Az Európai Bizottság 2021-ben a Digitális Pénzügyi Csomag részeként közzétette a pénzügyi szektorra vonatkozó digitális működési reziliencia rendelettervezetet (Digital Operational Resilience Act – DORA), amellyel a teljes EU-s pénzügyi szektorra egységes, arányossági és kockázatalapú megközelítésen alapuló kiberbiztonsági követelményeket kíván bevezetni a fogyasztói bizalom növelése és a határon átnyúló működés megkönnyítése érdekében. A DORA rendelet nem titkoltan nagyban merít az EBA (Európai Bankhatóság), ESMA (Európai Értékpapír-piaci Hatóság) és EIOPA (Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság) infokommunikációs technológiai (ICT), kiszervezési, biztonsági vonatkozású iránymutatásaiból, amely mellett az uniós jog korábbi vívmányai, így az adatvédelem, adatbiztonság terén a GDPR, a kritikus infrastruktúra irányelv, a NIS direktíva és a PSD2 irányelv is alkalmazandók maradnak.
A Rendelettervezet az egységes kiberbiztonsági előírásokat öt fő területen szabályozza:
- Vezető testületek, vezetők irányítási követelményei.
- ICT kockázatkezelés követelményei.
- Digitális működési reziliencia tesztelés.
- Külső szolgáltatók kockázatainak kezelése, szerződések és felügyelet.
- Információmegosztás.
Kikre vonatkozik a DORA rendelet?
A rendelettervezet kötelezően alkalmazandó lesz összesen 20-féle pénzügyi szervezetre és nekik IT szolgáltatást nyújtó külső szolgáltatókra, függetlenül attól, hogy kiszervezés keretében, vagy egyéb módon nyújtják ezen szolgáltatásaikat.
A célzott külső szolgáltatók közé tartoznak mindazok, akik felhőszolgáltatást, szoftverfejlesztési, support, digitális szolgáltatást, adatszolgáltatást (adatelemzés, adatközpont, automata döntéshozatal, adatkezelés) nyújtanak a pénzügyi szervezeteknek, nem terjed ki azonban a rendelet hatálya a hardver beszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internet szolgáltatók).
Tájékozott, felelős és képzett vezető testület a pénzügyi szervezetek élén
A DORA rendelettervezet megerősíti a pénzügyi szervezetek vezető testületeit, és egy olyan felelős vezető testületet vár el, amely teljes felelősséggel tartozik az ICT kockázatokrét, kijelöli az ICT funkciókra és feladatokra a felelősségi köröket, meghatározza a szervezet ICT kockázat toleranciáját, jóváhagyja, ellenőrzi és felülvizsgálja a szervezet üzletmenet folytonossági és katasztrófa helyreállítási terveit és ICT auditjait, megfelelő költségvetést, erőforrást és képzést biztosít a kibervédelmi feladatok ellátására és létrtehoz egy külön munkakört a külső megállapodások nyomokövetésére.
A vezetőkkel szembeni elvárás, hogy tájékozottak legyenek a szervezet külső szolgáltatókkal kötött szerződéseiről, a biztonsági eseményekről, azok kezeléséről, és rendszeres képzésben részesülnek az ICT kockázatokkal kapcsolatos ismereteik és készségeik fejlesztésére.
Az ICT kockázatkezelés az iparági standardek és jó gyakorlatok jogszabályba foglalásával
A rendelettervezet a pénzügyi szervezet üzleti igényeivel, méretével, tevékenysége jellegével arányos kockázatkezelési keretrendszer létrehozását várja el a pénzügyi szervezetektől, amelynek keretében a fent jelzett EBA/ESMA/EIOPA iránymutatásokból és a Magyar Nemzeti Bank (MNB) ajánlásaiból már jól ismert IT biztonsági stratégiát, kiberbiztonsági szabályzatokat (információbiztonsági, hálózatbiztonsági, jogosultság és hozzáférés kezelési szabályzat, stb.) eljárásokat (tesztelés, audit, változásmenedzsment, incidenskezelés, BCP, DRP), protokollokat és eszközöket követel meg.
A mikrovállalkozásoknál nagyobb szereplők kötelesek nemzetközi standardokon alapuló információbiztonsági irányítórendszert bevezetni, és az MNB által már régóta megkövetelt három védelmi vonal modellnek megfelelően szükséges lesz az irányítási, kontroll és belső ellenőrzési funkciók különválasztása is.
Nagy hangsúlyt fektet a rendelettervezet az ICT kockázatkezelési keretrendszer éves felülvizsgálatára és a szervezetek kötelesek lesznek ICT ellenőrt alkalmazni az ICT kockázatkezelési keretrendszer ellenőrzésére. Újdonságként megköveteli a rendelettervezet a digitális reziliencia stratégia elkészítését is a jogszabálytervezetben meghatározott kötelező tartalommal.
Nagy figyelem hárul az ICT eszközök, a kiberfenyegetések, sebezhetőségek azonosítására, osztályozására és dokumentálására is, amelynek folyományaként kockázati forgatókönyvek készítése és éves felülvizsgálata lesz majd kötelező.
A rendelettervezet segítséget nyújt a megkövetelt szabályzatok elkészítéséhez is, mivel részletes listát tartalmaz arról, hogy milyen kötelező elemeknek kell szerepelni a digitális reziliencia stratégiában, a változáskezelési szabályzatban, a mentési szabályzatban, az ICT üzletmenet folytonossági és katasztrófa helyreállítási tervben vagy a válságkommunikációs tervben és mindezekhez szabályozástechnikai standardok is fognak készülni. Új munkakörként minden szervezetnek ki kell jelölnie egy médiaszóvivőt is.
Az új jogszabály lefekteti a mentési rendszerrel szembeni alapvető követelményeket, amelyek megegyeznek az eddig is elvárt jó iparági gyakorlattal: a mentési rendszernek az alaprendszertől eltérő védett környezetben, attól elkülönülten kell lennie, a katasztrófa helyreállítási helyszínnek (DR site) pedig földrajzilag elkülönültnek, azonnal hozzáférhetőnek és a kulcsszolgáltatások ellátására képesnek kell lennie.
A biztonsági események kezelésében az eddigi jó piaci gyakorlatok kerültek beépítésre a jogszabályba, a rendeletben meghatározott tartalmú incidenskezelési eljárásrendet kell minden szervezetnek kialakítania, az incidensek bejelentése pedig a PSD2 irányelvből már jól ismert előzetes, időközi és zárójelentés hármas struktúrában fog történni.
Új szabályok a digitális reziliencia tesztelésére
A digitális működési reziliencia tesztelése körében az ICT eszközöket és rendszereket legalább évente egyszer szükséges tesztelni, és csak jó szakmai reputációval rendelkező, akkreditált tesztelő végezheti a tesztelést, amely megfelelő szervezettel, erőforrással és felelősségbiztosítással rendelkezik a munka elvégzésére.
A teszteléshez eljárásrendek, szabályzatok készítését várja el a rendelettervezet, amelynek keretében például sebezhetőségi, hálózatbiztonsági, fizikai biztonsági vizsgálatokat kell elvégezni, gap analízist kell készíteni, szoftver forráskódokat, penetrációs teszteket kell végeztetni.
A fenyegetettségi alapú penetrációs teszteket legalább 3 évente kell elvégeztetni egy erre akkreditált független tesztelővel.
Egységes szabályok a külső szolgáltatókra, új szabályok a kulcsfontosságú beszállítókra
Az európai hatóságok iránymutatásaiból és az MNB ajánlásaiból már jól ismert eljárásrendeket emeli jogszabályi szintre a rendelettervezet a külső szolgáltatókkal kapcsolatban, amikor előírja a külső szolgáltatói ICT függőségek vizsgálatát, az érintett funkció lényegességi, kritikussági értékelését, a pénzügyi szolgáltatások folytonosságára és minőségére gyakorolt hatását.
Ehhez a pénzügyi szervezeteknek külső szolgáltatókra vonatkozó stratégiát és szabályzatot kell alkotniuk, amelynek elemeit majd szabályozástechnikai standard fogja meghatározni. A külső szolgáltatók nyilvántartását és bejelentését, előzetes átvilágítását, exit stratégia készítését, a beszállítói lánc vizsgálatát eddig is megkövetelte az MNB, ez nem fog újdonságot jelenteni a magyar pénzügyi szervezeteknek a DORA rendelet alapján.
A magyar MNB ajánlások szerint eddig is írásba kellett foglalni a külső szolgáltatókkal kötött szerződéseket, ezt a DORA rendelettervezet is előírja, és a magyar piaci szereplőknek a DORA-ban lévő kötelező szerződési tartalom lista is ismerős már az MNB outsourcing ajánlásából, így az sem fog nagy meglepetést okozni.
Ami viszont újdonság a külső szolgáltatók vonatkozásában, hogy a kulcsfontosságú ICT szolgáltatókra külön szabályok fognak vonatkozni. A felügyeleti hatóság jelöli ki, hogy mely szolgáltató minősül kulcsfontosságúnak, amelynek mérlegeléséhez figyelembe veszi a szolgáltató üzemzavara esetén bekövetkező rendszerszintű hatásokat, az adott szolgáltatást használó szervezetek számát, jellegét, kapcsolatát, a helyettesíthetőségét, az érintett tagállamok számát.
Ezen kulcsfontosságú külső szolgáltatók fölé szektortól függően kijelölésre kerül az EBA/ESMA/EIOPA felvigyázó szervezetként, amely minden szolgáltató vonatkozásában egyedi felvigyázási tervet fog készíteni, értékeli a szolgáltatót, információkérési, vizsgálati, ellenőrzési joggal fog rendelkezni, ajánlásokat adhat ki a szolgáltatónak és bírságot szabhat ki a szolgáltatóval szemben (átlagos napi világpiaci forgalom 1%-a).
A kulcsfontosságú külső szolgáltatók jegyzéke közzétételre kerül a nemzeti felügyeletek által, és maga a szolgáltató is kérheti felvételét a jegyzékbe. A külső szolgáltatók mindezért úgynevezett felvigyzázási díjat lesznek kötelesek fizetni.
Szabad információmegosztás a pénzügyi szervezetek között
A jogszabálytervezet lehetővé teszi, hogy a pénzügyi szervezetek információkat adjanak át egymásnak illetéktelen hozzáférésre utaló körülményekről, taktikákról, módszerekről, eljárásokról, kiberfenyegetési riasztásokra vonatkozóan. Az információmegosztás a szervezetek közötti megállapodás alapján, az Üzleti titoktartásra vonatkozó rendelkezések betartásával lehetséges.
Nem kell félnetek, jó lesz
Összességében elmondható, hogy a magyar szigorú felügyeleti gyakorlatnak köszönhetően
nagyon sok újdonsággal nem fognak szembesülni a magyar piaci szereplők, mivel az előírások javarésze már iránymutatásokban, MNB ajánlásokban eddig is megjelent és a pénzügyi szervezetek ezen keretek között működtek.
A meglévő szabályzatokat majd a rendelettervezet által előírt tartalomnak megfelelően módosítani lesz szükséges, és a hiányzó szabályzatokat, eljárásrendeket is be kell vezetni. Az a pénzügyi szervezet azonban, amelyik eddig is megfelelt az MNB elvárásainak, valószínűleg nem fog a DORA rendelettervezet miatt leküzsdhetetlen akadályokba ütközni a megfelelésben.
Címlapfotó forrása: stock.adobe.com by Feodora | Licenc: FinTech Group
