1. Mi a hír röviden?
2. Mi az a három dolog, amit érdemes megjegyezni?
- A javítási ablak drámaian szűkül: ami eddig hetekig nyitva állt, az órákra zsugorodhat, miközben egyszerre több rendszerben és beszállítói komponensben bukkanhatnak fel kihasználható hibák.
- Az akcióterv nem elvi nyilatkozat – konkrét intézkedéseket, felelősöket, erőforrásokat és határidőket kell tartalmaznia, és a bank közös felügyeleti csoportjához (Joint Supervisory Team) kell benyújtani.
- Magyarország is érintett: a levél hat fókuszterületet jelöl ki, az internetről elérhető rendszerek védelmétől a gyors javításkezelésen át az elavult rendszerek cseréjéig, és önellenőrzési listaként a hazai bankoknak és fintecheknek is használható.
3. Miért fontos a pénzügyi szektornak?
Folytatás élőben itt: TechShow X.
2026. október 14-15., Várkert Bazár. Itt azokat hallhatod a színpadon, akik már élesben építik az intelligens pénzügyek következő fejezetét.
Az AI lerövidíti a sebezhetőségek kihasználásához szükséges időt
Egy támadó gyorsabban találhat sérülékeny szoftverkomponenst, készíthet hozzá működő támadási megoldást, illetve fejtheti vissza a közzétett biztonsági javításokat.
Ez átalakítja a banki sérülékenységkezelés időzítését.
A korábban napokban vagy hetekben mérhető javítási ablak egyes esetekben órákra szűkülhet, miközben egyszerre több rendszerben és beszállítói komponensben jelenhetnek meg kihasználható hibák.
Ezért minden érintett banknak 2026. október 31-ig akciótervet kell benyújtania arról, hogyan gyorsítja fel a saját védekezését. Miközben más felügyeletek egyelőre figyelmeztetéseket adnak ki, az EKB konkrét határidőt szabott.
Mit kért az EKB a bankoktól?
Az akcióterv nem elvi nyilatkozat.
Konkrét intézkedéseket, hozzájuk rendelt erőforrásokat, felelősöket és megvalósítási határidőket kell tartalmaznia, és a bank meglévő kiberkockázati stratégiájára kell épülnie.
A tervet a bank közös felügyeleti csoportjának (Joint Supervisory Team, JST) kell benyújtani, annak a felügyelői csapatnak, amely az adott bankkal napi kapcsolatban áll. Az EKB a beérkezett terveket összesítve is elemzi, és a tanulságokat megosztja a bankokkal.
Az EKB nem alkot új szabályt: a keret továbbra is a DORA, az EU pénzügyi szektorra vonatkozó digitális működési rezilienciarendelete.
A felügyelet cserébe tehermentesíti a bankokat: az éves IT-kockázati kérdőív benyújtási határideje 2026 szeptemberéről 2027 februárjára módosult, és egyes helyszíni vizsgálatok is átütemezhetők.
Mire kell felkészülniük?
A második a sérülékenység- és javításkezelés, vagyis a szoftverjavítások telepítésének felgyorsítása. Amíg egy hibajavítás megjelenése és az arra épülő támadás között hetek teltek el, a havi javítási ciklus elegendő volt.
Ha egy AI-modell órák alatt kideríti a javításból, hol volt a hiba, a bankoknak ugyanilyen tempóban kell telepíteniük.
A levél abból indul ki, hogy a külső védelmi vonal előbb-utóbb átszakad, ezért a bankoknak a belső rendszereik ellenálló képességét is erősíteniük kell.
Hosszabb távon az EKB az elavult, már nem támogatott rendszerek cseréjét, a többrétegű védelmet, a rendszeres válsággyakorlatokat és a bankok közötti információmegosztást várja el.
Az AI-alapú védelmi eszközök használhatók, de csak előzetes kockázatértékeléssel és emberi felügyelettel.
A döntések a vezető testületek felelősségébe tartoznak: a levél szerint szükség esetén az IT-költségvetést, a létszámot és a kockázatvállalási kereteket is felül kell vizsgálni.
Miért éppen most lépett a felügyelet?
A levél szerint ez a fenyegetési környezet tartós átalakulása, nem átmeneti jelenség és nem egyetlen eszközhöz kötődő kockázat.
A levéllel egy napon az Európai Rendszerkockázati Testület (ESRB), az EU pénzügyi rendszerének egészét figyelő szerv hivatalos figyelmeztetést adott ki az élenjáró AI-modellekből eredő rendszerszintű kiberkockázatokról. Az EKB azt is jelezte, hogy a kvantumszámítógépek titkosítást fenyegető kockázatáról külön levél készül, a poszt-kvantum titkosításra való átállást azonban már most el kell kezdeni.
A magyar bankok nem tartoznak az EKB közvetlen felügyelete alá, mert Magyarország nem tagja a bankuniónak.
A hazai nagybankok jelentős része azonban euróövezeti bankcsoport leánya, így a csoportszinten elkészülő akciótervek követelményei a magyar leánybankok működésében is megjelennek.
A levél hat fókuszterülete emellett határidő nélkül is használható önellenőrzési lista minden hazai bank és fintech számára.
Élőben a TechShow X. színpadán
A TechShow X. Kiberreziliencia szekciója pontosan ezt a versenyfutást viszi színpadra: DORA, AI-alapú fenyegetések és valós incidensek, azoktól, akik nap mint nap a bankok védvonalán állnak.
- TechShow X. – 2026. október 14-15.
- Várkert Bazár, Budapest
- Program és jegyek a FinTechZone oldalán →
