2023.11.03.

DORA Rendelet (4. rész): IKT szolgáltatókra vonatkozó szabályzatok

Szerző:

Kategóriák:

A DORA rendeletet körbejáró cikksorozatunkban dr. Horváth Katalinnal, a CMS Budapest senior szakértőjével ismerhetjük meg a szabályozás várható részleteit.

A DORA rendelet az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek (arról, hogy mi minősül IKT szolgáltatásnak, korábbi cikkünkben olvashat az alábbi linken).

Katalin Horvath

Előadás: DORA IKT szemszögből

dr. Horváth Katalin, CMS CEE, a technológiai jogi csapat szenior tanácsadója

BankTechShow 1.0: Hogyan épül a jövő digitális bankja? | 2023. november 23.

Bár a DORA-rendelet közvetlenül a pénzügyi intézményeket kötelezi arra, hogy készítsenek és tartsanak fenn különböző szabályzatokat, terveket az információs eszközök, szoftverek, hardverek, rendszerek és hálózatok védelmére, az IKT-szolgáltatóknak is hasonló szabályzatokat kell készíteniük, vagy legalábbis ki kell egészíteniük meglévő szabályzatukat.

A pénzügyi intézmények szempontjából a legfontosabb IKT kockázat az üzletmenet megszakadása, az információs eszközökben bekövetkező sérülés (adatvesztés, az adatok integritásának megsértése) és incidensek. A DORA-rendelet tehát előírja, hogy az IKT-szolgáltatóknak ezekre a területekre vonatkozó alábbi szabályzatokat, eljárásrendeket kell készíteniük:

  1. Üzletmenet folytonossági terv
  2. Katasztrófa elhárítási terv
  3. Kockázatkezelési politika
  4. Incidenskezelési terv, incidens bejelentési szabályzat, beleértve az incidensek osztályozására vonatkozó szabályzatot is, amelyre az EU Bizottság egy szabályozási és egy technikai standard-ot is kiadott, amely alapján ennek a politikának ki kell terjednie az incidensek és a kiberfenyegetések észlelésére, kezelésére és jelentésére és az alábbiakra is:
    1. Gyökérelemzés
    2. Dokumentáció
    3. Eljárások az IKT incidensek azonosítására, nyomon követésére, naplózására, kategorizálására és osztályozására.
    4. Szerepek és felelősségi körök, incidenskezelési szervezet, eszkalációs eljárások.
    5. Kommunikációs terv
    6. Az incidensek jelentése a pénzügyi intézményeknek a kötelező elemekkel és az előírt formátumban (a jelentések formátumára és tartalmára vonatkozó szabályozástechnikai standard).
  5. Ellenőrzési terv: az ellenőrzések típusai, gyakorisága.
  6. Informatikai biztonsági szabályzat;
  7. Biztonsági mentési szabályzat;
  8. Hozzáférési szabályzat
  9. Az IKT-szolgáltató helyiségeinek, létesítményeinek, adatközpontjainak fizikai biztonságára vonatkozó szabályzat (riasztórendszer, zárak, biztonsági őrök, belépési és hozzáférési jogok stb.).
  10. Adatvédelmi szabályzat (a GDPR szerint).

Címlapfotó: stock.adobe.com | Licenc: FinTech Group

Címkék: