2023.01.26.

Hatályba lépett az új kiberbiztonsági szabályozás, a DORA rendelet. Összefoglaltuk a legfontosabb tudnivalókat

Szerző:

2023. január 16-án hatályba lépett a DORA rendelet, amely biztosítja a pénzügyi szektor kibertámadásokkal szembeni nagyobb ellenállóképességét. A rendelet harmonizálja és szigorítja a pénzügyi szektor informatikai biztonsági szabályait, hogy súlyos működési zavarok esetén is reziliens tudjon maradni. A rendelet 2023. január 17. napjától hatályos. Összefoglaltuk a legfontosabb tudnivalókat dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója segítségével.

Az Európai Unió rendelet formájában harmonizált szabályozási keretet hozott létre, amely megerősíti a pénzügyi szervezetek információs és kommunikációs technológiai (IKT) biztonságát. A Rendelet az egységes kiberbiztonsági előírásokat öt fő területen szabályozza:

  1. Vezető testületek, vezetők irányítási követelményei.
  2. ICT kockázatkezelés követelményei.
  3. Digitális működési reziliencia tesztelés.
  4. Külső szolgáltatók kockázatainak kezelése, szerződések és felügyelet.
  5. Információmegosztás.

Az öt fő területtel kapcsolatos részleteket ebben a cikkben foglaltuk össze: DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak.

Cél: a kiberfenyegetések megelőzése, enyhítése

A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek, valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat – például felhőplatformokat vagy adatelemzési szolgáltatásokat – nyújtanak e vállalkozások és szervezetek számára.

A rendelet létrehozza a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden vállalkozásnak gondoskodnia kell arról, hogy az IKT-hez kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani.

Ezek a követelmények valamennyi uniós tagállamban egységesek. A fő cél a kiberfenyegetések megelőzése és enyhítése.

Kikre vonatkozik a DORA rendelet?

A rendelet kötelezően alkalmazandó összesen 20-féle pénzügyi szervezetre és nekik IT szolgáltatást nyújtó külső szolgáltatókra, függetlenül attól, hogy kiszervezés keretében, vagy egyéb módon nyújtják ezen szolgáltatásaikat.

A célzott külső szolgáltatók közé tartoznak mindazok, akik felhőszolgáltatást, szoftverfejlesztési, support, digitális szolgáltatást, adatszolgáltatást (adatelemzés, adatközpont, automata döntéshozatal, adatkezelés) nyújtanak a pénzügyi szervezeteknek, nem terjed ki azonban a rendelet hatálya a hardver beszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internet szolgáltatók).

Készülnek a technikai standardok

Az érintett európai felügyeleti hatóságok, például az Európai Bankhatóság (EBH), az Európai Értékpapírpiaci Hatóság (ESMA), valamint az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság (EIOPA) kidolgozza azokat a technikai standardokat, amelyeket minden pénzügyi szolgáltatónak be kell tartania – a bankoktól a biztosítókon át a vagyonkezelőkig.

A standardoknak való megfelelést az illetékes nemzeti hatóságok fogják ellenőrizni, és szükség szerint foganatosítják a rendeletet.

DORA - kiberbiztonsag

DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak | 2022.03.30.

Az Európai Bizottság 2021-ben a Digitális Pénzügyi Csomag részeként közzétette a pénzügyi szektorra vonatkozó digitális működési reziliencia rendelettervezetet (Digital Operational Resilience Act – DORA), amellyel a teljes EU-s pénzügyi szektorra egységes, arányossági és kockázatalapú megközelítésen alapuló kiberbiztonsági követelményeket kíván bevezetni a fogyasztói bizalom növelése és a határon átnyúló működés megkönnyítése érdekében. A DORA rendelet nem titkoltan nagyban merít az EBA (Európai Bankhatóság), ESMA (Európai Értékpapír-piaci Hatóság) és EIOPA (Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság) infokommunikációs technológiai (ICT), kiszervezési, biztonsági vonatkozású iránymutatásaiból, amely mellett az uniós jog korábbi vívmányai, így az adatvédelem, adatbiztonság terén a GDPR, a kritikus infrastruktúra irányelv, a NIS direktíva és a PSD2 irányelv is alkalmazandók maradnak.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék: