspace 製作第 30 條的對照表，方便您瞭解我們的合約、控管措施和程序均如何協助您遵守 DORA 規定。

我們積極參與金融服務業政策制定工作，因為這些政策可能會對 Google Cloud 和全球客戶的服務使用情形造成重大影響。

政策制定者考慮採用與 DORA 類似的做法時，通常會先思考這種做法如何融入現有的當地監管架構，包括任何已知的改進空間。歐洲執委會提出 DORA 初步草案前，於 2020 年針對這個問題進行了討論。

如果政策制定者證實需要不同 (且可能直接) 的法規做法，我們便會積極分享雲端服務技術專業，並持續提倡以下主張：

統合及簡化規定 (國家/地區內外)

合宜且符合需求的規定

可促進創新的技術中立方法

- 重視我們客戶的利益，尊重我們服務安全性和完整性的做法

以英國為例，他們目前考慮採用直接監管架構，規範金融產業的重要第三方供應商。我們將根據上述原則在諮詢文件提供我們的主張。

請注意，DORA 並不是唯一規範歐洲雲端服務供應商的法規。NISD2 指令也將針對重要第三方定義各產業通用的監督做法，且許多國家/地區均針對管制產業中的雲端服務設有相關規範。

在金融服務業中採用雲端技術仍是相當新穎的做法，因此後續法規也必須促進這類創新。各國家/地區將採用不同做法，確保金融服務生態系統的安全與營運韌性。直接法規或監督並非唯一解決方案，無法適用所有市場。我們瞭解其他管轄區的監管機構同樣重視標準、水平規則和自我規範做法。無論政策制定者採取哪種做法，請務必確保法規的一致性，以及整體規範的統合性，因為這會影響全球科技產業和跨境數位金融生態系統。