CySECが投資会社と暗号資産プロバイダーにICTと運用コンプライアンスに関する情報を提供

キプロス証券取引委員会（CySEC）は、投資会社や暗号資産プロバイダーを含む規制対象事業体に対し、EUのデジタル運用レジリエンス法（DORA）（EU規則2022/2554）に基づくデジタル運用レジリエンスの重要性を強調するガイダンスを発行しました。企業は、主要なICT関連インシデントを正確に分類・報告し、文書化されたICTリスク管理フレームワークを維持し、監視および内部監査の責任者を任命するよう強く求められています。

最近の業界における出来事は、オペレーショナルリスクの深刻さを如実に示しています。例えば、昨年10月に発生した大規模なクラウドサービス障害は 、取引プラットフォームと証券会社に混乱をもたらし、取引エンジン、決済システム、ポートフォリオツールに影響を及ぼしました。このインシデントは取引の遅延と業務の中断を引き起こし、顧客と市場を保護するための堅牢な冗長性とコンティンジェンシープランの必要性を浮き彫りにしました。このような出来事は、DORAのICTガバナンス、インシデント管理、内部統制に関するフレームワークが市場の安定にとっていかに重要であるかを如実に示しています。

CySECは、企業におけるICTインシデントの誤分類や報告の遅れも確認しており、業務監視における欠陥を浮き彫りにしています。企業は、年次フレームワークレビュー、内部監査、統制機能間の職務分掌、ICTリスク管理、内部監査に関するDORAの要件を遵守することが強く求められています。適切な文書化とタイムリーな報告により、潜在的なICTリスクを早期に特定し、効果的に対処することで、業務および規制上のリスクを軽減することができます。

BrokersViewは、投資会社と暗号資産プロバイダーに対し、CySECのポータル内で責任あるICT監査人と管理機能担当者を任命し、年次監査サイクルを維持し、重要な発見事項に対するフォローアップ手順を実施する必要があることを改めて強調しています。ICTリスク管理フレームワークの定期的なレビュー、インシデントのタイムリーな報告、監督ガイダンスの遵守は、企業がCySECの義務とDORA基準の両方を満たすのに役立ちます。これらの対策は、金融サービス全体の運用レジリエンスを維持しながら、ICTリスクを管理するための構造化されたアプローチを提供します。