Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi
Perbankan asli awan pada 2026 berada dalam fasa audit DORA. Regulation (EU) 2022/2554 ⧉ telah berkuat kuasa sejak 17 Januari 2025. Rejim penetapan penyedia pihak ketiga kritikal (CTPP) di bawah Artikel 28-44 telah dibuka sepanjang 2025-2026, dengan AWS, Microsoft (Azure), Google (GCP), dan Salesforce di dalam atau berhampiran perimeter penetapan. Pihak Berkuasa Penyeliaan Eropah (EBA, EIOPA, ESMA) menerbitkan RTS dan ITS muktamad mengenai Daftar Maklumat ⧉ pada 2024. Pasukan Penyeliaan Perbankan ECB mempunyai program eksplisit mengenai kesediaan gangguan awan dan ujian penembusan berpandukan ancaman dalam keutamaan penyeliaan 2026-28 ⧉. Persoalan institusi bukanlah sama ada perlu menyelaraskan strategi awan dengan DORA — itu sudah pun ditetapkan — tetapi sama ada primitif kejuruteraan platform institusi menghasilkan bukti pada kelajuan saluran paip penggunaan dan bukannya dalam bentuk PDF yang dihimpunkan seminggu sebelum peperiksaan.
Ringkasan Eksekutif / Iktibar Utama
- Daya tahan awan DORA dalam penguatkuasaan aktif sejak 17 Januari 2025. Artikel 6, 8, 18, 26 dan 28-44 semuanya berkuat kuasa. Penemuan penyeliaan daripada gelombang peperiksaan pertama tiba pada S4 2025. Bingkai "persediaan" sudah dua kitaran ketinggalan zaman.
- Rejim penetapan CTPP sedang dibuka. AWS, Microsoft, Google, Salesforce — di dalam atau berhampiran. Penetapan memberikan ESA hak pengawasan langsung termasuk permintaan maklumat, pemeriksaan di tapak, dan cadangan penyeliaan.
- Kejuruteraan platform ialah hasil serahan. Jalan tersedia Kubernetes (EKS / AKS / GKE / OpenShift), portal pembangun gaya Backstage, GitOps (ArgoCD atau Flux), Open Policy Agent pada kemasukan, OpenTelemetry hujung ke hujung. Lima primitif yang dinamakan; apa-apa yang hilang ialah penemuan.
- Awan berdaulat ialah kejuruteraan, bukan penjenamaan. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — setiap satu menangani satu dimensi khusus Schrems II + Artikel 28 DORA; tiada satu pun jawapan siap pakai.
- Bukti keluar yang diuji diperlukan. Perenggan 81 dan 113-117 EBA/GL/2019/02. Latihan meja setiap suku tahun tidak mencukupi; penyelia menjangkakan ujian pelaksanaan keluar hujung ke hujung setiap tahun bagi setiap fungsi kritikal atau penting.
- RTO / RPO daripada inventori CIF. Peringkat 1: 2j / 15min. Peringkat 2: 4j / 1j. Peringkat 3: 24j / 4j. Diperoleh daripada analisis kesan perniagaan, bukan kapasiti pasukan platform.
Mengapa Daya Tahan Awan DORA Berada dalam Fasa Audit
Tiga sebab mengapa bingkai "persediaan" adalah salah pada 2026.
Pertama, garis masa. DORA diterbitkan pada Disember 2022. Tempoh permohonan 24 bulan berakhir pada 17 Januari 2025. RTS dan ITS muktamad ESA — termasuk ITS mengenai Daftar Maklumat yang digunakan untuk penetapan CTPP — diterbitkan sepanjang 2024. Gelombang pertama peperiksaan penyeliaan berjalan sepanjang 2025; penemuan mengenai kelengkapan rangka kerja pengurusan risiko ICT Artikel 6 dan penyesuaian daftar Artikel 8 tiba pada S4 2025 di beberapa institusi peringkat 1.
Kedua, rejim penetapan CTPP. Artikel 31 menetapkan kriteria untuk penetapan sebagai penyedia pihak ketiga kritikal: kesan sistemik sekiranya berlaku kegagalan, kekritikalan perkhidmatan yang disediakan, skala dan kerumitan perkhidmatan, kebolehgantian. ESA menyelenggara daftar dan menerbitkan keputusan penetapan. AWS, Microsoft (Azure), Google (GCP), dan Salesforce berada di dalam atau berhampiran perimeter penetapan, bergantung pada bahagian pasaran perkhidmatan kewangan mengikut negara anggota. Penetapan memberikan pengawas utama (salah satu ESA, yang diperuntukkan bagi setiap penyedia) kuasa pengawasan langsung: permintaan maklumat di bawah Artikel 37, pemeriksaan di tapak di bawah Artikel 38, cadangan di bawah Artikel 35, dan rejim pendedahan awam di bawah Artikel 41. Bank yang diselia terhadap CTPP tersebut tertakluk kepada jangkaan penyeliaan sepadan mengenai cara mereka menguruskan kebergantungan yang ditetapkan itu.
Ketiga, keutamaan penyeliaan 2026-28 ECB. Dokumen keutamaan menamakan dua program eksplisit yang memberi kesan langsung kepada perbankan asli awan: kesediaan untuk gangguan besar perkhidmatan awan (senario penyeliaan yang dimodelkan menguji keupayaan institusi untuk menyerap gangguan berpanjangan CTPP yang ditetapkan) dan TLPT selaras TIBER-EU (setiap latihan TIBER-EU menskopkan fungsi kritikal dan penting institusi, yang kini termasuk perkhidmatan dihoskan awan awam). Gelombang peperiksaan 2026 akan menghasilkan penemuan mengenai kedua-duanya.
Bingkai untuk 2026 bukanlah "DORA akan tiba"; ia adalah "penemuan peperiksaan DORA sedang tiba ke peti mel institusi anda, dan keputusan kejuruteraan platform yang anda buat sepanjang 2024-2025 adalah perkara yang diteliti oleh penyelia dalam penemuan tersebut."
Seni Bina Indeks 2026
| Lapisan Indeks | Rupa "Sedia" | Metrik Kesediaan | Mod Kegagalan |
|---|---|---|---|
| Kematangan platform | >80% beban kerja pada platform Kubernetes jalan tersedia (EKS / AKS / GKE / OpenShift) dengan kemasukan dasar-sebagai-kod, penggunaan GitOps, ujian DR automatik | % CIF pada platform jalan tersedia; kiraan penggunaan bayangan; masa purata untuk menerapkan perkhidmatan baharu ke platform | Platform bayangan dengan kawalan tidak konsisten; CIF berjalan pada infrastruktur bukan jalan tersedia yang tidak kelihatan kepada penyesuaian daftar Artikel 8 |
| Integriti daftar Artikel 8 | Daftar Maklumat menyesuaikan secara automatik dengan penggunaan API pihak ketiga platform + bil-bahan awan; klasifikasi kekritikalan konsisten dengan inventori CIF institusi | % entri daftar yang disesuaikan dengan telemetri platform; kiraan entri yatim; pemeriksaan integriti perimeter CTPP | ESA mengenal pasti kebergantungan CTPP yang ditetapkan yang gagal didedahkan oleh institusi di bawah Artikel 8; penemuan individu dan akibat perimeter CTPP |
| Penumpuan awan | Fungsi kritikal dipetakan kepada penyedia awan DAN sub-rantau awan DAN perkhidmatan DAN penilaian kebolehgantian; pendedahan berkorelasi merentas CIF dikuantifikasikan | Skor penumpuan setiap CIF; pendedahan berkorelasi merentas CIF yang berkongsi rantau CTPP yang ditetapkan | Satu gangguan IAM AWS us-east-1 melumpuhkan empat CIF yang institusi sangkakan bersumber secara bebas |
| Keupayaan keluar yang diuji | Ujian pelaksanaan keluar hujung ke hujung tahunan untuk setiap CIF yang bergantung pada CTPP yang ditetapkan; RTO / RPO didokumentasikan memenuhi sasaran yang diperoleh daripada BIA; laluan kebolehalihan data diuji | Kadar lulus ujian setiap CIF; masa pelaksanaan keluar purata berbanding sasaran RTO; kependaman laluan kebolehalihan data | Pelan keluar yang wujud hanya sebagai PDF; latihan meja mengatakan RTO 4j, ujian sebenar menunjukkan 48j pada percubaan pertama |
| Kebolehcerapan + pelaporan insiden | Jejak OpenTelemetry hujung ke hujung merentas perkhidmatan; pembantu klasifikasi 4 jam Artikel 18 automatik disambungkan ke platform pengurusan insiden | % trafik CIF yang diliputi jejak OTel; masa purata dari pengesanan insiden hingga keputusan klasifikasi Artikel 18 | Insiden besar dikelaskan di luar tetingkap 4 jam kerana penentuan kekritikalan memerlukan mesyuarat triaj; penemuan Artikel 18 |
| Integrasi TLPT | Skop TLPT diperoleh daripada inventori CIF dan disegarkan secara berterusan; penemuan disuap semula ke dasar-sebagai-kod platform; penemuan yang ditutup menghasilkan paket bukti yang sedia untuk penyeliaan | Kadar penutupan penemuan TLPT; masa kitaran penemuan-ke-kemas kini-dasar | TLPT menemui kelemahan yang pasukan kejuruteraan platform institusi tidak dapat perbaiki dalam kurang daripada dua kitaran keluaran |
Isyarat Semasa untuk Dipantau
| Isyarat | Maksudnya bagi Bank | Sumber |
|---|---|---|
| DORA dalam penguatkuasaan aktif sejak 17 Jan 2025 | Penemuan penyeliaan gelombang pertama tiba S4 2025; penemuan gelombang kedua dijangka sepanjang H2 2026 | EUR-Lex ⧉ |
| Penetapan CTPP dibuka sepanjang 2025-2026 | AWS, Microsoft, Google, Salesforce di dalam atau berhampiran perimeter; penetapan memberikan ESA hak pengawasan langsung | EBA ⧉ |
| Keutamaan penyeliaan ECB 2026-28 menamakan gangguan awan secara eksplisit | Senario penyeliaan yang dimodelkan menguji keupayaan menyerap gangguan CTPP yang ditetapkan berpanjangan | ECB Banking Supervision ⧉ |
| TIBER-EU diselaraskan dengan Artikel 26 DORA | Skop TLPT meliputi fungsi kritikal / penting termasuk perkhidmatan dihoskan awan | ECB TIBER-EU ⧉ |
| Garis panduan penyumberan luar EBA (EBA/GL/2019/02) berkait dengan Artikel 28 DORA | Kehadiran substantif (¶64), penilaian kebolehgantian (¶81), strategi keluar (¶113-117) — perenggan yang sebenarnya diuji oleh penyelia | EBA ⧉ |
| Draf Skim Perkhidmatan Awan EU (EUCS) semakin maju | Skim pensijilan awan berdaulat masa depan di bawah Akta Keselamatan Siber EU; draf diterbitkan ENISA | ENISA EUCS ⧉ |
Kejuruteraan Platform: Lima Primitif yang Dinamakan
Kematangan asli awan pada 2026 dikurangkan kepada lima primitif kejuruteraan yang berkait antara satu sama lain untuk menghasilkan bukti penyeliaan pada kelajuan saluran paip penggunaan. Kehilangan mana-mana satu ialah penemuan yang menanti untuk berlaku.
1. Jalan Tersedia Berasaskan Kubernetes
Setiap CIF berjalan pada platform Kubernetes terurus — EKS, AKS, GKE, atau OpenShift pada CTPP yang ditetapkan, atau alternatif yang diurus oleh vendor. Pasukan platform mengendalikan satu corak kluster emas dengan penyimpangan terkawal: nod daripada imej asas yang didokumentasikan; pengasingan ruang-nama-setiap-pasukan; profil pod-security-standards-restricted; dasar rangkaian; suntikan jejaring perkhidmatan (Istio atau Linkerd) untuk pengesahan dan kebolehcerapan antara perkhidmatan. Perkhidmatan baharu menyertai jalan tersedia melalui aliran kerja penerapan bertemplat yang menghasilkan entri daftar Artikel 8 sebagai artifak penggunaan.
2. Portal Pembangun Gaya Backstage
Portal pembangun berpusat — Backstage ⧉ sumber terbuka Spotify ialah pelaksanaan rujukan, dengan pelbagai alternatif perusahaan — menyediakan sistem rekod bagi apa yang berjalan di mana. Katalog menyenaraikan setiap perkhidmatan, pemilik, kebergantungan, klasifikasi kekritikalan, buku panduan, giliran siap sedia. Portal berkait dengan daftar Artikel 8: setiap entri katalog dipetakan kepada entri daftar; entri tanpa rujukan daftar mencetuskan kegagalan CI; entri daftar tanpa kehadiran katalog mencetuskan amaran yang mendahului penyelia.
3. Penggunaan GitOps melalui ArgoCD atau Flux
Penggunaan pengeluaran berjalan melalui pengawal GitOps — ArgoCD atau Flux ialah piawaian pengeluaran pada 2026 — yang menyesuaikan keadaan deklaratif berversi Git kepada kluster yang berjalan. kubectl apply manual dilumpuhkan; satu-satunya laluan ke pengeluaran ialah permintaan tarik yang telah digabungkan. Repositori Git ialah jejak audit; penyelia yang meminta "tunjukkan konfigurasi perkhidmatan X pada tarikh Y" mendapat tag Git, bukan tangkapan skrin.
4. Open Policy Agent pada Kemasukan
Open Policy Agent (OPA) duduk dalam rantaian kemasukan kluster menguatkuasakan dasar platform: pematuhan profil pod-security, ketulenan imej, had sumber, kehadiran dasar-rangkaian, replikasi yang sesuai dengan peringkat kekritikalan, penempatan sub-rantau di bawah kekangan awan berdaulat. Dasar berversi Git dan diurus perubahan bersama konfigurasi perkhidmatan. Penggunaan yang ditolak menghasilkan rasional yang boleh disemak yang menyuap paket bukti pengurusan perubahan.
5. OpenTelemetry Hujung ke Hujung
Setiap perkhidmatan memancarkan jejak, metrik, dan log OpenTelemetry. Pasukan platform mengendalikan saluran paip kebolehcerapan berpusat — biasanya Tempo atau Jaeger untuk jejak, Prometheus untuk metrik, Loki atau OpenSearch untuk log — yang menzahirkan kesihatan CIF hujung ke hujung, pemetaan kebergantungan, dan input klasifikasi insiden. Tetingkap klasifikasi 4 jam Artikel 18 bermula dengan pengesanan; saluran paip OTel memendekkan laluan dari pengesanan ke klasifikasi kepada carian yang boleh disoal, bukan mesyuarat triaj.
Awan Berdaulat sebagai Kejuruteraan, Bukan Penjenamaan
Strategi awan berdaulat pada 2026 mesti menjawab empat soalan khusus Schrems II + DORA + penyumberan luar EBA:
- Di mana data diproses dan disimpan? Lokasi negara anggota EU; sub-rantau untuk aliran berkekritikalan tinggi; komitmen kediaman data secara bertulis.
- Siapa yang mempunyai akses undang-undang kepada data? Operasi hanya-kakitangan-tempatan; permintaan akses kerajaan asing tertakluk kepada proses mahkamah tempatan; tindak balas yang diuji terhadap permintaan akses yang sah.
- Apakah profil kebolehgantian? Penilaian kebolehgantian ¶81 EBA/GL/2019/02; pelaksanaan keluar yang diuji; penyedia alternatif dikenal pasti dan dikontrakkan (atau didokumentasikan mengapa tidak boleh dilaksanakan).
- Apakah model kedaulatan teknikal? Kunci dikawal pelanggan; pengasingan kriptografi; satah pengurusan berdaulat; rantaian bekalan yang boleh diaudit.
Pilihan vendor 2026 yang menangani soalan-soalan ini:
- AWS European Sovereign Cloud (diumumkan 2023, GA dijangka H2 2026): rantau fizikal yang dikendalikan oleh anak syarikat AWS yang bermastautin di EU; operasi dan sokongan bermastautin EU; kunci dikawal pelanggan melalui corak KMS-XKS. Menunggu penjajaran kandungan kontraktual Artikel 28 DORA pada 2026.
- Microsoft EU Data Boundary (GA 2024) + Bleu (Capgemini + Orange + Microsoft, Perancis sahaja): Data Boundary menyimpan data pelanggan EU dalam rantau EU; Bleu ialah awan berdaulat Perancis yang selaras SecNumCloud yang menjalankan timbunan Microsoft Azure di bawah kawalan operasi Perancis.
- Perkongsian berdaulat Google Cloud: Thales / S3NS di Perancis (setara Bleu); T-Systems di Jerman.
- Oracle EU Sovereign Cloud (GA 2023): corak dwi-rantau (Frankfurt + Madrid) dengan operasi bermastautin EU; mematuhi Schrems II secara bersih.
- Penyedia yang selaras Gaia-X (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): penyedia asli-EU dengan pelabelan Gaia-X; skala dan ekosistem lebih kecil daripada hiperskaler tetapi tiada pendedahan kepada Foreign Intelligence Surveillance Act.
Keputusan strategik jarang bersifat binari. Bank peringkat 1 biasanya menjalankan konfigurasi hiperskaler-dengan-Data-Boundary untuk sebahagian besar beban kerja, pilihan awan berdaulat untuk aliran berkepekaan tinggi yang ditetapkan (contohnya sistem pengurusan kes AML / sekatan yang mengendalikan data peribadi penduduk EU), dan laluan kontingensi-kebolehgantian yang diuji setiap tahun di bawah Artikel 28 DORA.
Pelaksanaan Keluar yang Diuji
Perenggan 113-117 EBA/GL/2019/02 ⧉ ialah peruntukan strategi keluar. Teksnya jelas mengenai apa yang diperlukan: "Institusi dan institusi pembayaran hendaklah memastikan bahawa mereka mampu keluar daripada perjanjian penyumberan luar tanpa gangguan yang tidak wajar kepada aktiviti perniagaan mereka… Strategi keluar juga hendaklah didokumentasikan dan diuji sebagai sebahagian daripada semakan berkala perjanjian penyumberan luar."
Jangkaan penyeliaan pada 2026 ialah ujian pelaksanaan keluar hujung ke hujung tahunan untuk setiap CIF yang bergantung pada CTPP yang ditetapkan. Latihan meja dan semakan dokumen tidak mencukupi. Ujian mesti menghasilkan:
- Pengukuran masa-untuk-pulih: masa berlalu sebenar dari pengisytiharan keluar melalui pemulihan beban kerja pada penyedia alternatif, berbanding sasaran RTO yang diperoleh daripada BIA.
- Bukti kebolehalihan data: eksport data yang diuji daripada primer, disahkan terhadap laluan import penyedia destinasi, dengan bukti penyesuaian.
- Kesetaraan fungsi: beban kerja yang diuji berjalan pada penyedia alternatif dengan SLO setara.
- Bukti kos: kos pelaksanaan keluar yang didokumentasikan berbanding andaian kos-pemulihan dalam perancangan kontingensi institusi.
Percubaan pertama ujian keluar hujung ke hujung untuk sesuatu CIF biasanya mendedahkan jurang 5-10× antara RTO yang didokumentasikan dan RTO sebenar. Merapatkan jurang itu ialah kerja kejuruteraan yang mengambil masa berbulan-bulan. Bank yang menemuinya semasa pemeriksaan penyeliaan dan bukannya semasa kitaran ujian tahunan mereka sendiri menghadapi kitaran penemuan S3 yang boleh mereka elakkan.
Sasaran RTO / RPO daripada Inventori CIF
Setiap fungsi kritikal atau penting dipetakan kepada klasifikasi peringkat yang diperoleh daripada analisis kesan perniagaan institusi. Peringkat itu memacu sasaran RTO dan RPO yang pasukan kejuruteraan platform komited untuk menyampaikan.
| Peringkat | Contoh | RTO | RPO |
|---|---|---|---|
| Peringkat 1 (kritikal-misi) | Kesalinghubungan RTGS (CHAPS / T2 / Fedwire), pengesahan pembayaran runcit, pengesahan pelanggan untuk saluran digital | 2 jam | 15 minit |
| Peringkat 2 (kritikal) | Saringan AML / sekatan, saluran paip pengesanan penipuan, pengesahan ATM, pemprosesan pembayaran berkelompok | 4 jam | 1 jam |
| Peringkat 3 (penting) | Pelaporan dan penyerahan kawal selia, pangkalan pengetahuan menghadap pelanggan, platform kerjasama dalaman | 24 jam | 4 jam |
| Peringkat 4 (bukan kritikal) | Sistem HR dalaman, perkakas pemasaran, pelaporan bukan menghadap pelanggan | 72 jam | 24 jam |
Angka-angka ini adalah ilustratif — BIA institusi menghasilkan angkanya sendiri. Hasil serahan kejuruteraan platform ialah keupayaan yang diuji regresi untuk memenuhi sasaran yang diperoleh daripada BIA, dibuktikan melalui ujian DR automatik setiap perkhidmatan dan disahkan melalui ujian pelaksanaan keluar tahunan untuk CIF yang bergantung pada CTPP.
Apa Maksudnya mengikut Jenis Bank
Bank Penting Sistemik Global
Masalah sukar ialah skala merentas lini perniagaan: beribu-ribu perkhidmatan, beratus-ratus CIF, pelbagai pendedahan CTPP yang ditetapkan merentas produk, bidang kuasa dan profil daya tahan. Pelaburan ialah keupayaan kejuruteraan platform berpusat — jalan tersedia Kubernetes, portal Backstage, GitOps, OPA, OTel — yang menghasilkan penyesuaian daftar Artikel 8, peta penumpuan CTPP, dan keupayaan pelaksanaan keluar CIF demi CIF tanpa pembinaan tersuai setiap lini perniagaan.
Bank Universal dan Bersaiz Sederhana
Pelaburan kejuruteraan platform wajar pada peringkat ini tetapi skopnya terhad: pilih dua atau tiga CIF berkekritikalan tertinggi, bina corak jalan tersedia di sekitarnya, terima bahawa estet warisan diteruskan pada kawalan sedia ada untuk jangka sederhana. Kedudukan penyeliaan lebih penting daripada keluasan platform — keupayaan untuk membuktikan integriti daftar Artikel 8 DORA dan keluar yang diuji untuk tiga CIF teratas meliputi kebimbangan utama penyelia.
Bank Serantau dan Lebih Kecil
Pemilihan vendor berbanding pembinaan dalaman. Pilih vendor platform perbankan yang seni bina asli-Kubernetesnya didokumentasikan, yang integrasi daftar Artikel 8nya terbina dalam, dan yang komitmen kandungan kontraktual Artikel 28 DORAnya jelas. Keupayaan kejuruteraan dalaman adalah di sekitar konfigurasi, pemantauan, dan tindak balas insiden — bukan pembinaan platform.
Fintech, PSP, dan Penyedia SaaS yang Melayani Bank
Persoalan produk bagi vendor yang menjual kepada bank EU pada 2026 ialah sama ada platform menghasilkan entri daftar Artikel 8 dan kandungan kontraktual Artikel 28 DORA yang diperlukan oleh fungsi pematuhan bank. Vendor dengan output berstruktur memenangi perjanjian perusahaan; vendor dengan templat PDF kalah kepada pesaing dengan JSON berstruktur.
Kesimpulan
Daya tahan awan DORA berada dalam fasa audit. Keputusan kejuruteraan platform yang dibuat sepanjang 2024-2025 adalah perkara yang diteliti oleh kitaran penyeliaan 2026. Institusi yang kelihatan boleh dipercayai oleh ECB dan EBA pada 2026-2028 ialah yang menjalankan jalan tersedia Kubernetes dengan portal gaya Backstage dan penggunaan GitOps di bawah kemasukan Open Policy Agent dengan OpenTelemetry hujung ke hujung — menghasilkan bukti daftar Artikel 8 sebagai artifak penggunaan dan bukti pelaksanaan keluar yang diuji sebagai kitaran tahunan, bukan tindak balas permintaan penyeliaan.
Institusi yang tidak membuat pelaburan tersebut akan mengetahui sama ada pasukan pematuhan barisan kedua mereka boleh menyerap pusingan pertama penemuan penyeliaan sebelum pusingan kedua tiba.
Ukur platform sebagaimana anda mengukur mana-mana program operasi: liputan jalan tersedia, kadar penyesuaian daftar, skor penumpuan CTPP, masa keluar yang diuji berbanding sasaran RTO, masa purata klasifikasi Artikel 18, kadar penutupan TLPT. Bukti pada kelajuan saluran paip; paket dokumentasi hanya apabila penyelia memintanya.
Soalan Lazim
Adakah daya tahan awan DORA masih dalam fasa persediaan pada 2026?
Tidak. DORA telah berada dalam penguatkuasaan aktif sejak 17 Januari 2025. Rejim penetapan CTPP di bawah Artikel 28-44 sedang dibuka sepanjang 2025-2026. Penemuan peperiksaan ECB mengenai pengurusan risiko ICT Artikel 6 dan integriti daftar Artikel 8 tiba di beberapa institusi peringkat 1 pada S4 2025. Persoalan penyeliaan 2026 ialah bukti peperiksaan khusus institusi, bukan kesediaan kawal selia.
Penyedia awan yang manakah ditetapkan sebagai CTPP?
ESA menerbitkan keputusan penetapan di laman web mereka. Institusi di dalam atau berhampiran perimeter pada 2026 termasuk AWS, Microsoft (Azure), Google (GCP), Salesforce, dan sebilangan kecil yang lain bergantung pada bahagian pasaran perkhidmatan kewangan mengikut negara anggota. Bank yang diselia terhadap penyedia tersebut menghadapi jangkaan penyeliaan sepadan mengenai cara mereka menguruskan kebergantungan itu.
Adakah awan berdaulat menghapuskan keperluan untuk kandungan kontraktual Artikel 28 DORA?
Tidak. Awan berdaulat menangani dimensi Schrems II + kediaman data; kandungan kontraktual Artikel 28 DORA ialah kewajipan berasingan yang terpakai tanpa mengira di mana data berada. Kontrak penyedia awan berdaulat masih mesti meliputi kebolehcapaian data, keselamatan, kediaman, hak audit, strategi keluar, dan kesinambungan mengikut Artikel 28.
Apakah hasil serahan kejuruteraan yang menunjukkan daya tahan awan DORA?
Lima primitif kejuruteraan platform yang berkait: jalan tersedia Kubernetes (kluster terurus dengan penyimpangan terkawal dasar), portal pembangun gaya Backstage (katalog yang menyesuaikan dengan daftar Artikel 8), penggunaan GitOps (ArgoCD atau Flux), Open Policy Agent pada kemasukan, OpenTelemetry hujung ke hujung. Bukti pada kelajuan saluran paip dan bukannya pada masa peperiksaan.
Berapa kerap pelaksanaan keluar perlu diuji?
Ujian pelaksanaan keluar hujung ke hujung tahunan setiap CIF yang bergantung pada CTPP yang ditetapkan. Latihan meja dan semakan dokumen tidak mencukupi. Ujian mesti menghasilkan masa-untuk-pulih, bukti kebolehalihan data, kesetaraan fungsi, dan bukti kos — diukur berbanding sasaran RTO dan RPO yang diperoleh daripada BIA.
Rujukan
- European Union, (2022). Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — Guidelines on outsourcing arrangements ⧉.
- European Banking Authority, (2026). Digital Operational Resilience Act ⧉.
- European Supervisory Authorities, (2024). Final Report on the ITS on the Register of Information under DORA ⧉.
- ECB Banking Supervision, (2025). Supervisory priorities 2026-28 ⧉.
- European Central Bank, (2024). TIBER-EU framework ⧉.
- ENISA, (2024). EU Cybersecurity Scheme for Cloud Services (EUCS) ⧉.
- Spotify, (2020-2024). Backstage developer portal ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
Semakan terakhir .
Terbit silang artikel ini
Salin format untuk Medium
# Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/](https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/) Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Salin format untuk Mastodon
Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi. https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Salin format untuk LinkedIn
Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi. Berikut ialah intipati strategik utama: - Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi. Perbankan asli awan pada 2026 berada dalam fasa audit DORA. - Mengapa Daya Tahan Awan DORA Berada dalam Fasa Audit. Tiga sebab mengapa bingkai "persediaan" adalah salah pada 2026. - Isyarat Semasa untuk Dipantau. Kematangan asli awan pada 2026 dikurangkan kepada lima primitif kejuruteraan yang berkait antara satu sama lain untuk menghasilkan bukti penyeliaan pada kelajuan saluran paip penggunaan. - Kejuruteraan Platform: Lima Primitif yang Dinamakan. Kematangan asli awan pada 2026 dikurangkan kepada lima primitif kejuruteraan yang berkait antara satu sama lain untuk menghasilkan bukti penyeliaan pada kelajuan saluran paip penggunaan. Apakah pendekatan organisasi anda terhadap cabaran yang dihuraikan dalam artikel ini? → https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ #PerbankanAsliAwan2026 #BankDora #RisikoPenumpuanAwan #KejuruteraanPlatformBank #RisikoPihakKetigaIct Sebastien Rousseau | CC-BY-4.0
Petik artikel ini
Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau
Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi.
BibTeX
@online{rousseau2026indeks,
author = {Rousseau, Sebastien},
title = {{Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ ER -
Vancouver
Rousseau S. Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 5. Available from: https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Chicago
Rousseau, Sebastien. "Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau." sebastienrousseau.com. June 5, 2026. https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/.
APA
Rousseau, S. (2026, June 5). Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Terbit semula artikel ini
Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau
Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi.
Artikel ini dilesenkan di bawah Creative Commons Attribution 4.0 International. Penerbitan semula memerlukan atribusi kepada URL kanonik.
Indeks Perbankan Asli Awan pada 2026: DORA, Kejuruteraan Platform, Awan Berdaulat, dan Daya Tahan Operasi — Sebastien Rousseau Indeks perbankan asli awan 2026 untuk mengukur kesediaan DORA, kematangan kejuruteraan platform, risiko penumpuan awan, bukti keluar, dan daya tahan operasi. Originally published at https://sebastienrousseau.com/ms/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.
