Fejléc

DORA: hatékony és egységes kockázatkezelési gyakorlatok a pénzügyi szektornak

Szerző ikon Hüvelyes Péter

Dátum ikon 2023.02.14

Mint az manapság a vállalati szegmens legtöbb területén tapasztalható, a digitalizációnak köszönhetően a pénzügyi szektor kitettsége is folyamatosan növekszik. Eddig az IKT (információs és kommunikációs technológia) -kockázatokat a különböző pénzügyi felügyeletek az EU-n belül is eltérő módon és eltérő hatékonysággal kezelték. A ma bemutatásra kerülő, a pénzügyi ágazat digitális működési rezilienciájáról – ellenálló képességéről – szóló EU 2022/2554 rendelet (hivatalos nevén Digital Operational Resilience Act, vagy röviden DORA) megalkotásának célja az IKT-kockázatkezelési gyakorlatok egységesítése, javítása az EU pénzügyi szektorában. Ennek megvalósítása a pénzügyi szervezetekre és a nekik IKT szolgáltatásokat nyújtó harmadik felekre vonatkozó kockázatkezelési követelmények konszolidálásával, vagyis azonos alapokra helyezésével történik.

A DORA rendelet előírja a pénzügyi szervezetek és nekik IKT-szolgáltatásokat nyújtó vállalatok számára, hogy a digitális ellenálló képességet működésük minden szintjén alkalmazzák. Ennek megfelelően az érintett szervezeteknek sürgősen el kell kezdeniük a hiányosságok felmérését és ütemtervet kell készíteniük a megfelelés elérése érdekében. Mai cikkünkben ehhez igyekszünk segítséget nyújtani, tisztázva a szabályozás fontos részleteit, s természetesen elérhető gyakorlati segítséggel is szolgálva.

Mit kell tudni a DORA szabályozásról?

A kiberbiztonságot érintő más uniós jogszabályokkal ellentétben a DORA nem egy elvi alapú jogszabály, hanem a pénzügyi szervezetek működési és biztonsági képességeinek fokozását célzó követelmények részletes listája. Bár a DORA a korábbi uniós és tagállami jogszabályokra, a felügyeleti hatóságok iránymutatásaira, nemzetközi biztonsági és IKT-kockázatkezelési szabványokra épül, valójában első ízben a DORA kísérli meg az IKT-kockázatkezelés minőségi követelményeinek uniós szintű harmonizálását, a szabályozási keretrendszer egységesítését.

Az új követelményeknek való megfelelés a pénzügyi szervezetek és kritikus fontosságú külső IKT-szolgáltatóik közös érdeke, a megfelelés közös munkát, együttműködést, koordinációt igényel. Bár nem minden követelmény teljesen új, fontos megjegyezni, hogy a teljesítendő kritériumok immár nem csupán IKT-szabványokon és hatósági iránymutatásokon, hanem kötelező érvényű uniós és nemzeti jogszabályokon és rendeleteken alapulnak.
Emellett szintén fontos változás, hogy az IKT-szolgáltatók félig felügyelt szervezetekké válnak, azaz az európai felügyeleti hatóságok felhatalmazást kapnak az értékelésükre, iránymutatást adhatnak nekik, a megfelelés elmulasztása esetén pedig szankciókat alkalmazhatnak.

A menetrend

Az Európai Bizottság már 2020 szeptemberében javaslatot tett a pénzügyi szervezetek és egyes IKT-szolgáltatók számára a digitális kockázatkezelés teljesen új szabályozási keretére. A DORA rendelet 2022. december 27-én jelent meg az Európai Unió Hivatalos Lapjában, majd 2023. január 16-án lépett hatályba, és 2025. január 17-től alkalmazandó.
A következő 24 hónap szolgál a hatóságok részéről az úgynevezett Szabályozási Technológiai Előírások (Regulatory Technological Standards / RTS) és Végrehajtási Technikai Előírások (Implementation Technical Standards / ITS) által definiált részletszabályok véglegesítésére, az érintett szervezeteknek pedig – a felkészülésre fordítható – türelmi időt biztosít. Ez idő alatt a szabályok részletekbe menő pontosítása történik meg, a már hatályba lépett törzsszövegben előírtakon módosítani nem fog.
Mivel a megfelelés elérése sok időt, erőforrást igénylő feladat, ezért a felkészülést érdemes időben elkezdeni, hogy a 24 hónap elteltével biztosan felkészült legyen a szervezet. A határidő leteltével a rendelet kötelezően alkalmazandó lesz, a penetrációs tesztek elvégzését előíró fejezetek kivételével, amelyekre további 12 hónap felkészülési idő biztosított.

Kire vonatkozik a DORA-rendelet?

Mivel a rendelet egyik fő célja az IKT-kockázatkezelésre vonatkozó szabályok harmonizálása, a DORA meglehetősen széles körben alkalmazható. A hitelintézetektől kezdve a pénzforgalmi intézményekig, biztosítótársaságokig, minden pénzügyi szereplőre kiterjed. A kifejezetten pénzügyi szereplőkön túlmenően azok kritikus IKT-szolgáltatóit is szabályozza, beleértve például a felhőszolgáltatókat is. A javaslat szerint a kritikus IKT-szolgáltatók mindegyikének lesz egy-egy kiemelt felügyelője (az EBA, az ESMA vagy az EIOPA), aki ellenőrzi a pénzügyi szereplőknél esetlegesen jelentkező IKT-kockázatok kezelésére hozott szolgáltatói eljárásokat és intézkedéseket. A vezető felügyelő hatásköre az információk bekérésétől kezdve, a vizsgálatok lefolytatásán át, a szolgáltatókkal szembeni kényszerítő bírságok kiszabásáig terjedhet.

Melyek a DORA szerinti legfontosabb kötelezettségek?

A DORA átfogó keretet határoz meg a pénzügyi ágazat fokozódó digitalizációjával kapcsolatos kockázatok kezelésére, a rendeletet az alábbi fejezetekre osztva fel:

  • IKT-kockázatkezelés:
    Továbbra is a pénzügyi szervezet vezető testülete bír a végső felelősséggel az IKT-kockázat kezeléséért. Ehhez a DORA felsorolja a vezetőségre vonatkozó feladatokat és kötelezettségeket, beleértve a vezetőség tagjainak arra vonatkozó kifejezett kötelezettségét, hogy fejlesszék és fenntartsák az IKT-kockázatokkal kapcsolatos ismereteiket.
    A pénzügyi szervezeteknek azonosítaniuk kell az IKT-kockázati környezetüket, átfogó IKT-kockázatkezelési keretrendszerrel kell rendelkezniük, amely az IKT-kockázatkezeléssel kapcsolatos valamennyi munkát irányítja és vezérli. A mikrovállalkozások kivételével a pénzügyi szervezetek kötelesek nemzetközileg elismert információbiztonsági irányítási rendszert is bevezetni és működtetni. 
  • Az IKT-val kapcsolatos incidensek osztályozása és jelentése:
    A pénzügyi szervezetek kötelesek az IKT-vel kapcsolatos incidenskezelési folyamatot bevezetni, és az ilyen incidensek kezelésére, nyomon követésére alkalmas képességeket kialakítani.
    Az incidenseket osztályozni kell a rendeletben meghatározott tényezők szerint, mint például az incidens földrajzi kiterjedtsége, az érintett szolgáltatások kritikussága, vagy az incidens időtartama. A súlyos incidenseket a rendeletben meghatározott háromszintű eljárásnak megfelelően jelenteni kell az illetékes hatóságnak.
  • Digitális működési ellenállóképesség tesztelése:
    A DORA előírja az arányos és kockázatalapú digitális működési reziliencia tesztelési program végrehajtását. Ennek a programnak tesztek teljes körét kell biztosítania, például sebezhetőségi értékelések, vizsgálatok, és hálózatbiztonsági értékelések elvégzését.
    A kritikus IKT-rendszereket és alkalmazásokat évente tesztelni kell, egyes pénzügyi szervezetek pedig háromévente egyszer kötelesek úgynevezett fenyegetés-vezérelt behatolásvizsgálatot (TLPT – Threat Led Penetration Testing) is végezni.
  • Beszállítóktól eredő IKT-kockázatok kezelése:
    A DORA a pénzügyi szervezet számára IKT szolgáltatást nyújtó külső féllel szembeni kockázatot is az IKT kockázatkezelési keretrendszer szerves részének tekinti. A pénzügyi szervezetek ezért kötelesek rendszeresen felülvizsgálni az IKT harmadik féllel szembeni kockázatra vonatkozó stratégiát, valamint egy nyilvántartást vezetni, amely tartalmazza az IKT harmadik felekkel kötött valamennyi szerződéses megállapodást.
    A DORA meghatározza továbbá az új IKT-szolgáltatások alkalmazásának legfontosabb lépéseit, a szolgáltatások megszüntetésére vonatkozó követelményeket, valamint a külső szolgáltatókkal kötött szerződésekben szerepeltetendő konkrét rendelkezéseket. Előírja továbbá a pénzügyi szervezetek számára, hogy új szerződéses megállapodások megkötése előtt végezzenek IKT-koncentrációs kockázatértékelést.
  • Pénzügyi szervezetek közötti információmegosztás:
    A pénzügyi szervezetek megoszthatják egymással a kiberfenyegetettséggel kapcsolatos információkat és hírszerzési információkat, feltéve, hogy az ilyen információcsere célja a pénzügyi szervezetek digitális működési ellenálló képességének növelése, megbízható közösségeken belül történik, és az alkalmazandó – például adatvédelemre, üzleti titkokra és verseny védelmére vonatkozó – jogszabályokkal összhangban történik.


A szabályozás jövője

Szerencsére az átfogó kép mostanra némileg letisztult. Az újonnan megállapított követelmények részleteit azonban még a felügyeleti hatóságok (EBA, ESMA, EIOPA) fogják meghatározni a második szintű intézkedések, például a Szabályozási Technológiai Előírások (RTS) és Végrehajtási Technikai Előírások (ITS) által. Így minden érintett fél számára javasolt a második szintű intézkedések kialakítására vonatkozó egyeztetések figyelemmel kísérése, hogy a végleges követelményeknek időben megfelelhessenek.

Miben tud segíteni az EURO ONE?

A DORA fontos előrelépést jelent a pénzügyi szervezetek és IKT szolgáltatóik biztonsági érettségének fejlesztésében. E terület egységes, áttekinthető és számonkérhető szabályozása a kiberbiztonsági szempontból ellenálló és naprakész vállalatok alapköve és digitalizálódó társadalmunk egyik fontos bástyája.

A pénzügyi szektor számára kritikus szolgáltatásokat nyújtó pénzügyi szervezeteknek, IKT-szolgáltatóknak, partnereknek azt tanácsoljuk, hogy tervezzék meg a szigorított, illetve teljesen új követelmények 2024 végére történő megfelelését. A követelmények némelyike ugyan nem hoz jelentős változásokat a jelenlegi keretekben és intézkedésekben, de akadnak olyanok, melyek sok időt, koordinációt és erőfeszítést igényelnek a szervezeteken belül, a legkülönbözőbb szakemberektől.

Az EURO ONE Infosec üzletága számos projekt során nyújtott már tanácsadást az IKT kockázatkezeléssel, a rugalmassággal, a kiberbiztonsággal, a külső felek kezelésével és a pénzügyi szektor szabályozási kereteivel kapcsolatban. Munkatársaink több éves, a pénzügyi- és infokommunikációs szektorba tartozó ügyfeleknek nyújtott tanácsadói tapasztalattal rendelkeznek, s a DORA felkészítés esetében is jól használható, széleskörű szakértelemmel bírnak a megfeleltetés, a vezetői döntéstámogatás és kockázatértékelés (GRC) terén.

Forduljon hozzánk bizalommal, ha többet szeretne megtudni, vagy ajánlatot kérne az alábbi témák bármelyikében:

  • Gap-elemzés az előírt működési rugalmassági keretrendszer teljesítéséhez szükséges ütemterv kidolgozásához
  • A kritikus IKT-szolgáltatók azonosítása és nyilvántartásba vétele
  • Szállítói menedzsment / kiszervezés / harmadik fél kockázatkezelés (TPRM)
  • A beszerzési / kiszervezési megállapodások jogi felülvizsgálata
  • Incidenskezelés és jelentéstétel
  • Az üzletmenet-folytonosság és a katasztrófa utáni helyreállítás értékelése