Cikksorozatunkban a CMS Budapest senior szakértőjével, dr. Horváth Katalinnal járjuk körbe a DORA rendelet várható részleteit. Ezúttal az IKT szolgáltatók fő kötelzettségei kerülnek fókuszba.
A DORA rendelet (az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról) a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek (arról, hogy mi minősül IKT szolgáltatásnak, korábbi cikkünkben olvashat az alábbi linken).
Azok az IKT szolgáltatók, amelyek pénzügyi intézményeknek nyújtanak olyan IKT szolgáltatásokat, amelyek a rendelet hatálya alá tartoznak, számos kötelezettséggel és feladattal szembesülnek annak ellenére, hogy közvetlen hatálya a DORA rendeletnek csak a kritikus IKT szolgáltatókra van.
Közvetetten azonban minden ilyen IKT szolgáltatót érinteni fog a rendelet az alábbiak szerint:
Az IKT szolgáltatónak és a pénzügyi szervezetnek írásbeli szerződést kell kötnie egymással. Azt azonban a szerződésre irányadó nemzeti jog határozza meg, hogy az adott országban mi minősül írásbelinek, amely az elektronikus módon kötött szerződéseknél eltérő megoldásokat tehet szükségessé. Szükséges ezért ennek előzetes ellenőrzése.
A szerződésnek tartalmaznia kell bizonyos előírt kötelező szerződéses elemeket, amelyek többek között a felmondási, a teljesítményellenőrzési és az ellenőrzési jogokat tartalmazzák.
Az IKT szolgáltatót a DORA rendelet alapján a pénzügyi intézmények fel fogják hívni arra, hogy nyújtsanak be audit jelentéseket, tanúsítványokat, például ISO, SOC stb. a megfelelőségük igazolására. A rendelet előírja a pénzügyi intézmények számára, hogy az IKT-szolgáltatásokra vonatkozó szerződés megkötése előtt kellő gondossággal vizsgálják meg az IKT-szolgáltatót, hogy felmérjék annak alkalmasságát, mivel csak olyan szolgáltatót bízhatnak meg, amely megfelel az alkalmazandó információbiztonsági szabványoknak.
A rendelet alapján a pénzügyi szervezetek a folyamatos compliance programjuk részeként legalább évente fogják kérni ezen információk, dokumentumok rendelkezésre bocsátását.
A fentieken túlmenően az IKT szolgáltató köteles lesz részt venni (fenyegetések által vezetett) penetrációs tesztekben a pénzügyi intézménnyel együttműködve.
Az IKT szolgáltató köteles részt venni a pénzügyi intézmény digitális működési reziliencia tesztelési programjában különböző, a rendeletben felsorolt tesztek elvégzésével (például sebezhetőségi, nyílt forráskódú, hálózati, fizikai biztonsági, forráskód-ellenőrzési, teljesítmény tesztek).
Az IKT szolgáltató köteles lesz jelenteni a pénzügyi intézménynek a biztonsági és adatvédelmi incidenseket is.
Az IKT szolgáltató, ha több intézmény részére is nyújt szolgáltatást, köteles lesz a különböző pénzügyi intézmények adatainak logikai elkülönítésére is.
A pénzügyi intézményeknek biztonsági mentési kötelezettségei vannak, amelyeket bizonyos esetekben, így például felhőszolgáltatás, szoftverüzemeltetés esetén az IKT szolgáltatóra igyekezhetnek hárítani – így az adatok/szolgáltatások biztonsági mentése, helyreállítása, helyreállítása kötelező lehet, ha a pénzügyi intézmény biztonsági mentési szolgáltatásokat rendel meg.
A pénzügyi intézményeknek a DORA értelmében működési reziliencia/üzletmenet-folytonossági kötelezettségeik vannak (beleértve a szerződésből való kilépést is), amelyeket valószínűleg igyekeznek majd áthárítani az IKT szolgáltatókra. Ennek eredményeképpen a szolgáltatónak el kell készítenie az IKT üzletmenet-folytonossági tervet és szabályzatot (BCP), az IKT katasztrófa utáni helyreállítási tervet (DRP), az incidenskezelési tervet, az audittervet, az IT-biztonsági, a hozzáférési és egyéb szabályzatot.
További előírások a kritikus IKT szolgáltatókra
A kritikus IKT szolgáltatókra további kötelezettségek hárulnak, amelyek zöme a felügyelő hatóság felé áll fenn.
A rendelet megfogalmaz egy általános, hatóságokkal történő együttműködési kötelezettséget is, amely alapján a kritikus IKT szolgáltató köteles jóhiszeműen együttműködni a vezető felvigyázó hatósággal, és segíteni őt feladatai ellátásában.
A rendelet alapján a szolgáltatót további specifikus kötelezettségek is terhelik a hatóság irányába:
A kritikus IKT szolgáltató köteles lesz válaszolni a vezető felvigyázó hatóság (EBA, EIOPA vagy ESMA) kérésére vagy határozatára, amely előírja, hogy ha a szolgáltató kritikus IKT szolgáltatónak minősül, a vezető felvigyázó hatóság számára a DORA szerinti feladatai ellátásához szükséges információkat szolgáltassa, beleértve minden vonatkozó üzleti vagy működési dokumentumot, szerződést, szakpolitikai dokumentációt, IKT biztonsági ellenőrzési jelentést, IKT-vel kapcsolatos incidensjelentést, valamint minden olyan félre vonatkozó információt, akinek a szolgáltató operatív funkciókat vagy tevékenységeket szervez ki.
A hatóság várhatóan sok információt fog kérni, mivel a vezető felvigyázónak fel kell használnia azokat annak értékeléséhez, hogy a kritikus IKT-szolgáltató rendelkezik-e átfogó, megbízható és hatékony szabályokkal, eljárásokkal és intézkedésekkel a pénzügyi szervezetek számára esetlegesen jelentkező IKT-kockázat kezelésére. A vezető felvigyázó az alvállalkozással kapcsolatos információkat is kérhet.
A kritikus IKT szolgáltató köteles részt venni a vezető felvigyázó vizsgálatában (amely megkövetelheti a szolgáltatótól, hogy hozzáférést biztosítson a nyilvántartásokhoz, adatokhoz, eljárásokhoz és egyéb releváns anyagokhoz, és azokról másolatokat készítsen), többek között azáltal, hogy a személyzettel interjút készít, vagy magyarázatot ad.
A kritikus IKT szolgáltató köteles engedélyezni a vezető felvigyázónak a telephelyére való bejutást helyszíni ellenőrzés lefolytatása céljából.
A kritikus IKT szolgáltató köteles továbbá értesíteni a vezető felvigyázó hatóságot az érintett uniós leányvállalatának vezetési struktúrájában bekövetkezett minden változásról is.
A kritikus IKT szolgáltatónak a felügyeleti tevékenységek befejezése után jelentést kell készítenie, amelyben meghatározza a vezető felvigyázó hatóság ajánlásaihoz kapcsolódóan tett intézkedéseit és a jogorvoslati lehetőségeit.
A pénzügyi intézmény irányába is van többlet kötelezettsége a kritikus IKT szolgáltatónak, ugyanis köteles értesíteni a pénzügyi szervezeteket, amelyeknek szolgáltatást nyújt, ha kritikusnak minősítették.
A fenti kötelezettségek elmulasztása az IKT szolgáltatóval szemben pénzbírság kiszabását (és nyilvánosságra hozatalát) eredményezheti.
Mindezeken túlmenően a kritikus IKT szolgáltatónak felvigyázási díjat is kell fizetnie. A DORA rendelethez további szabályozástechnikai standard-ok kerülnek kiadásra a következő időszakban, amelyek további kötelezettségeket róhatnak az IKT szolgáltatókra.
További cikkeink a DORA rendelettel kapcsolatban:
Címlapfotó: stock.adobe.com – Editorial | Licenc: FinTech Group