根據歐洲銀行業管理局、歐洲證券及市場管理局,以及歐洲保險與職業養老金管理局的聯合報告,歐洲金融機構在 2025 年依據《數位營運韌性法》(Digital Operational Resilience Act)通報了 3,383 起重大與資通訊(ICT)相關的事件。這些發現代表首批大型規模資料集之一,用以呈現在新的 DORA 報告框架下,營運中斷、系統故障與資安事件如何在歐洲金融業界擴散。監管機關表示,該資料顯示金融體系日益依賴共享基礎設施、外部科技供應商與相互連結的數位服務,而 DORA 已於 2025 年 1 月生效,以在整個歐洲金融體系引入協調一致的 ICT 風險通報義務。
信用機構占通報 ICT 事件逾 60%
信用機構占所有通報事件的超過 60%,而支付公司另占 16%。監管機關表示,這種集中情況未必反映銀行或支付的結構性弱點;相反地,這反映這些領域高度數位化且面向客戶的特性,並加上先前已存在的 PSD2 通報義務。
三分之一事件擴散至原始國家之外
資料顯示,營運中斷變得愈來愈跨境。約三分之一的事件擴散至事件起源國以外的地區,而約 8% 同時影響超過 10 個國家。監管機關將此趨勢連結至對共享科技供應商、共用基礎設施以及跨國商業模式的依賴日益增加。報告出爐之際,歐洲監管機關正在加強對營運韌性的審查,因過去兩年中支付、交易基礎設施與銀行系統曾發生數起備受關注的停機事件。
系統故障占所有通報案例的 51%
系統故障是事件中占比最高的類別,占所有通報案例的 51%。外部事件占 27%,與支付相關的事件則達 18%。與資安(cybersecurity)相關的事件占總量的 10%。監管機關表示,資安事件占比較低可能意味既有的防護措施與偵測系統正在限制成功攻擊。同時,報告警告,日後幾年日益精密的以 AI 驅動資安工具可能會改變威脅環境。
在資安事件中,分散式阻斷服務(Distributed Denial of Service)攻擊占已通報事件的 33%,而資料外洩與操縱占 31%。由於信用機構在支付、數位銀行與大型客戶資料處理中扮演角色,信用機構承受了這些攻擊的最高集中度。
第三方供應商故障引發 29% 的重大事件
近 29% 的重大事件起因於涉及第三方供應商的故障,包括 ICT 廠商、基礎設施營運商與外包服務供應商。監管機關表示,這些發現凸顯單一供應商的營運故障如何能迅速擴散至多家金融機構與多個司法管轄區。報告指出,許多金融機構仰賴共用基礎設施來提供支付、核心銀行業務與連線服務。在某些情況下,由於多家機構依賴同一供應商,一次停機就可能產生數十份彼此獨立的事件通報。
TARGET2 停機與伊比利半島大停電在 2025 年擾亂營運
2025 年的營運中斷包含數起大型事件,促成通報量出現尖峰。報告特別提及 2025 年 2 月的 TARGET2 停機事件,該事件導致數小時內證券交割與支付處理受阻,以及 2025 年 4 月的伊比利半島大停電,影響多個產業的營運。
三分之二的事件造成有限的客戶中斷
儘管事件數量眾多,監管機關表示,多數中斷造成的下游損害有限。約三分之二的事件要不未造成客戶與交易中斷,或影響少於 1,000 名客戶或交易。僅有 1% 的事件影響到超過 100 萬筆交易。報告表示,快速偵測與遏止措施在限制外溢影響方面扮演核心角色。機構通常會透過立即的技術介入先行穩定事件,然後再導入較長期的補救措施,例如監控升級、測試改進與系統設定變更。
金融交易對手(counterparties)看起來也相對不易受到多數事件影響。儘管歐洲金融體系的互聯性日益增強,少於 18% 的事件影響到其他金融機構。監管機關將此部分歸因於機構與基礎設施營運商之間已實施的防護措施。
監管機關在 DORA 首年辨識出通報不一致
報告指出,在 DORA 實施的第一年,各產業與各司法管轄區的通報作法存在不一致。約 15% 的事件在 2025 年通報後,未納入分析,因為截至 2026 年 2 月的截止日期,最終報告尚未提交。另一方面,大約 93% 的提交通過品質檢查並進入最終資料庫。ESAs 表示,隨著 DORA 的落實逐漸成熟,進一步的監管協調與通報標準化仍將是優先事項。監管機關計畫持續精進事件分析,並提升歐洲金融體系中資料的可比性。
當營運韌性成為全球金融市場中最具定義性的監管主題之一時,這份報告也隨之出爐。在過去兩年裡,歐洲、英國與美國的監管機關愈來愈將重點轉向基礎設施集中風險、雲端依賴、資安韌性與科技治理。大型金融機構如今在一個環境中運作,在該環境中,停機可以在數分鐘內於跨境、交易對手與支付系統之間迅速擴散。DORA 資料集顯示,歐洲監管機關愈來愈將營運韌性視為不只是狹隘的資安議題,而是與基礎設施設計、外包集中以及數位相互依賴相關的更廣泛的系統性穩定挑戰。
報告也說明,隨著金融服務現代化,營運風險正在如何演變。行動銀行、即時支付、演算法交易、數位資產與嵌入式金融(embedded finance)持續增加交易量與全產業的基礎設施複雜度。這種成長提高了即使機構維持強健的資安標準,仍可能發生營運中斷的機率。對金融業者而言,這些發現可能加大壓力,促使其強化第三方監督、分散關鍵供應商,並提升事件遏止能力。對監管機關而言,該報告為衡量歐洲金融業界未來幾年如何調適 DORA 的營運韌性框架提供了早期基準。
常見問答
歐洲金融機構在 2025 年依 DORA 通報了什麼?
根據歐洲銀行業管理局、歐洲證券及市場管理局,以及歐洲保險與職業養老金管理局的聯合報告,歐洲金融機構在 2025 年依據《數位營運韌性法》(Digital Operational Resilience Act)通報了 3,383 起重大與資通訊(ICT)相關的事件。
ICT 事件中,有多少比例源自第三方供應商故障?
根據監管機關的報告,近 29% 的重大事件源自涉及第三方供應商的故障,包括 ICT 廠商、基礎設施營運商與外包服務供應商。
2025 年歐洲發生了哪些重大營運中斷?
報告特別提及 2025 年 2 月的 TARGET2 停機事件,該事件導致數小時內證券交割與支付處理受阻,以及 2025 年 4 月的伊比利半島大停電,影響多個產業的營運。
