A pénzügyi szolgáltatók számára mindig fókuszban van a jövő; nemcsak a technológiai újítások, hanem a szabályozás változása miatt is. Cikksorozatunkban a CMS Budapest senior szakértőjével, dr. Horváth Katalinnal járjuk körbe a DORA rendelet várható részleteit.
A DORA rendelet (az Európai Parlament és a Tanács (EU) 2022/2554 rendelete – 2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek.
Az IKT szolgáltatás fogalma nem egyértelmű
A DORA Rendelet az IKT szolgáltatások fogalmát azonban az eddigi EBA, ESMA és EIPOA kiszervezési iránymutatásoktól eltérően határozza meg, ami azt jelenti, hogy az eddigiekhez képest jóval tágabb azon IKT szolgáltatók által a pénzügyi szektornak nyújtott szolgáltatások köre, amelyekre a DORA Rendelet szabályait kell alkalmazni.
Az IKT szolgáltatás rendeletbeli fogalma pedig nem kristálytiszta, több kérdést is felvet a gyakorlatban. Ahhoz, hogy akár a pénzügyi intézmény, akár az IKT beszállító el tudja dönteni, hogy vonatkozik-e rá a DORA rendelet, először meg kell vizsgálnia, hogy milyen IKT szolgáltatásokról van szó, egyáltalán a DORA rendelet hatálya alá tartozik-e a nyújtott/igénybe venni kívánt szolgáltatás.
A rendelet alapján az IKT szolgáltatások az alábbiak:
„IKT-rendszerek útján egy vagy több belső vagy külső felhasználó részére folyamatos jelleggel nyújtott digitális és adatszolgáltatások, ideértve a hardvert mint szolgáltatást és a hardverszolgáltatásokat, ami magában foglalja a hardverszolgáltató általi szoftver- vagy belsőrendszervezérlőprogram-(firmware-)frissítéseket is, ide nem értve a hagyományos analóg telefonszolgáltatásokat.”
A rendelet preambuluma a fenti fogalommal kapcsolatban rögzíti, hogy az IKT-szolgáltatások fogalommeghatározását e rendelet összefüggésében tágan kell értelmezni, úgy, hogy az magában foglalja az IKT-rendszer útján egy vagy több belső vagy külső felhasználó részére folyamatosan nyújtott digitális és adatszolgáltatásokat.
Az említett fogalommeghatározásnak például magában kell foglalnia az – elektronikus hírközlési szolgáltatások kategóriájába tartozó – úgynevezett „over-the-top” szolgáltatásokat is. A fogalommeghatározásból kizárólag a közcélú kapcsolt távbeszélő-hálózati szolgáltatásoknak, vezetékes szolgáltatásoknak, hagyományos telefonszolgáltatásoknak vagy vezetékes telefonszolgáltatásoknak minősülő, hagyományos analóg telefonszolgáltatások korlátozott kategóriáját kell kizárni.
A rendelet preambuluma azt is rögzíti továbbá, hogy a rendeletnek a harmadik fél IKT-szolgáltatók széles körére – köztük a felhőalapú számítástechnikai szolgáltatásokat, szoftvereket, adatelemzési szolgáltatásokat kínáló szolgáltatókra és az adatközpont-szolgáltatásokat nyújtó szolgáltatókra – kell vonatkoznia.
A fenti fogalom meghatározásokból egyértelmű, hogy a rendelet hatálya alá tartozik valamennyi felhőszolgáltatás, beleértve a publikus, közösségi, privát felhőt és a PaaS, IaaS, SaaS szolgáltatásokat is.
Mitől „folyamatosan nyújtott” egy IKT szolgáltatás?
Kevésbé egyértelmű a rendelet szövege alapján az, hogy a szoftverekre vonatkozó szolgáltatások, hardver mint szolgáltatás, egyéb digitális és adatelemzési, adatközpont szolgáltatások közül melyekre kell alkalmazni az új szabályokat. A rendelet ugyanis kiköti, hogy csak a folyamatos jelleggel nyújtott szolgáltatások tartoznak ide, azonban a folyamatos jellegre definíciót nem ad.
Ez pedig a gyakorlatban értelmezési problémákhoz vezethet, hiszen szolgáltatásonként kell majd egyedileg eldönteni, hogy az adott digitális, szoftver- vagy, adattal kapcsolatos szolgáltatás vajon folyamatosan nyújtottnak minősül-e.
A felhőszolgáltatások, szoftvertámogatási, szoftver karbantartási, hardver és szoftver üzemeltetési, adatközpont, adattárolási, adatelemzési, analitikai, adat monitoring, adatbeviteli szolgáltatások, mivel azokat rendszerint tartós jogviszonyban nyújtják, nagy valószínűséggel beleesnek majd ebbe a körbe.
A tartós szoftver licencia szerződések is a DORA rendelet hatálya alá eshetnek ez alapján, függetlenül attól, hogy a szoftver licencia alapján a licencadó semmilyen hozzáféréssel nem fog rendelkezni az éles adatokhoz és a pénzügyi intézmény IT rendszeréhez – mivel ez utóbbi már nem követelmény a rendelet alkalmazhatóságához, ellentétben például a kiszervezés jelenlegi magyar jogi fogalmával.
Mi a helyzet a projekt jellegű vagy határozott idejű IKT szolgáltatásokkal?
A projekt jellegű IKT szolgáltatásoknál, amelyeket nem folyamatosan, hanem egyedi megrendelésre, meghatározott időkeretben, projekt alapon nyújtanak, általában Statement of Services/Work (SoS/SoW) alapján, azonban nem egyértelmű a megítélés. Ide tartoznak például a rendszer és szoftver implementációs projekt feladatok, rendszer és szoftver design, dokumentációkészítési, adatmigrációs, adattisztítási feladatok, testreszabási, lokalizációs, paraméterezési, szoftverfejlesztési munkák.
Ezek esetében lehet úgy értelmezni, hogy a DORA rendelet nem alkalmazandó, vagyis az ezekre kötött szerződéseknek nem kell a DORA rendelet szerinti kötelező elemeket tartalmazniuk.
A másik nyitott kérdés pedig az, hogy a nem projekt jelleggel, de csak határozott ideig nyújtott digitális és adatszolgáltatások vajon beleesnek-e a rendelet hatályába, mondható-e az, hogy például az 1 évre kötött szoftver support szerződés alapján az IKT szolgáltató folyamatosan nyújtja a szolgáltatást.
Ha ez egy automatikusan megújuló szerződés, akkor nagy valószínűséggel a rendelet hatálya alá fog esni, ha azonban a szerződés a határozott idő lejártával megszűnik és nincs lehetőség az automatikus megújításra, akkor akár azzal is lehetne érvelni, hogy ezek nem folyamatosan nyújtott szolgáltatások.
Amik biztosan nem esnek a DORA hatálya alá
Vannak továbbá olyan szolgáltatások, amelyeket nem IKT rendszerek útján nyújtanak, és nem digitális vagy adat jellegű szolgáltatások, és ezért nem esnek a rendelet hatálya alá. Ide tartoznak a pusztán szoftver, IT és egyéb tanácsadásra vonatkozó szerződések, IT biztonsági tanácsadási szerződések, a hardver beszerzési szerződések, oktatási szolgáltatások, amelyekre nem kell a DORA rendeletet alkalmazni.
Mindezek alapján mind a pénzügyi intézmények, mind az IKT szolgáltatók oldalán szükséges egyedileg elemezni az egyes szolgáltatásokat, és ez alapján egyedileg kell majd eldönteni, hogy vajon a szerződésre fog-e vonatkozni a DORA rendelet vagy sem – ami pedig nagy terhet ró majd a pénzügyi intézmények és az IKT beszállítók jogi és IT részlegeire, amelyek együttműködése elengedhetetlen lesz a fenti kérdések megválaszolásához.
A bankok digitális jövőjét meghatározó technológiai trendekkel, az újgenerációs megoldásokkal 2023. november 23-án a BankTechShow-n foglalkozunk Magyarország vezetői banki és IT cégeinek technológiai és üzleti vezetőivel közösen. További részletek: BankTechShow 1.0
Kapcsolódó cikkek:
- Itt a digitális transzformáció irányait kijelölő térkép a bankok, fintech cégek számára, 2023.01.18.
- Hatályba lépett az új kiberbiztonsági szabályozás, a DORA rendelet. Összefoglaltuk a legfontosabb tudnivalókat, 2023.01.26.
- DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak, 2022.03.30.
Címlapfotón: dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója a FinTechShow-n. Fotó forrása: FinTech Group Kft. Készítette: Kovács Dávid