A következő időszakban a DORA rendelet jelentős hatással lesz a pénzügyi intézmények kiberbiztonsági gyakorlatára. Cikkünkben Biró Gabriella IT biztonsági szakértő elemzi a kockázatkezelési stratégiák változásait, az incidensjelentési kötelezettségek kibővítését és az IKT szolgáltatókra vonatkozó új előírásokat – különös tekintettel a magyar szabályozás sajátosságaira.
Hogyan érinti a DORA rendelet a pénzügyi intézmények jelenlegi kiberbiztonsági gyakorlatát? Milyen konkrét változtatásokat kell végrehajtaniuk a bankoknak a DORA megfelelés érdekében?
Biró Gabriella: A magyar szabályozás eddig is elég szigorú volt, ezért Európa többi részéhez képest nálunk valamivel kisebb lesz a változás, de így is vannak a szabályozásnak olyan részei, melyek újdonságot jelentenek.
Az egyik legnagyobb változás, hogy a DORA hatálya alatt évente kell elvégezni azt az IT biztonsági kockázatelemzést, melyet eddig a 42/2015.(III.12) Korm. rendelet értelmében elég volt két évente.
Mivel a kockázatelemzés a kiindulópontja minden védelmi intézkedésnek, ez igényli a legnagyobb figyelmet és az intézmények részéről várhatóan jelentős plusz erőforrásokat igényel majd.
Emellett az incidensekkel kapcsolatos bejelentési kötelezettségek és a harmadik fél IKT-szolgáltatók (magyar jogrend szerint ezek leginkább az IT kiszervezések) nyilvántartásával kapcsolatos elvárások is jelentősen változnak.
Hogyan kell a pénzügyi szolgáltatóknak módosítaniuk kockázatkezelési stratégiáikat a DORA előírásai alapján? Milyen gyakorisággal és milyen típusú tesztelést ír elő a DORA a digitális rendszerek biztonságának biztosítása érdekében és ezek várhatóan milyen terhet jelentenek majd a szolgáltatóknak?
Biró Gabriella: Az évente végzett kockázatelemzés azt jelenti, hogy a teljes kockázatkezelési életciklust fel kell gyorsítani, mert az elemzésből kieső feladatokat el kell végezni lehetőleg még a következő kockázatelemzés előtt.
Az intézmények egyedi döntése lesz, hogy ezt hogyan oldják meg, de véleményem szerint stratégiai szinten nőni fog a kiberkockázatok prioritása a többi kezelendő működési kockázathoz képest.
Ez a szakembereknek jó hír, mert a nagyobb figyelem mellett valószínűleg plusz erőforrásokat is kapnak.
A DORA IV. fejezete foglalkozik a digitális működési reziliencia tesztelésével, de az általános elvárások nem jelentenek drasztikus változást a már létező magyar szabályozáshoz és MNB elvárásokhoz képest (ezzel kapcsolatban érdemes megnézni az MNB által kiadott, sérülékenységi vizsgálatokra vonatkozó GYIK-ot).
Azoknak az intézményeknek (és szolgáltatóiknak) jelent majd plusz terheket az új szabályozás, akiknek fenyegetettség alapú behatolási tesztet (TLPT – Threat Led Penetration Test) is kell végeztetnie. Ezzel kapcsolatban még készülnek a részletszabályok és a nyilvános konzultáció során elég sok észrevételt kaptak az európai felügyeleti hatóságok, ezért várhatóan lesznek nagyobb módosítások a közzétett tervezethez képest.
A végleges RTS (szabályozási technikai standard) várhatóan július közepén jelenik meg, utána lehet majd pontosabban megállapítani, kiknek kell készülnie a TLPT-re. Az RTS-ben rögzített szabályok alapján az MNB fogja kijelölni az érintett intézményeket.
Milyen mértékben módosítja a DORA a pénzügyi szolgáltatók jelenlegi incidenskezelési és -jelentési gyakorlatát? Milyen típusú incidenseket kell bejelenteni a hatóságoknak a DORA szerint?
Biró Gabriella: A DORA kiterjeszti azon intézmények körét, akiknek be kell jelenteniük a jelentős IKT-vonatkozású incidenseiket, azaz nem csak a pénzforgalmi szolgáltatóknak lesz ilyen kötelezettségük, hanem minden, a DORA hatálya alá eső intézménynek.
Emellett az intézmények önkéntes alapon bejelenthetik az általuk érzékelt jelentős kiberfenyegetéseket is.
Hogy mi számít jelentősnek, az elég összetett kérdés, ami abból is látszik, hogy az incidensek osztályozási kritériumainak meghatározásáról külön RTS szól.
Az incidensek bejelentésének részletszabályait és pontos tartalmát szabályozó további RTS és ITS (végrehajtási technikai standard) végleges szövegének megjelenése júliusban várható, de az már most is látszik, hogy sok adatot kell majd beküldeni az illetékes hatóságoknak és a bejelentések többlépcsősek lesznek: a kezdeti bejelentés után az incidens lezárásáig kell majd státuszjelentéseket küldeni a felügyeletnek.
A DORA szerinti incidensbejelentés összhangban van a NIS2 elvárásaival, így ha egy intézményre mindkét szabályozás vonatkozna, akkor a DORA szabályok szerint kell eljárnia.
A DORA egyik kimondott célja volt, hogy egyszerűsítse az incidensbejelentést, de a rendelet megalkotása közben már előtérbe került a jogalkotó azon törekvése, hogy a felügyeleti hatóságok minél részletesebb információt kapjanak az incidensekről.
Ennek köszönhetően az érintett intézmények valószínűleg nem egyszerűsítésként fogják megélni a DORA szerinti incidensjelentés bevezetését.
Várható, hogy a DORA megfelelés miatt bizonyos IKT szolgáltatók (beszállítók) kikerülnek/kiszorulnak a szektorból?
Biró Gabriella: Eddig is voltak informatikai tárgyú kiszervezések a pénzügyi szektorban és eddig is számos elvárásnak kellett megfelelnie az IKT szolgáltatóknak, ezért én nem számítok arra, hogy kiszorulnának a szektorból szereplők.
A DORA a kifejezetten nagy, összeurópai szinten jelentős IKT szolgáltatók számára még egyszerűbbé is teheti az életet, mivel egységesíti azt az elvárásrendszert, amit az ügyfeleik számonkérnek rajtuk és megteremti annak lehetőségét, hogy a pénzügyi felügyeletek részéről egyetlen központi csapat ellenőrizze (felvigyázza) őket ahelyett, hogy az összes érintett európai hatóság egyenként kopogtatna náluk.
Megnő a kibervédelmi szakemberek súlya a szektorban a DORA miatt vagy inkább a jogászok nélkülözhetetlenségére számítsunk?
Biró Gabriella: A DORA és a NIS2 kétségtelenül felpörgette a kiberbiztonsági szakemberek iránti keresletet, de véleményem szerint igazán nagy piaca a következő években az olyan technikai szakembereknek lesz, akik tudják értelmezni a jogszabályokat.
A megfeleléssel kapcsolatos feladatokat szét lehet bontani úgy, hogy egy jogász elolvassa a rendeletet, majd elmagyarázza valakinek, aki végre tudja hajtani a feladatot, esetleg még egy projektvezető és néhány tanácsadó is beékelődik a láncba. Ennél viszont hatékonyabb és olcsóbb, ha olyan olvassa el a rendeletet, aki képben van azzal, hogy ténylegesen mit kell csinálni egy intézmény informatikai környezetében ahhoz, hogy teljesüljenek az elvárások.
Persze az olyan jogászokra is nagy szükség lesz, akik értik az informatikát.
Hogyan biztosíthatják a pénzügyi intézmények, hogy munkavállalóik megfelelő képzést kapjanak a DORA előírásaival kapcsolatban?
Biró Gabriella: Rengeteg előadás vagy akár teljes konferencia foglalkozik a DORA előírásaival, illetve sokan próbálják értelmezni a rendelet és a már elkészült részletszabályok szövegét.
Akinek a feladatához hozzátartozik, hogy napi szinten foglalkozzon a DORA megfeleléssel, azok számára azt javaslom, hogy igyekezzenek autentikus forrásból tájékozódni, azaz az európai felügyeleti hatóságok (EBA, ESMA, EIOPA) és az MNB megszólalásait, workshopjait figyeljék első sorban.
Mivel a DORA részletszabályok második, nagyobb csomagjának elvárásrendszere még nem végleges.
Ezzel kapcsolatban még korai oktatásokat keresni, bár már én is találkoztam olyannal, aki magabiztosan hirdette, hogy ezeket is el tudja magyarázni.
Hogyan fogja a DORA rendelet növelni az ügyfelek pénzügyi tranzakcióinak biztonságát?
Biró Gabriella: A DORA elsődleges célja nem a tranzakciók biztonságának növelése, hanem az egész pénzügyi szektor működési ellenálló képességének növelése a biztonsági incidensekkel szemben.
Ha a DORA betölti a célját, akkor stabilabbak és megbízhatóbbak lesznek a pénzügyi rendszereink: kevesebb kiesés, üzemszünet vagy adatbiztonsági probléma lesz, ha pedig mégis bekövetkezik egy incidens, akkor rövidebb idő alatt megtörténik a normál működés helyreállítása.
A tranzakciók biztonságával inkább a PSD2, illetve a készülő PSD3 foglalkozik, de a DORA elvárások megfogalmazásakor a jogalkotó figyelembe vette a PSD2 előírásait is, tehát a két szabályozás szépen kiegészíti egymást.
Milyen változásokat fog érezni az ügyfél a banki szolgáltatások biztonságában a DORA bevezetése után? Észlelhet-e az ügyfél változásokat a digitális banki szolgáltatások sebességében vagy elérhetőségében a DORA miatt? Az ügyfelek számíthatnak-e arra, hogy a DORA miatt biztonsági ellenőrzéseken kell átesniük online tranzakciók során?
Biró Gabriella: Reményeim szerint az ügyfelek csak azt fogják észlelni, hogy minden rendben működik. A DORA miatt első körben nem az ügyfeleket kiszolgáló rendszerekben lesz szükség fejlesztésre, hanem el kell készíteni az új módszertan szerinti kockázatelemzéseket, ki kell dolgozni a belső eljárásrendeket az incidensek kezelésére és jelentésére, a harmadik fél IKT-szolgáltatók kockázatainak kezelésére stb.
Egyéb jogszabályi változások (pl. a távoli ügyfél-azonosítást érintő szabályozás módosulása) vagy új csalásmegelőzési mechanizmusok miatt előfordulhat, hogy az ügyfelek újfajta biztonsági ellenőrzésekkel találkoznak, de ezek függetlenek a DORA bevezetésétől.