2020. szeptember 24-én az Európai Bizottság közzétette a Digital Operational Resilience Act (DORA) első tervezetét.
A törvény véglegesítését és végrehajtását követően az egyes EU-tagállamok törvénybe iktatják. Az illetékes hatóságok, például az Európai Bankfelügyeleti Hatóság (EBH), az Európai Értékpapír-piaci Hatóság (ESMA) és az Európai Biztosítás- és Foglalkoztatóinyugdíj-felügyeleti Hatóság (EIOPA) ezután technikai standardokat dolgoznak ki valamennyi pénzügyi szolgáltató intézmény számára.
Mi a DORA célja?
Az EU célja a DORA-val az, hogy megerősítse a pénzügyi szektor IKT-val (Információs és kommunikációs technológiák) kapcsolatos incidensekkel szembeni ellenálló képességét, így specifikus követelményeket vezet be, amelyek azonosak az EU tagállamaiban. Az új szabályozás hatálya alá tartoznak az olyan kritikus IKT harmadik felek, amelyek IKT-val kapcsolatos szolgáltatásokat nyújtanak pénzügyi intézményeknek, például felhőplatformokat, adatelemzési és könyvvizsgálati szolgáltatásokat.
A szervezeteknek képesnek kell lenniük arra, hogy ellenálljanak, reagáljanak és helyreálljanak az IKT-incidensek hatásaiból, ezáltal továbbra is kritikus és fontos funkciókat láthassanak el, és minimálisra csökkentsék az ügyfelek és a pénzügyi rendszer zavarait. Ez csak úgy érhető el, ha szilárd intézkedéseket és ellenőrzéseket hoznak létre a rendszereken.
Ez a törvény nagyon konkrét kritériumokat, sablonokat és utasításokat tartalmaz, amelyek meghatározzák, hogy a pénzügyi szervezetek hogyan kezeljék az IKT- és a kiberkockázatokat.
A DORA lényege 5 alappillérre oszlik, amelyek az IKT-n és a kiberbiztonságon belül különböző szempontokat vagy területeket érintenek.
A legfontosabb követelmények vagy szempontok összefoglalása az alábbiakban található:
IKT kockázatkezelés
– IKT-rendszerek és eszközök beállítása és karbantartása, amelyek minimalizálják az IKT-kockázatok hatását.
– Az IKT-kockázatok minden forrását folyamatosan azonosítani kell a védelmi és megelőzési intézkedések kidolgozása érdekében.
– Meg kell teremteni a rendellenes tevékenységek azonnali észlelését.
– Katasztrófa- és helyreállítási terveket kell bevezetni, amelyek biztosítják az IKT-val kapcsolatos incidensek utáni gyors helyreállítást.
– Olyan mechanizmusok létrehozása, amelyek segítségével tanulhatnak és fejlődhetnek mind a külső eseményekből, mind a saját IKT-incidenseikből.
IKT-val kapcsolatos események kezelése, osztályozása, jelentése
– Irányítási folyamat létrehozása az IKT-val kapcsolatos események nyomon követésére és naplózására.
– Az incidens osztályozása a rendeletben részletezett kritériumok szerint.
– Az incidensek bejelentésének biztosítása az illetékes hatóságok felé az adott felügyeleti hatóság által meghatározott közös sablon és eljárás segítségével.
– Jelentések benyújtása az IKT-val kapcsolatos eseményekről a cég felhasználóinak és ügyfeleinek.
Digitális működési rugalmasság tesztelése
– Az IKT kockázatkezelési keretrendszer elemeinek felkészültségét időszakonként tesztelni kell (évente).
– Az esetleges gyengeségeket, hiányosságokat azonosítani kell, és azonnal meg kell szüntetni vagy ellentétes intézkedésekkel enyhíteni kell.
– Behatolási tesztek elvégzése legalább 3 évente, a magasabb szintű kockázatok kezelése érdekében.
Harmadik féltől eredő IKT kockázat kezelése
– A külső IKT-szolgáltatókra való támaszkodásból származó kockázatok alapos nyomon követésének biztosítása.
– A szolgáltatás kulcsfontosságú elemeinek harmonizálása és a külső IKT-szolgáltatókkal való kapcsolattartás a teljes felügyelet érdekében.
– A külső IKT-szolgáltatókkal kötött szerződések tartalmazzák az összes szükséges felügyeleti és hozzáférhetőségi részletet, mint például a teljes szolgáltatási szint leírását, az adatok feldolgozási helyeinek megjelölését stb.
Információ megosztásra vonatkozó megállapítások
– Az irányelvek ösztönzik az együttműködést más pénzügyi szervezetek megbízható közösségei között.
– Ez az együttműködés:
· fokozza a pénzügyi szervezetek digitális működési rugalmasságát
· felhívja a figyelmet az IKT-kockázatokra
· minimalizálja az IKT-fenyegetések terjedési képességét
– A pénzügyi szervezeteket arra ösztönzik, hogy a kiberfenyegetettséggel kapcsolatos információkat és hírszerzési információkat cseréljenek egymással olyan megállapodások révén, amelyek védik a megosztott információk potenciálisan érzékeny természetét.
Azoknak a pénzügyi szervezeteknek, ahol már eddig is működött valamilyen információbiztonsági rendszer és kockázatelemzés, ott nem jelent nagy változást a DORA bevezetése, de a felkészülést ígyis időben el kell kezdeni.
