2026년 클라우드 네이티브 뱅킹은 DORA 감사 단계에 있습니다. 규정 (EU) 2022/2554 ⧉는 2025년 1월 17일부터 시행되고 있습니다. 제28-44조에 따른 중요 제3자 제공자(CTPP) 지정 체계는 2025-2026년에 걸쳐 열리고 있으며, AWS, Microsoft(Azure), Google(GCP), Salesforce가 지정 경계 안이나 그 인접 구역에 위치합니다. 유럽 감독당국(EBA, EIOPA, ESMA)은 2024년에 정보 등록부 ⧉에 관한 최종 RTS와 ITS를 발표했습니다. ECB 은행감독팀은 2026-28 감독 우선순위 ⧉에서 클라우드 중단 대비와 위협 기반 침투 시험에 관한 명시적 프로그램을 두고 있습니다. 기관이 마주한 질문은 클라우드 전략을 DORA에 맞출지 여부 — 이는 이미 결론이 났습니다 — 가 아니라, 기관의 플랫폼 엔지니어링 프리미티브가 시험 일주일 전에 만들어진 PDF가 아니라 배포 파이프라인 속도로 증거를 생산하느냐는 것입니다.
경영진 요약 / 핵심 시사점
- DORA 클라우드 회복력은 2025년 1월 17일부터 실제 집행 단계에 있습니다. 제6, 8, 18, 26조 및 제28-44조 모두 시행 중입니다. 1차 시험 사이클의 감독 지적사항은 2025년 4분기에 도착했습니다. "준비" 프레임은 두 사이클 뒤떨어졌습니다.
- CTPP 지정 체계가 열리고 있습니다. AWS, Microsoft, Google, Salesforce — 경계 안이나 인접 구역. 지정은 ESA에 정보 요청, 현장 검사, 감독 권고를 포함한 직접 감독권을 부여합니다.
- 플랫폼 엔지니어링이 곧 산출물입니다. Kubernetes 포장도로(EKS / AKS / GKE / OpenShift), Backstage 스타일 개발자 포털, GitOps(ArgoCD 또는 Flux), 어드미션 단계의 Open Policy Agent, 엔드투엔드 OpenTelemetry. 다섯 가지로 명명된 프리미티브이며, 빠진 것이 있으면 지적사항입니다.
- 소버린 클라우드는 브랜딩이 아니라 엔지니어링입니다. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu(Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — 각각 Schrems II + DORA 제28조의 특정 차원을 다룹니다. 어느 것도 턴키 답안이 아닙니다.
- 시험된 출구 증거가 필수입니다. EBA/GL/2019/02 81항과 113-117항. 분기별 탁상 훈련은 충분하지 않으며, 감독자는 모든 핵심·중요 기능에 대해 연간 엔드투엔드 출구 실행 시험을 기대합니다.
- RTO / RPO는 CIF 인벤토리에서 나옵니다. Tier 1: 2h / 15min. Tier 2: 4h / 1h. Tier 3: 24h / 4h. 플랫폼 팀 역량이 아니라 비즈니스 영향 분석에서 도출됩니다.
DORA 클라우드 회복력이 감사 단계에 있는 이유 #
"준비"라는 프레임이 2026년에 어긋난 이유는 세 가지입니다.
첫째, 일정. DORA는 2022년 12월에 공표되었습니다. 24개월의 적용 유예 기간은 2025년 1월 17일에 종료되었습니다. CTPP 지정에 사용되는 정보 등록부 ITS를 포함한 ESA의 최종 RTS와 ITS는 2024년에 걸쳐 발표되었습니다. 1차 감독 시험은 2025년에 진행되었고, 제6조 ICT 위험관리 프레임워크 완성도와 제8조 등록부 정합성에 관한 지적사항이 2025년 4분기에 다수의 Tier 1 기관에 전달되었습니다.
둘째, CTPP 지정 체계. 제31조는 중요 제3자 제공자로 지정되는 기준으로 장애 시 시스템 영향, 제공 서비스의 중요성, 서비스의 규모와 복잡성, 대체 가능성을 규정합니다. ESA가 등록부를 운영하고 지정 결정을 공표합니다. AWS, Microsoft(Azure), Google(GCP), Salesforce는 회원국별 금융 서비스 시장 점유율에 따라 지정 경계 안이나 인접 구역에 위치합니다. 지정은 주관 감독자(제공자별로 할당된 ESA 중 하나)에게 제37조에 따른 정보 요청, 제38조에 따른 현장 검사, 제35조에 따른 권고, 제41조에 따른 공시 체계 등 직접적 감독 권한을 부여합니다. 그 CTPP를 이용하는 감독 대상 은행은 해당 지정 의존성을 어떻게 관리하는지에 관해 상응하는 감독 기대를 받습니다.
셋째, ECB의 2026-28 감독 우선순위. 우선순위 문서는 클라우드 네이티브 뱅킹에 직접 영향을 미치는 두 가지 명시적 프로그램을 거명합니다. 주요 클라우드 서비스 중단 대비(모형화된 감독 시나리오가 지정 CTPP의 장기 장애를 흡수하는 기관의 능력을 시험합니다), 그리고 TIBER-EU 정합 TLPT(모든 TIBER-EU 훈련이 기관의 핵심·중요 기능을 범위에 포함시키며, 이는 이제 퍼블릭 클라우드 호스팅 서비스를 포함합니다)입니다. 2026년 시험 사이클은 두 영역 모두에서 지적사항을 만들어 낼 것입니다.
2026년의 프레임은 "DORA가 다가온다"가 아니라, "DORA 시험 지적사항이 귀 기관의 우편함에 도착하고 있으며, 감독자가 그 지적사항에서 들여다보는 것은 2024-2025년에 내린 플랫폼 엔지니어링 결정"입니다.
2026년 지수 아키텍처 #
| 지수 계층 | "준비됨"의 모습 | 준비도 지표 | 실패 양상 |
|---|---|---|---|
| 플랫폼 성숙도 | 워크로드의 80% 이상이 정책-코드 어드미션, GitOps 배포, 자동화된 DR 시험을 갖춘 포장도로 Kubernetes 플랫폼(EKS / AKS / GKE / OpenShift) 위에서 운영 | 포장도로 플랫폼 위 CIF 비율, 섀도 배포 수, 새 서비스를 플랫폼에 온보딩하기까지 평균 시간 | 통제가 일관되지 않은 섀도 플랫폼, 제8조 등록부 정합화에 보이지 않는 비포장 인프라 위에서 동작하는 CIF |
| 제8조 등록부 무결성 | 정보 등록부가 플랫폼의 제3자 API 사용량 + 클라우드 부품표(BOM)와 자동으로 정합화되며, 중요도 분류가 기관의 CIF 인벤토리와 일관됨 | 플랫폼 텔레메트리와 정합화된 등록부 항목 비율, 고아 항목 수, CTPP 경계 무결성 점검 결과 | 기관이 제8조에 따라 공시하지 않은 지정 CTPP 의존성을 ESA가 식별 — 개별 지적사항과 CTPP 경계 차원의 후속 결과 |
| 클라우드 집중도 | 핵심 기능이 클라우드 사업자, 하위 리전, 서비스, 대체 가능성 평가에 매핑되고, CIF 간 상관 노출이 정량화됨 | CIF별 집중도 점수, 동일 지정 CTPP 리전을 공유하는 CIF 간 상관 노출 | 단 한 번의 AWS us-east-1 IAM 장애가 기관이 독립적으로 자원화되어 있다고 믿었던 네 개의 CIF를 동시에 다운시킴 |
| 시험된 출구 역량 | 지정 CTPP에 의존하는 모든 CIF에 대해 연간 엔드투엔드 출구 실행 시험, 문서화된 RTO / RPO가 BIA 기반 목표를 충족, 데이터 이동성 경로 시험 완료 | CIF별 시험 통과율, RTO 목표 대비 평균 출구 실행 시간, 데이터 이동성 경로 지연 | PDF로만 존재하는 출구 계획, 탁상 훈련은 4h RTO라고 말하지만 실제 시험에서는 첫 시도에 48h가 소요 |
| 관측 가능성 + 사고 보고 | 서비스 전반에 걸친 엔드투엔드 OpenTelemetry 트레이스, 사고 관리 플랫폼에 통합된 자동화된 제18조 4시간 분류 보조 도구 | OTel 트레이스로 커버되는 CIF 트래픽 비율, 사고 탐지에서 제18조 분류 결정까지의 평균 시간 | 중요성 판단에 분류 회의가 필요했다는 이유로 4시간 창 바깥에서 분류된 주요 사고 — 제18조 지적사항 |
| TLPT 통합 | CIF 인벤토리에서 도출되어 지속적으로 갱신되는 TLPT 범위, 지적사항이 플랫폼 정책-코드로 환류되고, 종결된 지적사항이 감독 대응 가능 증거 패킷을 생산 | TLPT 지적사항 종결률, 지적사항-정책 갱신 사이클 시간 | TLPT가 발견한 취약점을 기관의 플랫폼 엔지니어링 팀이 두 릴리스 사이클 이내에 해결하지 못함 |
추적해야 할 현재 신호 #
| 신호 | 은행에 갖는 의미 | 출처 |
|---|---|---|
| DORA 2025년 1월 17일부터 실제 집행 | 2025년 4분기에 1차 감독 지적사항 도착, 2차 지적사항은 2026년 하반기 예상 | EUR-Lex ⧉ |
| 2025-2026년에 걸친 CTPP 지정 개시 | AWS, Microsoft, Google, Salesforce가 경계 안이나 인접 구역에 위치, 지정은 ESA에 직접 감독권 부여 | EBA ⧉ |
| ECB 2026-28 감독 우선순위가 클라우드 중단을 명시적으로 거명 | 모형화된 감독 시나리오가 지정 CTPP의 장기 장애를 흡수할 능력을 시험 | ECB Banking Supervision ⧉ |
| TIBER-EU가 DORA 제26조에 정합화 | TLPT 범위가 클라우드 호스팅 서비스를 포함한 핵심·중요 기능을 커버 | ECB TIBER-EU ⧉ |
| EBA 위탁 가이드라인(EBA/GL/2019/02)이 DORA 제28조와 맞물림 | 실질적 존재(64항), 대체 가능성 평가(81항), 출구 전략(113-117항) — 감독자가 실제로 시험하는 항목 | EBA ⧉ |
| EU Cloud Services Scheme(EUCS) 초안 진전 | EU 사이버보안법에 따른 향후 소버린 클라우드 인증 체계, ENISA가 초안 공개 | ENISA EUCS ⧉ |
플랫폼 엔지니어링: 다섯 가지로 명명된 프리미티브 #
2026년 클라우드 네이티브 성숙도는 배포 파이프라인 속도로 감독 증거를 생산하기 위해 맞물리는 다섯 가지 엔지니어링 프리미티브로 환원됩니다. 어느 하나라도 빠지면 지적사항이 발생할 여지가 됩니다.
1. Kubernetes 기반 포장도로 #
모든 CIF는 관리형 Kubernetes 플랫폼 — 지정 CTPP 위의 EKS, AKS, GKE, OpenShift, 또는 벤더 관리형 대안 — 에서 동작합니다. 플랫폼 팀은 통제된 편차를 허용하는 단일 골든 클러스터 패턴을 운영합니다. 문서화된 베이스 이미지에서 비롯되는 노드, 팀별 네임스페이스 격리, 파드 보안 표준 제한 프로파일, 네트워크 정책, 서비스 간 인증과 관측성을 위한 서비스 메시 주입(Istio 또는 Linkerd). 새 서비스는 템플릿 기반 온보딩 워크플로를 통해 포장도로에 합류하며, 그 결과 제8조 등록부 항목이 배포 산출물로 생성됩니다.
2. Backstage 스타일 개발자 포털 #
중앙 개발자 포털 — Spotify의 오픈소스 Backstage ⧉가 참조 구현이며 다양한 엔터프라이즈 대안 존재 — 이 무엇이 어디에서 동작하는지에 관한 단일 진실 공급원을 제공합니다. 카탈로그는 모든 서비스, 소유자, 의존성, 중요도 분류, 런북, 온콜 로테이션을 나열합니다. 포털은 제8조 등록부와 맞물려, 모든 카탈로그 항목이 등록부 항목과 매핑되고, 등록부 참조가 없는 항목은 CI 실패를 유발하며, 카탈로그에 존재하지 않는 등록부 항목은 감독자 대응에 앞서 작동하는 경보를 트리거합니다.
3. ArgoCD 또는 Flux를 통한 GitOps 배포 #
운영 배포는 GitOps 컨트롤러 — 2026년 운영 표준은 ArgoCD 또는 Flux — 를 통해 진행되며, Git에서 버전 관리되는 선언적 상태를 동작 중인 클러스터와 정합화합니다. 수동 kubectl apply는 비활성화되어 있으며, 운영으로 가는 유일한 경로는 머지된 풀 리퀘스트입니다. Git 저장소가 감사 추적이 되며, "Y일 시점 서비스 X의 구성을 보여달라"는 감독자의 요청에는 스크린샷이 아니라 Git 태그로 응답합니다.
4. 어드미션 단계의 Open Policy Agent #
Open Policy Agent(OPA)는 클러스터 어드미션 체인에 위치하여 플랫폼 정책을 시행합니다. 파드 보안 프로파일 준수, 이미지 출처, 리소스 한도, 네트워크 정책 존재, 중요도 등급에 부합하는 복제, 소버린 클라우드 제약 하의 하위 리전 배치 등이 그 대상입니다. 정책은 서비스 구성과 함께 Git에서 버전 관리되고 변경 통제됩니다. 거부된 배포는 검토 가능한 근거를 생성해 변경 관리 증거 패킷에 투입됩니다.
5. 엔드투엔드 OpenTelemetry #
모든 서비스는 OpenTelemetry 트레이스, 메트릭, 로그를 방출합니다. 플랫폼 팀은 중앙화된 관측성 파이프라인 — 일반적으로 트레이스는 Tempo 또는 Jaeger, 메트릭은 Prometheus, 로그는 Loki 또는 OpenSearch — 을 운영하여 엔드투엔드 CIF 상태, 의존성 매핑, 사고 분류 입력값을 드러냅니다. 4시간의 제18조 분류 창은 탐지로 시작되며, OTel 파이프라인은 탐지에서 분류까지의 경로를 분류 회의가 아닌 쿼리 가능한 조회로 단축합니다.
브랜딩이 아니라 엔지니어링으로서의 소버린 클라우드 #
2026년 소버린 클라우드 전략은 Schrems II + DORA + EBA 위탁에 관한 네 가지 구체적 질문에 답해야 합니다.
- 데이터가 어디에서 처리되고 저장되는가? EU 회원국 위치, 고중요도 흐름에 대한 하위 리전, 서면화된 데이터 거주성 약정.
- 누가 데이터에 대한 법적 접근권을 갖는가? 현지 인력 전담 운영, 외국 정부 접근 요청은 현지 법원 절차 적용, 적법한 접근 요청에 대한 시험된 대응.
- 대체 가능성 프로파일은 무엇인가? EBA/GL/2019/02 81항 대체 가능성 평가, 시험된 출구 실행, 식별되고 계약된 대체 사업자(또는 실현 불가 사유 문서화).
- 기술적 주권 모델은 무엇인가? 고객 통제 키, 암호학적 분리, 소버린 관리 평면, 감사 가능한 공급망.
이 질문들을 다루는 2026년 벤더 옵션은 다음과 같습니다.
- AWS European Sovereign Cloud(2023년 발표, 2026년 하반기 GA 예정): EU 거주 AWS 자회사가 운영하는 물리 리전, EU 거주 운영·지원, KMS-XKS 패턴을 통한 고객 통제 키. 2026년 DORA 제28조 계약 조항 정합화 진행 중.
- Microsoft EU Data Boundary(2024년 GA) + Bleu(Capgemini + Orange + Microsoft, 프랑스 전용): Data Boundary는 EU 고객 데이터를 EU 리전에 유지, Bleu는 프랑스 운영 통제 하에 Microsoft Azure 스택을 운영하는 SecNumCloud 정합 프랑스 소버린 클라우드.
- Google Cloud 소버린 파트너십: 프랑스의 Thales / S3NS(Bleu 등가물), 독일의 T-Systems.
- Oracle EU Sovereign Cloud(2023년 GA): EU 거주 운영의 이중 리전 패턴(프랑크푸르트 + 마드리드), Schrems II 정합성 명확.
- Gaia-X 정합 사업자(OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): Gaia-X 라벨링을 갖춘 네이티브 EU 사업자, 하이퍼스케일러보다 규모와 생태계는 작지만 미국 해외정보감시법(FISA) 노출 없음.
전략적 의사결정이 이분법인 경우는 드뭅니다. Tier 1 은행은 일반적으로 워크로드 대부분에 대해 하이퍼스케일러 + Data Boundary 구성을 운영하고, 지정된 고민감도 흐름(예: EU 거주자 개인정보를 처리하는 AML / 제재 사건 관리 시스템)에는 소버린 클라우드 옵션을, 그리고 DORA 제28조에 따라 매년 시험되는 비상 대체 가능성 경로를 운영합니다.
시험된 출구 실행 #
EBA/GL/2019/02 ⧉ 113-117항이 출구 전략 조항입니다. 본문은 요구사항을 명시적으로 적고 있습니다. "기관과 결제 기관은 사업 활동에 부당한 중단 없이 위탁 약정에서 빠져나올 수 있어야 한다… 출구 전략은 위탁 약정의 정기 검토의 일환으로 문서화되고 시험되어야 한다."
2026년의 감독 기대치는 지정 CTPP에 의존하는 모든 CIF에 대해 연간 엔드투엔드 출구 실행 시험입니다. 탁상 훈련과 문서 검토는 충분하지 않습니다. 시험은 다음을 생산해야 합니다.
- 복구 소요 시간 측정: 출구 선언으로부터 대체 사업자에서의 워크로드 복구까지 실제 경과 시간을 BIA 기반 RTO 목표 대비 측정.
- 데이터 이동성 증거: 기본 사업자로부터의 데이터 추출 시험, 대상 사업자의 임포트 경로 대비 검증, 정합성 증거.
- 기능적 동등성: 동등한 SLO로 대체 사업자에서 동작하는 워크로드 시험.
- 비용 증거: 기관의 비상 계획에서 가정한 복구 비용 대비 문서화된 출구 실행 비용.
CIF에 대한 첫 엔드투엔드 출구 시험은 일반적으로 문서화된 RTO와 실제 RTO 사이에 5-10배의 격차를 드러냅니다. 그 격차를 좁히는 일은 수개월이 걸리는 엔지니어링 작업입니다. 자체 연간 시험 사이클이 아니라 감독 검사에서 이를 발견하는 은행은, 피할 수 있었던 3분기 지적사항 사이클을 맞닥뜨립니다.
CIF 인벤토리에서 도출되는 RTO / RPO 목표 #
각 핵심·중요 기능은 기관의 비즈니스 영향 분석에서 도출된 등급 분류에 매핑됩니다. 등급은 플랫폼 엔지니어링 팀이 제공하기로 약속하는 RTO와 RPO 목표를 결정합니다.
| 등급 | 예시 | RTO | RPO |
|---|---|---|---|
| Tier 1 (미션 크리티컬) | RTGS 연결성(CHAPS / T2 / Fedwire), 소매 결제 승인, 디지털 채널 고객 인증 | 2 hours | 15 minutes |
| Tier 2 (크리티컬) | AML / 제재 스크리닝, 사기 탐지 파이프라인, ATM 승인, 배치 결제 처리 | 4 hours | 1 hour |
| Tier 3 (중요) | 보고 및 규제 제출, 고객 대면 지식 베이스, 내부 협업 플랫폼 | 24 hours | 4 hours |
| Tier 4 (비핵심) | 내부 HR 시스템, 마케팅 도구, 고객 비대면 보고 | 72 hours | 24 hours |
이 수치는 예시이며, 각 기관의 BIA가 자체 수치를 산출합니다. 플랫폼 엔지니어링 산출물은 BIA 기반 목표를 충족할 수 있는 회귀 시험된 역량 — 서비스별 자동화된 DR 시험으로 입증되고, CTPP 의존 CIF에 대한 연간 출구 실행 시험으로 검증되는 역량 — 입니다.
은행 유형별 시사점 #
글로벌 시스템적 중요 은행 #
어려운 문제는 사업 라인 전반의 규모입니다. 수천 개의 서비스, 수백 개의 CIF, 제품·관할권·회복력 프로파일에 걸친 다수의 지정 CTPP 노출. 투자는 중앙 플랫폼 엔지니어링 역량 — Kubernetes 포장도로, Backstage 포털, GitOps, OPA, OTel — 이며, 이를 통해 사업 라인별 맞춤 구축 없이 제8조 등록부 정합화, CTPP 집중도 지도, CIF 단위의 출구 실행 역량을 생산합니다.
유니버설 및 중견 은행 #
이 등급에서도 플랫폼 엔지니어링 투자는 정당화되지만 범위는 제약됩니다. 중요도가 가장 높은 두세 개 CIF를 선정하고 그 주위에 포장도로 패턴을 구축하며, 레거시 자산은 중기적으로 기존 통제 하에 유지하는 방식을 받아들입니다. 플랫폼 폭보다 감독 포지셔닝이 더 중요합니다. 상위 세 개 CIF에 대해 DORA 제8조 등록부 무결성과 시험된 출구를 입증할 수 있다면, 감독자의 주요 관심사를 커버할 수 있습니다.
지역 및 중소 은행 #
내부 구축보다 벤더 선정입니다. Kubernetes 네이티브 아키텍처가 문서화되어 있고, 제8조 등록부 통합이 내장되어 있으며, DORA 제28조 계약 조항 약정이 명확한 뱅킹 플랫폼 벤더를 선택하십시오. 내부 엔지니어링 역량은 플랫폼 구축이 아니라 구성, 모니터링, 사고 대응에 집중합니다.
은행을 대상으로 하는 핀테크, PSP, SaaS 제공자 #
2026년 EU 은행에 판매하는 벤더의 제품 질문은 플랫폼이 은행 컴플라이언스 기능이 필요로 하는 제8조 등록부 항목과 DORA 제28조 계약 조항을 생산하는지 여부입니다. 구조화된 출력을 갖춘 벤더가 엔터프라이즈 딜을 따내며, PDF 템플릿을 가진 벤더는 구조화된 JSON을 가진 경쟁사에 밀립니다.
결론 #
DORA 클라우드 회복력은 감사 단계에 있습니다. 2026년 감독 사이클이 들여다보는 것은 2024-2025년에 내린 플랫폼 엔지니어링 결정입니다. 2026-2028년에 ECB와 EBA에 신뢰감 있게 보이는 기관은 Backstage 스타일 포털과 함께 Kubernetes 포장도로를 운영하고, Open Policy Agent 어드미션 하에 GitOps 배포를 진행하며, 엔드투엔드 OpenTelemetry를 갖춘 기관 — 제8조 등록부 증거를 배포 산출물로, 시험된 출구 실행 증거를 감독 요청 대응이 아니라 연간 사이클로 생산하는 기관 — 입니다.
그러한 투자를 하지 않은 기관은, 2차 감독 지적사항이 도착하기 전에 1차 지적사항을 2선 컴플라이언스 팀이 소화할 수 있는지 확인하게 될 것입니다.
플랫폼은 다른 운영 프로그램을 측정하듯이 측정하십시오. 포장도로 커버리지, 등록부 정합화율, CTPP 집중도 점수, RTO 목표 대비 시험된 출구 시간, 제18조 분류 평균 시간, TLPT 종결률. 증거는 파이프라인 속도로, 문서 패킷은 감독자가 요청할 때만.
자주 묻는 질문 #
DORA 클라우드 회복력은 2026년에도 여전히 준비 단계입니까?
아닙니다. DORA는 2025년 1월 17일부터 실제 집행 단계에 있습니다. 제28-44조에 따른 CTPP 지정 체계는 2025-2026년에 걸쳐 열리고 있습니다. 제6조 ICT 위험관리와 제8조 등록부 무결성에 관한 ECB 시험 지적사항은 2025년 4분기에 다수의 Tier 1 기관에 전달되었습니다. 2026년 감독 질문은 규제 준비도가 아니라 기관별 시험 증거입니다.
어떤 클라우드 사업자가 CTPP로 지정됩니까?
ESA는 지정 결정을 웹사이트에 공표합니다. 2026년 경계 안이나 인접 구역에 있는 기관은 AWS, Microsoft(Azure), Google(GCP), Salesforce를 포함하며, 회원국별 금융 서비스 시장 점유율에 따라 소수의 다른 사업자가 추가됩니다. 그 사업자를 이용하는 감독 대상 은행은 해당 의존성을 관리하는 방식에 관해 상응하는 감독 기대를 받습니다.
소버린 클라우드가 DORA 제28조 계약 조항의 필요를 없애 줍니까?
아닙니다. 소버린 클라우드는 Schrems II + 데이터 거주성 차원을 다루며, DORA 제28조 계약 조항은 데이터가 어디에 위치하든 별도로 적용되는 의무입니다. 소버린 클라우드 제공자의 계약은 제28조에 따라 데이터 접근성, 보안, 거주성, 감사권, 출구 전략, 연속성을 여전히 모두 포함해야 합니다.
DORA 클라우드 회복력을 입증하는 엔지니어링 산출물은 무엇입니까?
서로 맞물리는 다섯 개의 플랫폼 엔지니어링 프리미티브입니다. Kubernetes 포장도로(정책 통제된 편차를 갖춘 관리형 클러스터), Backstage 스타일 개발자 포털(제8조 등록부와 정합화되는 카탈로그), GitOps 배포(ArgoCD 또는 Flux), 어드미션 단계의 Open Policy Agent, 엔드투엔드 OpenTelemetry. 증거는 시험 시점이 아니라 파이프라인 속도로 생산됩니다.
출구 실행은 얼마나 자주 시험되어야 합니까?
지정 CTPP에 의존하는 CIF별로 연간 엔드투엔드 출구 실행 시험입니다. 탁상 훈련과 문서 검토는 충분하지 않습니다. 시험은 복구 소요 시간, 데이터 이동성 증거, 기능적 동등성, 비용 증거를 BIA 기반 RTO 및 RPO 목표 대비 측정하여 산출해야 합니다.
참고문헌 #
- European Union, (2022). Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — Guidelines on outsourcing arrangements ⧉.
- European Banking Authority, (2026). Digital Operational Resilience Act ⧉.
- European Supervisory Authorities, (2024). Final Report on the ITS on the Register of Information under DORA ⧉.
- ECB Banking Supervision, (2025). Supervisory priorities 2026-28 ⧉.
- European Central Bank, (2024). TIBER-EU framework ⧉.
- ENISA, (2024). EU Cybersecurity Scheme for Cloud Services (EUCS) ⧉.
- Spotify, (2020-2024). Backstage developer portal ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
최종 검토 .
최종 검토 .