A DORA-ban (Digital Operational Resilience Act) megjelölt felügyeleti hatóságok (EBA, EIOPA, ESMA-összefoglaló néven ESA-k) 2024. január 17-én közzétették az első technikai tervezeteiket (RTS), melyek elsődleges célja a pénzügyi szervezetek kiberbiztonsági ellenállóképességének erősítése.
A kiadott specifikus tervezetek a harmadik félnek minősülő IKT szolgáltatók kockázatkezelésével és eseménybejelentésével kapcsolatban tartalmaznak részletszabályokat, melyek nagy segítséget fognak jelenteni a pénzügyi szervezetek számára a DORA-nak történő megfelelés és a részletszabályok implementálása szempontjából.
A megjelent négy RTS az alábbi elemekre terjed ki:
- IKT-kockázatkezelési keretrendszer és az egyszerűsített IKT-kockázatkezelési keretrendszer kialakítására vonatkozó előírások;
- biztonsági események osztályozására vonatkozó előírások;
- harmadik félnek minősülő IKT-szolgáltatók (TPP-k) által nyújtott kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokra vonatkozó előírások;
- megfelelő információnyilvántartásra vonatkozó sablonok létrehozása.
Az IKT kockázatkezelési keretrendszer és az egyszerűsített IKT kockázatkezelési keretrendszer kialakítására vonatkozóan az ESA-k további elemeket, szabályokat határoznak meg az eszközök, módszerek, folyamatok és politikák összehangolása érdekében, mely tervezetek a DORA-ban meghatározott követelményeket hivatottak kiegészíteni. Meghatározza azokat a kulcsfontosságú követelményeket, melyekkel az alacsonyabb léptékű, kockázatú, méretű és összetettségű pénzügyi szervezeteknek rendelkezniük kell. A tervezet biztosítja az IKT-kockázatkezelés alkalmazásának megfelelő és hatékony harmonizációját a különböző profilú és méretű pénzügyi szervezetek között.
Az események besorolásának kritériumaival foglalkozó ESA-k által kiadott szabályzat kifejti a jelentős biztonsági esemény kezelésének megközelítését, meghatározásának lényeges küszöbértékeit, jelentősnek minősülő kiberfenyegetettségek szempontrendszerét, az illetékes hatóságok biztonsági események értékelésére vonatkozó keretrendszerét, a bekövetkezett biztonsági események relevanciáját más illetékes hatóságok számára, valamint a biztonsági eseményekkel kapcsolatos információk megosztásának részleteit, folyamatát a különböző szervezetek között. A tervezet összehangolt és egyszerűen alkalmazandó eseménybejelentési mechanizmust biztosít a teljes pénzügyi szektor számára, melynek célja az eseménykezelés hatékonyságának növelése és az információmegosztás ösztönzése, megkönnyítése a különböző szervezetek között.
A harmadik félnek minősülő IKT-szolgáltatókra vonatkozó tervezet tartalmazza az irányítási, a kockázatkezelési és a belső ellenőrzési keretrendszer azon részeit, amelyekkel a pénzügyi szervezeteknek rendelkezniük kell a harmadik félnek minősülő IKT-szolgáltatók által nyújtott szolgáltatások megfelelő és biztonságos használatára vonatkozóan. A tervezet legfőbb célja annak biztosítása, hogy a pénzügyi szervezetek azonosítsák, megismerjék és megfelelően kezeljék működési kockázataikat, valamint biztosítsák információbiztonságukat és üzletmenet-folytonosságukat a harmadik félnek minősülő IKT-szolgáltatókkal kötött szerződéses megállapodások teljes életciklusa során.
Az információs nyilvántartással foglalkozó ESA tervezet rögzíti azokat a sablonokat és a sablonokkal kapcsolatos előírásokat, amelyeket a pénzügyi szervezeteknek alkalmazniuk kell, valamint karban és naprakészen kell tartaniuk a harmadik fél IKT-szolgáltatókkal kötött szerződéseik vonatkozásában. A megfelelő információnyilvántartási rendszer kialakítása és fenntartása elengedhetetlen eleme lesz a DORA-nak történő megfelelés, auditálhatóság és elszámoltathatóság szempontjából.
Ezen technikai tervezetek részletszabályainak az átültetése nem lesz kötelező érvényű a pénzügyi szervezetek számára, viszont valamiféle jogharmonizációs tevékenység megvalósítása mindenképpen szükséges lesz a DORA rendeletnek történő megfelelés vonatkozásában, melynek végrehajtását a pénzügyi szervezeteknek 2025 első negyedévéig kell megvalósítaniuk.
Ezek a technikai sztenderdtervezetek végleges verziója benyújtásra került az Európai Bizottság számára, azzal a céllal, hogy a tervezetekben megfogalmazott követelmények felülvizsgálatra és elfogadásra kerüljenek az Európai Bizottság által, mint a DORA rendelet végrehajtásához kapcsolódó első specifikus, technikai intézkedéseket tartalmazó szabványai.
2023. február 6-án megjelent cikkünkben részletesen bemutattuk a DORA legfontosabb tartalmi elemeit, többek között a DORA célját, általános követelményeit, illetve 5 tartalmi alappillérét (IKT kockázatkezelés, Eseménykezelés, Digitális működési rugalmasság tesztelése, Harmadik félnek minősülő IKT-szolgáltatók kockázatkezelése, Információmegosztásra vonatkozó követelmények).
Amennyiben az ön szervezete a DORA rendelet hatálya alá tartozik és szüksége van segítségre a rendelet követelményeire történő felkészítésben, keressen bennünket bizalommal elérhetőségeinken.
