2023.01.18.

Itt a digitális transzformáció irányait kijelölő térkép a bankok, fintech cégek számára

Szerző:

Kategóriák:

A következő évek digitális transzformációs irányait jelöli ki az EU jogalkotási térképe, amelyet dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója mutatott be tavaly év végén a FinTechShow-n. A bankok, fintech cégek digitális fejlesztéseinek meghatározó részét a szabályozói megfelelés teszi ki, ezért a 2023-as (és a következő) év(ek) digitális projektjeinek tervezésekor érdemes egy pillantást vetni erre a térképre is. Összefoglaló azok számára, akik időben fel akarnak készülni a bank- és fintech szektor digitális fejlődését meghatározó változásokra.

Az EU jogalkotási térképe a bank- és fintech szektorra

A legfontosabb tudnivalók a bank- és fintech szektor digitális fejlődését meghatározó EU-s jogalkotási lépésekről. 10+1 EU-s irányelv, rendelet és módosítás, amelyek hatással lesznek a digitális pénzügyi technológiák fejlődésére, a digitális pénzügyi szolgáltatásokra a következő években.

EU jogalkotási térkép bankok fintech cégek számára

Forrás: dr. Horváth Katalin, a CMS Hungary senior tanácsadójának a FinTechShow 6.0 konferencián tartott előadásából

1. DORA rendelet: Digitális Működési Reziliencia előírásai a bankszektorban és a Fintech módosító irányelv a DORA összhang megteremtésére

Mit szabályoz?

  • A pénzügyi szervezetekre alkalmazandó követelmények:
    1. Tájékozott, felelős és képzett menedzsment
    2. Kockázatkezelési követelmények: IKT stratégiák, szabályzatok, eljárásrendek, auditok, kontrollfunkciók, védelem és megelőzés, kontroll funkciók, BCP? DRP, Backup
    3. Jelentős, IKT-vonatkozású biztonsági események bejelentése.
    4. A digitális működési reziliencia tesztelése, penetrációs tesztek.
  • Adatmegosztás – kiberfenyegetések és sebezhetőségek.
  • Harmadik féltől eredő IKT-kockázatok kezelése (beszállítók): nyilvántartás, hatósági bejelentési kötelezettség, lényeges és kritikus funkciók azonosítása, kockázatértékelés, IKT koncentrációs kockázatértékelés, exit stratégia, due diligence
  • Harmadik fél IKT-szolgáltatók és pénzügyi szervezetek közötti szerződések követelményei.
  • Kritikus IKT beszállítók felvigyázási kerete – kritikus szolgáltatók kijelölése, hatósági felvigyázása, értékelése, bírságok.
  • Hatóságok – együttműködés, felügyelet és végrehajtás.
  • Összes érintett meglévő irányelv hozzáigazítása a DORA-hoz (MIFID2, CRD, PSD2, SOLVENCY2

A felkészülés lépései:

  • Új munkakörök létrehozása: IKT auditor, média szóvivő incidensekre
  • IKT beszállítókkal kötött szerződések felülvizsgálata
  • Belső stratégiák, szabályzatok, eljárásrendek felülvizsgálata
  • Kockázatértékelések elkészítése

Új dokumentáció:

  • Digitális reziliencia stratégia
  • Mentési szabályzat
  • Krízis kommunikációs terv
  • Incidens kommunikációs terv és szabályzat
  • IKT koncentrációs kockázatértékelés
DORA - kiberbiztonsag

DORA Rendelet – új uniós kiberbiztonsági szabályozás a pénzügyi szektornak | 2022.03.30.

Az Európai Bizottság 2021-ben a Digitális Pénzügyi Csomag részeként közzétette a pénzügyi szektorra vonatkozó digitális működési reziliencia rendelettervezetet (Digital Operational Resilience Act – DORA), amellyel a teljes EU-s pénzügyi szektorra egységes, arányossági és kockázatalapú megközelítésen alapuló kiberbiztonsági követelményeket kíván bevezetni a fogyasztói bizalom növelése és a határon átnyúló működés megkönnyítése érdekében.

2. DORA testvére, a Hálózati és Információbiztonsági (NIS2) irányelv

Mit szabályoz?

Kötelezettségek a tagállamok számára a kiberbiztonsági stratégia elfogadására, a hatóságok, az egyedüli kapcsolattartó pontok és a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) kijelölésére.

„Alapvető szervezetek” (pl. energia, bank, pénzügy stb.) és „fontos szervezetek” számára külön előírások:

  • Kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek.
  • Beszállítók kiberbiztonsági gyakorlatának ellenőrzése.
  • Bejelentési kötelezettség szolgáltatásnyújtásra jelentős hatással vagy potenciális hatással bíró eseményről, kiberfenyegetésről
  • IKT termékek és szolgáltatások kötelező tanúsítása az európai tanúsítási rendszerben
A hatály alá nem tartozó szervezetek önkéntes bejelentései jelentős eseményekről, kiberfenyegetésekről, majdnem bekövetkezett eseményekről.

A felkészülés lépései:

  • Kiberbiztonsági kockázatértékelések elvégzése.
  • Beazonosítás, hogy alapvető vagy fontos szervezetnek minősül-e a szolgáltató.
  • Beszállítók ellenőrzése.
  • Beszállítói szerződések módosítása.
  • Felkészülés a bejelentési kötelezettségek teljesítésére.
  • Kötelező tanúsítások elvégzése.

3. Cyber Resilience Act (CRA Rendelet)

Mit szabályoz?

Kiberbiztonsági előírások a digitális elemeket tartalmazó termékekre (szoftver és hardver), amik kapcsolatban állnak egy eszközzel vagy hálózattal.

Kritikus termékekre szigorúbb szabályok (jelszókezelő rendszer, vírusírtó, VPN, távoli hozzáférés szoftverek, operációs rendszerek, tűzfalak, intelligens kártyák, stb.).

A gyártókat terhelő új kötelezettségek:

  • Kiberbiztonsági kockázatértékelés.
  • Security by design.
  • Alapvető kiberbiztonsági követelmények betartása.
  • Sebezhetőségi vizsgálatok, sebezhetőség bejelentési és incidens bejelentési kötelezettség.
  • Vásárlók tájékoztatása a frissítésekről, adatok eltávolításáról, termék használatáról.

A felkészülés lépései:

  • Saját fejlesztésű banki, fintech rendszereknél a kritikus termékek azonosítása.
  • Saját fejlesztésű rendszereknél a felsorolt dokumentációk elkészítése, eljárásrendek bevezetése.
  • Saját fejlesztésű rendszereknél az ügyfelek tájékoztatása.

4. MiCA Rendelet – a kriptoeszközök új szabályozása

Mit szabályoz?

  • Európai szinten egységesíti a kriptoeszközökre, kibocsátóikra, felajánlókra és a szolgáltatókra vonatkozó szabályokat.
  • Hatálya kizárólag azon kriptoeszkökre terjed ki, amelyek az uniós pénzügyi szolgáltatási jogszabályok alapján nem minősülnek pl. pénzügyi eszköznek, betétnek, vagy struktúrált betétnek.

A felkészülés lépései:

  • A rendelet értelmében azok a szolgáltatók, amelyek az EU területén általános kriptoeszközöket hoznak nyilvános forgalomba vagy ezeket kereskedési platformokra kívánják bevezetni – és nem tartoznak mentesség hatálya alá – részletes szabályoknak kell megfelelniük.
kriptovalutak mica szabalyozas

Szigorú szabályozásra számíthatnak a kriptoeszközök szolgáltatói | 2021.01.22.

Az Európai Tanács új rendelet tervezete értelmében a kriptoeszközök szolgáltatóinak leghamarabb két év múlva szigorú engedélyezési, szervezeti és közzétételi szabályoknak kell megfelelniük. Az európai szabályozók a digitális pénzügyi csomag keretében kidolgozták a más szabályozott terméknek nem minősülő, kriptoeszközök piacairól szóló, ún. MiCA rendelettervezetet.

5. DLT Pilot Regime rendelet az elosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről

Mit szabályoz?

Regulatory sandbox jellegű szabályozás és kísérleti rendszer bevezetése a DLT-n alapuló, a MiFID II alapján pénzügyi eszköznek minősülő kriptoeszközökkel kapcsolatos piaci infrastruktúrákra, mint például:

  • DLT alapú multilaterális kereskedési rendszerek (DLT MTF-ek).
  • DLT alapú értékpapír elszámolási rendszerek (DLT SSS).
  • DLT kereskedési és elszámolási rendszerek (DLT TSS).

Pénzügyi eszközök tokenizációjának segítése.

DLT alapú pénzügyi eszközök kereskedésének és elszámolásának fejlesztése.

Pénzügyi eszközök másodlagos piacának ösztönzése.

Önkéntes csatlakozás.

EU jog alóli egyes mentességek, könnyítések biztosítása (például CDSR alóli mentességek).

A felkészülés lépései:

  • Önkéntes csatlakozás benyújtása.

6. AI Act

Mit szabályoz?

Célja a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapítása.

  • MI-rendszerek EU-n belüli forgalomba hozatala, üzembe helyezése és használata.
  • Kockázat alapú megközelítés:
    • Elfogadhatatlan kockázatú MI: teljes tilalom.
    • Magas kockázatú AI (biometrikus azonosítás, hitelképesség vizsgálat, munkaerő toborzás, biztosítás scoring) – szigorúbb adatvédelem, kötelező dokumentáció, nyilvántartás, átláthatóság, tájékoztatási kötelezettség, emberi felügyelet, robosztusság, pontosság és biztonság, előzetes megfelelőségértékelés.
    • Korlátozott kockázatú AI (chatbotok, érzelemfelismerő rendszerek): átláthatóság, tájékoztatás.
    • Minden más AI: nincs külön kötelezettség.
  • Piaci nyomon követés és piacfelügyelet, bírság (6%, max. 30 millió EUR).

A felkészülés lépései:

  • AI rendszerek azonosítása, bekategorizálása.
  • Magas kockázatú AI rendszerek felmérése, dokumentáció elkészítése, nyilvántartás vezetés, tájékoztatási és egyéb kötelezettségek teljesítése.
  • Korlátozott kockázatú AI rendszerek azonosítása, átláthatósági, tájékoztatási kötelezettségek teljesítése

7. Irányelv a határon átnyúló AI által szerződésen kívül okozott kárért való felelősségre

Mit szabályoz?

Az AI rendszert több országban is használó pénzügyi intézményeket, Fintech szereplőket érinti.

A mesterséges intelligencia által szerződésen kívül okozott károkért való felelősség szabályait harmonizálja EU szinten, amikor az AI rendszerek szolgáltatói vagy alkalmazói felróhatóan nem felelnek meg az AI Act előírásainak.

Nagy kockázatú AI esetén a bíróság elrendelheti még per előtt a megfelelést igazoló dokumentumok átadását a perre készülő károsultnak (üzleti titkot bíróság mérlegeli). Ha nem adja át, vélelem amellett, hogy nem felelt meg az AI Act-nek.

Vélelem arra, hogy van ok-okozati összefüggés az MI által okozott kár és az MI szolgáltató/alkalmazó felróható magatartása között.

A felkészülés lépései:

  • Magas kockázatú AI dokumentáció gondos elkészítése, hogy a bírósági eljárásban egyből felhasználható legyen, megfelelő védelmet adjon a bírósági eljárásban, de még megfeleljen az AI Act-nek is.
  • AI-re vonatkozó beszállítói és ügyfél szerződésekben a felelősségkizáró rendelkezések átszövegezése.

8. European Digital Identity Regulation – az eIDAS Rendelet módosítása

Mit szabályoz?

Digitális azonosítás uniós szintű harmonizálása.

Európai digitális személyazonosság tárca létrehozása és kibocsátási feltételeinek meghatározása:

  • Elektronikus azonosítás alapján működik.
  • Tárolja és kezeli a személyazonossághoz kapcsolódó adatokat és attribútumokat, átadja kérésre szolgáltatóknak.
  • Tárolható benne az összes nemzeti személyazonosító és más dokumentumok is (pl. jövedelemigazolás).
  • QES és minősített bélyegző hozható létre benne.
  • Köz- és magánszolgáltatóknál használható személyazonosításra és hitelesítésre EU-szerte.
  • Csak egyszer kell megadni az adatokat hozzá.
  • Beépített kiberbiztonsági előírások.
  • A magánszemély dönti el, hogy melyik szolgáltatónak mely adatokat, mely dokumentumokat adja át a tárcából.

Európai Digitális Identitás Testület (EDIB) létrehozása.

Három új bizalmi szolgáltatás bevezetése:

  • Elektronikus archiválási szolgáltatás.
  • Elektronikus főkönyvek.
  • Távoli e-aláírást és bélyegzőt létrehozó eszközök kezelése.

A felkészülés lépései:

  • A mostani eIDAS-on és nemzeti előírásokon alapuló ügyfélazonosítási és hitelesítési rendszerek lecserélése a banki szerződések megkötésében.
  • A technológiai fejlesztések elvégzése a Tárcákból történő adatok átvételére.
  • A pénzmosási szabályzatok módosítása.
  • Elektronikus archiválási szolgáltatások igénybevétele.

9. Digital Services Act (DSA) és Digital Markets Act (DMA)

Mit szabályoz?

DSA:

  • Online platformokra és online óriásplatformokra, keresőmotorokra bejelentési, átláthatósági, jelentéstételi kötelezettségek előírása, szerződéses feltételek meghatározása, belső panaszkezelési rendszer létrehozása, visszaélésekkel szembeni intézkedések, online hirdetések átláthatósága, algoritmusok átláthatósága.
  • Banki online piacterekre is alkalmazandó lesz, külön szabályok: üzleti partnerek átvilágítása, értékesített termékek és szolgáltatások átvilágítása.
  • BNPL modellben jelentősége lesz.
  • Érinti a bankok tárhelyszolgáltatóit, felhőszolgáltatóit is.
  • BigTech FinTech és banki szolgáltatásait is érinti.

DMA:

  • Új versenyjogi keretrendszer a „kapuőr” platformszolgáltatók számára.
  • Operációs rendszerek, felhőszolgáltatások, hirdetési szolgáltatások, hirdetési hálózatok, keresőmotorok, hirdetési piacterek, közösségi média.
  • Átláthatósági előírások.
  • Üzleti felhasználók szabadsága.

A felkészülés lépései:

  • Banki online piacterekre vonatkozó szerződési feltételek módosítása, értékesítő partnerek és termékeik átvilágítása.
  • Online hirdetések és algoritmusok átláthatóságával kapcsolatos kötelezettségek teljesítése.
  • Tárhely és felhőszolgáltató beszállítókkal kötött szerződések módosítása.
  • Kapuőrnek minősülő szolgáltatóval kötött szerződések módosítása (op. rendszer, felhőszolgáltatók, stb.).

10. PSD3

Mit szabályoz?

  • A PSD2 Irányelv felülvizsgálata.
  • Az online fizetési szolgáltatások használatának megkönnyítése és biztonságosabbá tétele.
  • A fizetési szolgáltatások felhasználóinak jobb védelme a csalással, visszaélésekkel és fizetési problémákkal szemben.
  • Az innovatív pénzforgalmi szolgáltatások előmozdítása.
  • A pénzforgalmi szolgáltatásokat igénybe vevők jogainak megerősítése.

A felkészülés lépései:

  • Még nincs jogszabályszöveg.

+1. Rendelet a határokon átnyúló azonnali fizetésekre

Mit szabályoz?

  • A határokon átnyúló azonnali fizetési megoldások támogatása.
  • Hatékony ösztönzők a pénzforgalmi szolgáltatók számára, hogy azonnali átutalásokat kínáljanak euróban.
  • A fogyasztókra az azonnali átutalásokért felszámított díjak kérdésének kezelése.
  • A SEPA azonnali átutaláson alapuló fizetési megoldások és rendszerek interoperabilitásának támogatása.
  • Technikai standardok kialakítása.

A felkészülés lépései:

  • AFR 1.0 és 2.0 alapján kifejlesztett rendszerek mellett az EU-s AFR rendszer kialakítása
fizetesi-kerelem-azonnali-fizetes

Új EU rendelet javaslat a határokon átnyúló azonnali fizetésekre | 2022.10.19.

Miközben Magyarországon a Magyar Nemzeti Bank (MNB) az azonnali fizetési rendszer (AFR) 2020. márciusi bevezetését követően már az AFR 2.0 verzióján dolgozik, és célja az, hogy 2030-ra a tranzakciók fele elektronikusan menjen végbe, az Európai Bizottság még csak most gondolkodik a határon átnyúló azonnali fizetések egységes uniós szabályozásáról annak széttöredezettsége miatt.
Címlapfotón: dr. Horváth Katalin, a CMS Hungary technológiai jogi csapatának szenior tanácsadója. Fotó forrása: FinTech Group Kft. Készítette: Kovács Dávid.

Címkék: