2023.01.26.

Hatályba lépett az új kiberbiztonsági szabályozás, a DORA rendelet. Összefoglaltuk a legfontosabb tudnivalókat

Kategóriák:

Csalásmegelőzés és kibervédelem | DORA-rendelet | Összes hír | Szabályozás

2023. január 16-án hatályba lépett a DORA rendelet, amely biztosítja a pénzügyi szektor kibertámadásokkal szembeni nagyobb ellenállóképességét. A rendelet harmonizálja és szigorítja a pénzügyi szektor informatikai biztonsági szabályait, hogy súlyos működési zavarok esetén is reziliens tudjon maradni. A rendelet 2023. január 17. napjától hatályos. Összefoglaltuk a legfontosabb tudnivalókat dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója segítségével.

Az Európai Unió rendelet formájában harmonizált szabályozási keretet hozott létre, amely megerősíti a pénzügyi szervezetek információs és kommunikációs technológiai (IKT) biztonságát. A Rendelet az egységes kiberbiztonsági előírásokat öt fő területen szabályozza:

Vezető testületek, vezetők irányítási követelményei.
ICT kockázatkezelés követelményei.
Digitális működési reziliencia tesztelés.
Külső szolgáltatók kockázatainak kezelése, szerződések és felügyelet.
Információmegosztás.

Az öt fő területtel kapcsolatos részleteket ebben a cikkben foglaltuk össze: DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak.

Cél: a kiberfenyegetések megelőzése, enyhítése

A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek, valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat – például felhőplatformokat vagy adatelemzési szolgáltatásokat – nyújtanak e vállalkozások és szervezetek számára.

A rendelet létrehozza a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden vállalkozásnak gondoskodnia kell arról, hogy az IKT-hez kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani.

Ezek a követelmények valamennyi uniós tagállamban egységesek. A fő cél a kiberfenyegetések megelőzése és enyhítése.

Kikre vonatkozik a DORA rendelet?

A rendelet kötelezően alkalmazandó összesen 20-féle pénzügyi szervezetre és nekik IT szolgáltatást nyújtó külső szolgáltatókra, függetlenül attól, hogy kiszervezés keretében, vagy egyéb módon nyújtják ezen szolgáltatásaikat.

A célzott külső szolgáltatók közé tartoznak mindazok, akik felhőszolgáltatást, szoftverfejlesztési, support, digitális szolgáltatást, adatszolgáltatást (adatelemzés, adatközpont, automata döntéshozatal, adatkezelés) nyújtanak a pénzügyi szervezeteknek, nem terjed ki azonban a rendelet hatálya a hardver beszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internet szolgáltatók).

Készülnek a technikai standardok

Az érintett európai felügyeleti hatóságok, például az Európai Bankhatóság (EBH), az Európai Értékpapírpiaci Hatóság (ESMA), valamint az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság (EIOPA) kidolgozza azokat a technikai standardokat, amelyeket minden pénzügyi szolgáltatónak be kell tartania – a bankoktól a biztosítókon át a vagyonkezelőkig.

A standardoknak való megfelelést az illetékes nemzeti hatóságok fogják ellenőrizni, és szükség szerint foganatosítják a rendeletet.

DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak | 2022.03.30.

Az Európai Bizottság 2021-ben a Digitális Pénzügyi Csomag részeként közzétette a pénzügyi szektorra vonatkozó digitális működési reziliencia rendelettervezetet (Digital Operational Resilience Act – DORA), amellyel a teljes EU-s pénzügyi szektorra egységes, arányossági és kockázatalapú megközelítésen alapuló kiberbiztonsági követelményeket kíván bevezetni a fogyasztói bizalom növelése és a határon átnyúló működés megkönnyítése érdekében. A DORA rendelet nem titkoltan nagyban merít az EBA (Európai Bankhatóság), ESMA (Európai Értékpapír-piaci Hatóság) és EIOPA (Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság) infokommunikációs technológiai (ICT), kiszervezési, biztonsági vonatkozású iránymutatásaiból, amely mellett az uniós jog korábbi vívmányai, így az adatvédelem, adatbiztonság terén a GDPR, a kritikus infrastruktúra irányelv, a NIS direktíva és a PSD2 irányelv is alkalmazandók maradnak.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék:

DORA | DORA-rendelet | informatikai biztonság | kiberbiztonság

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description