什么是 DORA?
《数字运营韧性法案》(简称 DORA)即 (EU) 2022/2554 条例,由欧洲议会和理事会于 2022 年 12 月 14 日通过。欧盟于 2022 年 12 月 27 日在官方公报上发布了该法案。它于 2023 年 1 月 16 日生效,并于 2025 年 1 月 17 日起全面实施。
DORA 填补了欧盟金融监管中的一项特定空白。在 DORA 出台之前,金融机构主要通过拨备资本来管理运营风险。然而,这种方法无法充分应对与 ICT 相关的中断,因为当共享技术提供商发生故障时,可能会同时影响许多机构。因此,DORA 在整个欧盟范围内引入了一个统一的框架,用于 ICT 风险管理、事故报告、运营韧性测试以及对第三方技术提供商的监督。
谁必须遵守 DORA?
DORA 适用于金融领域涉及信息和通信技术 (ICT) 服务的两大类组织。
第一类是 金融实体。这些实体包括信贷机构、支付机构、电子货币机构、投资公司、保险和再保险机构、加密资产服务提供商、中央证券存管机构、中央对手方和交易场所,以及该条例第 2 条中列出的其他机构。
第二类是 ICT 第三方服务提供商 —— 即向金融实体提供技术服务的公司。这类公司包括云计算提供商、软件开发商、数据分析公司、网络安全公司、数据中心提供商,以及任何其服务支持受监管金融机构运营的其他提供商。
重要的是,DORA 还涵盖了 总部位于欧盟以外的 ICT 提供商。如果美国、英国或亚洲的技术公司向受欧盟监管的金融机构提供服务,则 DORA 适用于该合作关系。
DORA 框架下的 LEI 要求
DORA 要求金融实体维护一份详细的 信息登记簿,涵盖其所有 ICT 第三方服务提供商。2024 年 12 月 2 日发布的 委员会执行条例 (EU) 2024/2956 规定了该登记簿的标准模板。
该执行条例第 3(5) 条直接规定:
“金融实体应使用有效且活跃的法律实体识别编码 (LEI) 或 (EU) 2017/1132 指令第 16 条所述的欧洲唯一标识符 (‘EUID’),并在可行情况下同时使用这两种标识符,以识别其所有作为法人实体的 ICT 第三方服务提供商,以商业身份行事的个人除外。”
换句话说,每个作为法人实体的 ICT 第三方提供商都必须能够通过 有效且活跃的 LEI 或 EUID 进行识别。两者都必须是现行有效的。失效或过期的 LEI 不符合此要求。
LEI 还是 EUID —— 哪一个适用于您?
虽然这两种标识符都符合 DORA 的要求,但它们涵盖的情况不同。了解其中的差异有助于您做出正确的选择。
LEI(法律实体识别编码)是基于 ISO 17442 标准的全球公认 20 位字母数字代码。全球法律实体识别编码基金会 (GLEIF) 管理着 全球 LEI 体系,并在 全球 LEI 索引中公开所有 LEI 数据。LEI 涵盖了 200 多个司法管辖区的法律实体,还包括所有权和控制权数据。
EUID(欧洲唯一标识符)与欧盟的商业登记簿互联系统 (BRIS) 相连。由于它仅连接欧盟国家登记簿,因此仅涵盖在欧盟成员国注册的实体。
在此,执行条例做出了一个关键区分:在欧盟以外设立 的 ICT 提供商必须仅使用 LEI 进行识别。非欧盟实体根本无法获得 EUID。因此,对于任何在欧盟以外运营的提供商,LEI 是唯一的有效标识符。
对于总部位于欧盟的提供商,使用任一标识符均可。然而,对于全球业务或有非欧盟业务往来的提供商,LEI 是更稳妥的选择,因为它具有国际认可度和更广泛的数据覆盖范围。
实践中“有效且活跃”的含义
执行条例明确要求提供 有效且活跃 的 LEI。这指的是显示在 GLEIF 全球数据库中的状态。
显示状态为 “已发布” (Issued) 的 LEI 是有效且活跃的,因此符合 DORA 要求。显示为 “已失效” (Lapsed) 的 LEI 已过期,因此不符合要求。金融实体不能将失效的 LEI 作为合规标识符记录在其信息登记簿中。
LEI 的有效期为自发布或上次续展之日起一年。此后,持有者必须对其进行续展以维持活跃状态。在续展过程中,发行机构会根据官方登记来源重新验证实体的参考数据 —— 包括法定名称、注册地址和所有权结构。此过程确保全球 LEI 数据库中的数据保持准确和最新。
您可以使用 GLEIF LEI 查询工具 或通过 LEI System 查询 来检查任何 LEI 的状态。
为什么 LEI 是 DORA 合规的实际标准
DORA 监管机构选择 LEI 是因为它解决了一个国家标识符无法解决的问题:以单一的全球公认格式对法律实体进行一致的跨境识别。
各国公司的注册号码差异巨大,并不总是机器可读的,而且完全不涵盖非欧盟实体。相比之下,LEI 为任何法律实体提供了一个一致的代码,无论其在何处注册。此外,由于 LEI 数据是公开可查且可验证的,金融机构可以立即核实提供商的详细信息,而无需索取文件。
对于管理着分布在不同国家的众多 ICT 供应商的金融机构而言,这种标准化显著降低了 DORA 合规的行政复杂性。单次 LEI 查询即可提供有关提供商法定名称、注册详情和所有权结构的经核实信息 —— 所有这些都与 DORA 的第三方风险管理义务直接相关。
对于 ICT 提供商而言,持有有效的 LEI 可以让金融机构客户轻松地将其正确纳入其 DORA 登记簿。另一方面,没有有效 LEI 的提供商会给其客户带来合规漏洞,从而面临损害业务关系的风险。GLEIF 在其关于 LEI 的监管用途 概述中提供了更多关于 LEI 如何支持这一点的背景信息。
ICT 提供商现在应该做什么
检查您是否拥有有效的 LEI。 如果您向任何受欧盟监管的金融机构提供 ICT 服务,您的客户必须在其 DORA 信息登记簿中识别您的身份。请联系他们以确认他们是否记录了您的 LEI 以及该 LEI 目前是否处于活跃状态。
如果您还没有 LEI,请注册一个。 该过程完全数字化,在大多数司法管辖区可在 24 小时内完成。您需要提供公司的法定名称、注册地址和注册号码。在大多数情况下,系统会自动根据官方商业登记簿验证这些数据。LEI System 是经 GLEIF 认可的注册代理机构。您可以从今天开始 注册您的 LEI。
如果您的 LEI 已失效,请进行续展。 失效的 LEI 必须先续展,您的客户才能将其用于 DORA 登记。续展将恢复“已发布”状态并重新验证您公司的参考数据。您可以通过 LEI System 快速续展您的 LEI。
保持您的 LEI 数据最新。 如果您公司的名称、注册地址或所有权结构发生了变化,请相应地更新您的 LEI 参考数据。过时的 LEI 数据在金融机构客户向国家当局提交登记簿时会产生合规方面的麻烦。
广义欧盟监管背景下的 DORA
DORA 并非孤立运作。它与同样使用 LEI 作为法律实体标准标识符的其他欧盟法规并存,包括 MiFID II 交易报告、EMIR 衍生品报告和欧盟即时支付条例。对于已经使用 LEI 进行交易报告的金融实体而言,DORA 增加了一个新的维度,而不是一套全新的系统。
此外,DORA 与关于网络安全的 NIS2 指令((EU) 2022/2555 指令)直接相关。DORA 作为 NIS2 下针对金融实体的行业特定法案发挥作用。您可以在本网站的 NIS2 与 LEI 文章 中阅读更多关于 NIS2 和 LEI 的信息。有关 LEI 如何在欧盟金融监管中运作的更广泛概述,请参阅 LEI 在欧盟的实践运作方式。
DORA 与 LEI —— 关键事实一览
什么是 DORA? 关于金融领域数字运营韧性的 (EU) 2022/2554 条例。
DORA 何时开始适用? 2025 年 1 月 17 日。
谁必须合规? 欧盟金融实体及其 ICT 第三方服务提供商,包括为欧盟金融机构提供服务的非欧盟提供商。
DORA 对 ICT 提供商识别有何要求? 必须持有有效且活跃的 LEI 或 EUID,如委员会执行条例 (EU) 2024/2956 所规定。
哪种标识符适用于非欧盟 ICT 提供商? 仅限 LEI。EUID 仅涵盖在欧盟注册的实体。
哪种 LEI 状态符合 DORA 要求? 仅限“已发布” (Issued)。“已失效” (Lapsed) 的 LEI 不符合要求。
我在哪里可以注册或续展 LEI? 通过经 GLEIF 认可的注册代理机构,例如 LEI System。