2024. október 15.
FinTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2024. november 26.
BankTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2023.10.19.

DORA Rendelet (2. rész): A külső IKT szolgáltatók fő kötelezettségei

Szerző: DR. HORVÁTH KATALIN

Kategóriák:

BankTech | BankTechShow | DORA-rendelet | Összes hír | Szabályozás

Cikksorozatunkban a CMS Budapest senior szakértőjével, dr. Horváth Katalinnal járjuk körbe a DORA rendelet várható részleteit. Ezúttal az IKT szolgáltatók fő kötelzettségei kerülnek fókuszba.

A DORA rendelet (az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról) a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek (arról, hogy mi minősül IKT szolgáltatásnak, korábbi cikkünkben olvashat az alábbi linken).

Azok az IKT szolgáltatók, amelyek pénzügyi intézményeknek nyújtanak olyan IKT szolgáltatásokat, amelyek a rendelet hatálya alá tartoznak, számos kötelezettséggel és feladattal szembesülnek annak ellenére, hogy közvetlen hatálya a DORA rendeletnek csak a kritikus IKT szolgáltatókra van.

Közvetetten azonban minden ilyen IKT szolgáltatót érinteni fog a rendelet az alábbiak szerint:

Az IKT szolgáltatónak és a pénzügyi szervezetnek írásbeli szerződést kell kötnie egymással. Azt azonban a szerződésre irányadó nemzeti jog határozza meg, hogy az adott országban mi minősül írásbelinek, amely az elektronikus módon kötött szerződéseknél eltérő megoldásokat tehet szükségessé. Szükséges ezért ennek előzetes ellenőrzése.

A szerződésnek tartalmaznia kell bizonyos előírt kötelező szerződéses elemeket, amelyek többek között a felmondási, a teljesítményellenőrzési és az ellenőrzési jogokat tartalmazzák.

Az IKT szolgáltatót a DORA rendelet alapján a pénzügyi intézmények fel fogják hívni arra, hogy nyújtsanak be audit jelentéseket, tanúsítványokat, például ISO, SOC stb. a megfelelőségük igazolására. A rendelet előírja a pénzügyi intézmények számára, hogy az IKT-szolgáltatásokra vonatkozó szerződés megkötése előtt kellő gondossággal vizsgálják meg az IKT-szolgáltatót, hogy felmérjék annak alkalmasságát, mivel csak olyan szolgáltatót bízhatnak meg, amely megfelel az alkalmazandó információbiztonsági szabványoknak.

A rendelet alapján a pénzügyi szervezetek a folyamatos compliance programjuk részeként legalább évente fogják kérni ezen információk, dokumentumok rendelkezésre bocsátását.

A fentieken túlmenően az IKT szolgáltató köteles lesz részt venni (fenyegetések által vezetett) penetrációs tesztekben a pénzügyi intézménnyel együttműködve.

Az IKT szolgáltató köteles részt venni a pénzügyi intézmény digitális működési reziliencia tesztelési programjában különböző, a rendeletben felsorolt tesztek elvégzésével (például sebezhetőségi, nyílt forráskódú, hálózati, fizikai biztonsági, forráskód-ellenőrzési, teljesítmény tesztek).

Az IKT szolgáltató köteles lesz jelenteni a pénzügyi intézménynek a biztonsági és adatvédelmi incidenseket is.

Az IKT szolgáltató, ha több intézmény részére is nyújt szolgáltatást, köteles lesz a különböző pénzügyi intézmények adatainak logikai elkülönítésére is.

A pénzügyi intézményeknek biztonsági mentési kötelezettségei vannak, amelyeket bizonyos esetekben, így például felhőszolgáltatás, szoftverüzemeltetés esetén az IKT szolgáltatóra igyekezhetnek hárítani – így az adatok/szolgáltatások biztonsági mentése, helyreállítása, helyreállítása kötelező lehet, ha a pénzügyi intézmény biztonsági mentési szolgáltatásokat rendel meg.

A pénzügyi intézményeknek a DORA értelmében működési reziliencia/üzletmenet-folytonossági kötelezettségeik vannak (beleértve a szerződésből való kilépést is), amelyeket valószínűleg igyekeznek majd áthárítani az IKT szolgáltatókra. Ennek eredményeképpen a szolgáltatónak el kell készítenie az IKT üzletmenet-folytonossági tervet és szabályzatot (BCP), az IKT katasztrófa utáni helyreállítási tervet (DRP), az incidenskezelési tervet, az audittervet, az IT-biztonsági, a hozzáférési és egyéb szabályzatot.

További előírások a kritikus IKT szolgáltatókra

A kritikus IKT szolgáltatókra további kötelezettségek hárulnak, amelyek zöme a felügyelő hatóság felé áll fenn.

A rendelet megfogalmaz egy általános, hatóságokkal történő együttműködési kötelezettséget is, amely alapján a kritikus IKT szolgáltató köteles jóhiszeműen együttműködni a vezető felvigyázó hatósággal, és segíteni őt feladatai ellátásában.

A rendelet alapján a szolgáltatót további specifikus kötelezettségek is terhelik a hatóság irányába:

A kritikus IKT szolgáltató köteles lesz válaszolni a vezető felvigyázó hatóság (EBA, EIOPA vagy ESMA) kérésére vagy határozatára, amely előírja, hogy ha a szolgáltató kritikus IKT szolgáltatónak minősül, a vezető felvigyázó hatóság számára a DORA szerinti feladatai ellátásához szükséges információkat szolgáltassa, beleértve minden vonatkozó üzleti vagy működési dokumentumot, szerződést, szakpolitikai dokumentációt, IKT biztonsági ellenőrzési jelentést, IKT-vel kapcsolatos incidensjelentést, valamint minden olyan félre vonatkozó információt, akinek a szolgáltató operatív funkciókat vagy tevékenységeket szervez ki.

A hatóság várhatóan sok információt fog kérni, mivel a vezető felvigyázónak fel kell használnia azokat annak értékeléséhez, hogy a kritikus IKT-szolgáltató rendelkezik-e átfogó, megbízható és hatékony szabályokkal, eljárásokkal és intézkedésekkel a pénzügyi szervezetek számára esetlegesen jelentkező IKT-kockázat kezelésére. A vezető felvigyázó az alvállalkozással kapcsolatos információkat is kérhet.

A kritikus IKT szolgáltató köteles részt venni a vezető felvigyázó vizsgálatában (amely megkövetelheti a szolgáltatótól, hogy hozzáférést biztosítson a nyilvántartásokhoz, adatokhoz, eljárásokhoz és egyéb releváns anyagokhoz, és azokról másolatokat készítsen), többek között azáltal, hogy a személyzettel interjút készít, vagy magyarázatot ad.

A kritikus IKT szolgáltató köteles engedélyezni a vezető felvigyázónak a telephelyére való bejutást helyszíni ellenőrzés lefolytatása céljából.

A kritikus IKT szolgáltató köteles továbbá értesíteni a vezető felvigyázó hatóságot az érintett uniós leányvállalatának vezetési struktúrájában bekövetkezett minden változásról is.

A kritikus IKT szolgáltatónak a felügyeleti tevékenységek befejezése után jelentést kell készítenie, amelyben meghatározza a vezető felvigyázó hatóság ajánlásaihoz kapcsolódóan tett intézkedéseit és a jogorvoslati lehetőségeit.

A pénzügyi intézmény irányába is van többlet kötelezettsége a kritikus IKT szolgáltatónak, ugyanis köteles értesíteni a pénzügyi szervezeteket, amelyeknek szolgáltatást nyújt, ha kritikusnak minősítették.

A fenti kötelezettségek elmulasztása az IKT szolgáltatóval szemben pénzbírság kiszabását (és nyilvánosságra hozatalát) eredményezheti.

Mindezeken túlmenően a kritikus IKT szolgáltatónak felvigyázási díjat is kell fizetnie. A DORA rendelethez további szabályozástechnikai standard-ok kerülnek kiadásra a következő időszakban, amelyek további kötelezettségeket róhatnak az IKT szolgáltatókra.

További cikkeink a DORA rendelettel kapcsolatban:

Címlapfotó: stock.adobe.com – Editorial | Licenc: FinTech Group

Címkék:

CMS Hungary | DORA | DORA-rendelet | szabályozás

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow

DORA Rendelet (2. rész): A külső IKT szolgáltatók fő kötelezettségei

További előírások a kritikus IKT szolgáltatókra

2024. október 15.
FinTechShow

2024. november 26.
BankTechShow