Az Ön böngészője nem támogatott. Kérjük használjon Chrome, Firefox vagy Safari böngészőt. További részletek

4iG|{{ portfolioStock.last }} Ft

{{ portfolioStock.change_percent }}

DORA (Digital Operational Resilience Act)

Megoldás a DORA kihívásaira

Az Európai Unió kiberbiztonsági szabályozásainak célja, hogy új, korszerű szabályokkal erősítse a kibervédelmet, iránymutatást nyújtson az érintett szervezeteknek a kiberbiztonságuk hatékony fejlesztéséhez.

A NIS2 IRÁNYELV MELLETT A PÉNZÜGYI SZERVEZETEK ESETÉBEN A DORA (DIGITAL OPERATIONAL RESILIENCE ACT) AZAZ AZ EU 2022/2554. SZÁMÚ RENDELETE AZ IRÁNYADÓ, AMELY ÁGAZATSPECIFIKUS UNIÓS JOGI AKTUSNAK MINŐSÜL.⁣ ⁣ ⁣

A rendelet speciális, jellemzően szigorúbb szabályokat fogalmaz meg a hatálya alá tartozó érintett pénzügyi szervezetekre és IKT szolgáltatókra vonatkozóan (az információs és kommunikációs technológiák szolgáltatóira is) a kibertámadások pénzügyi ágazatra gyakorolt hatásának minimalizálása érdekében.

A rendelet megalkotásának célja az IKT-kockázatkezelésre vonatkozó szabályok harmonizációja, a digitális reziliencia növelése, standardok rögzítése és a felügyeleti jogkörök erősítése annak érdekében, hogy a pénzügyi szervezetek képesek legyenek ellenállni és zökkenőmentes szolgáltatást nyújtani egy kibertámadás esetén is. Ennek megfelelően a szabályozás középpontjában a pénzügyi szolgáltatások elérhetősége és integritása áll, ezzel hozzájárulva a fogyasztói és a piaci bizalom megóvásához.

Az érintett szervezetek DORA rendeletnek való megfelelése biztosítja az EU pénzügyi rendszerének stabilitását és biztonságát.

A DORA a pénzügyi szervezetekre és IKT szolgáltatókra vonatkozó európai uniós rendelet.

A szabályozás célja, hogy a pénzügyi szervezetek képesek legyenek ellenállni és zökkenőmentes szolgáltatást nyújtani egy kibertámadás esetén is.

A szabályozás középpontjában a pénzügyi szolgáltatások elérhetősége és integritása áll, ezzel hozzájárulva a fogyasztói és piaci bizalom megóvásához.

Az érintett szervezeteknek 2025 január 17-ig kell elérni a DORA megfelelőséget, azaz fel kell vizsgálniuk a jelenlegi működésüket és megtenni a szükséges fejlesztéseket a megfelelés érdekében.

A szabályozás előírásokat tartalmaz az IKT kockázatkezelésre, incidens kezelésre, a digitális működési reziliencia képesség tesztelésére, és a harmadik féltől eredő IKT kockázatok kezelésére.

A 4iG kiberbiztonsági üzletágának számos portfólióeleme segítséget nyújthat a megfelelés eléréséhez.

Kire vonatkozik?

A rendelet hatálya a pénzügyi intézményekre és azokra az IKT szolgáltatókra terjed ki, akik az említett szervezetek számára IKT rendszereket és szolgáltatásokat biztosítanak.


– hitelintézetek;
– pénzforgalmi intézmények, ideértve az (EU) 2015/2366 irányelv alapján mentességet élvező pénzforgalmi intézményeket is;
– számlainformációkat összesítő szolgáltatók;
– elektronikuspénz-kibocsátó intézmények, ideértve a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézményeket is;
– befektetési vállalkozások;
– a kriptoeszközök piacairól, valamint az 1093/2010/EU és az 1095/2010/EU rendelet, továbbá a 2013/36/EU és az (EU) 2019/1937 irányelv módosításáról szóló európai parlamenti és tanácsi rendelet (a továbbiakban: a kriptoeszközök piacairól szóló rendelet) alapján engedélyezett kriptoeszköz-szolgáltatók, valamint az eszközalapú tokenek kibocsátói;
– központi értéktárak;
– központi szerződő felek;
– kereskedési helyszínek;
– kereskedési adattárak;
– alternatívbefektetésialap-kezelők;
– alapkezelő társaságok;
– adatszolgáltatók;
– biztosítók és viszontbiztosítók;
– biztosításközvetítők, viszontbiztosítás-közvetítők és a kiegészítő biztosításközvetítői tevékenységet végző személyek;
– foglalkoztatói nyugellátást szolgáltató intézmények;
– hitelminősítő intézetek;
– kritikus referenciamutatók kezelői;
– közösségi finanszírozási szolgáltatók;
– értékpapírosítási adattárak;
– harmadik fél IKT-szolgáltatók.
(2) E rendelet alkalmazásában az (1) bekezdés a)-t) pontjában említett szervezetek együttes megnevezése: „pénzügyi szervezetek”.
(3) Ez a rendelet nem alkalmazandó a következőkre:
a) a 2011/61/EU irányelv 3. cikkének (2) bekezdésében említett alternatívbefektetésialap-kezelők;
b) a 2009/138/EK irányelv 4. cikkében említett biztosítók és viszontbiztosítók;
c) olyan nyugdíjkonstrukciókat működtető foglalkoztatói nyugellátást szolgáltató intézmények, amely nyugdíjkonstrukciók összesen nem rendelkeznek tizenötnél több taggal;
d) a 2014/65/EU irányelv 2. és 3. cikke alapján mentességet élvező természetes vagy jogi személyek; e) mikrovállalkozásnak vagy kis- vagy középvállalkozásnak minősülő biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek;
f) a 2013/36/EU irányelv 2. cikke (5) bekezdésének 3. pontjában említett postai elszámolóközpontok. (4) A tagállamok kizárhatják e rendelet hatálya alól a 2013/36/EU irányelv 2. cikke (5) bekezdésének 4-23. pontjában említett, saját területükön található jogalanyokat. Amennyiben valamely tagállam él az ilyen lehetőséggel, arról – valamint az ezzel kapcsolatos minden későbbi változásról is – tájékoztatja a Bizottságot. A Bizottság honlapján vagy egyéb könnyű hozzáférést biztosító úton nyilvánosságra hozza az említett információkat.

Milyen követelményeket támaszt a DORA rendelet?

A DORA az egységes kiberbiztonsági előírásokat alapvetően öt fő területen szabályozza. 

1. IKT kockázatkezelés

A pénzügyi szervezeteknek átfogó kockázatkezelési és belső irányítási keretrendszereket kell kialakítaniuk, amely biztosítja az IKT-kockázat eredményes és prudens kezelését a digitális működési reziliencia magas szintjének elérése érdekében.

2. IKT vonatkozású események kezelése, osztályozása, bejelentése

A pénzügyi szervezeteknek incidensmenedzsment keretében eljárásrendek alapján ki kell alakítaniuk az incidensek kezelésére vonatkozó folyamatot, amelynek ki kell terjednie az események észlelésére, osztályozására, a hatóságoknak történő határidőn belüli jelentésre és az események utókövetésére is.

3. Digitális működési reziliencia tesztelése

A DORA rendelet hangsúlyt fektet az IKT- vonatkozású események kezelésére való felkészültség értékelésére és fejlesztésére, ezért a pénzügyi szervezeteknek a digitális működési reziliencia tesztelésére átfogó programot kell kialakítani. A rendszeres tesztelések célja, hogy azonosításra kerüljenek a digitális működési reziliencia gyengeségei és hiányosságai, megtörténjen a védelmi intézkedések hatékonyságának értékelése, valamint, hogy a tesztek során feltárt problémákat a szervezet maradéktalanul kezelje.

4. Harmadik féltől eredő IKT kockázatok kezelése

A pénzügyi szervezeteknek a harmadik féltől eredő IKT-kockázatot az IKT-kockázat integráns összetevőjeként kell kezelniük az IKT-kockázatkezelési keretrendszerükön belül a meghatározott elvekkel összhangban, kidolgozott stratégia mentén. A szerződéses megállapodások kötelező tartalmi elemeinek meghatározása mellett a DORA olyan szempontokat is kötelezően vizsgálandóvá tesz, mint az alternatív megoldások azonosítása, kilépési stratégiák meghatározása, valamint a IKT-koncentrációs kockázat szervezetszintű előzetes értékelése.

5. Információmegosztásra vonatkozó rendelkezések

A DORA lehetőséget teremt a pénzügyi szervezetek számára, hogy a kiberbiztonsági védelmi rendszerük részeként a kibefenyegetésekkel kapcsolatban információkat és hírszerzést osszanak meg egymással. Ez ahhoz járul hozzá, hogy a pénzügyi szervezetek javíthassák digitális működési rezilienciájukat - különösen a kiberfenyegetésekkel kapcsolatos tudatosság növelésével, terjedési képességének korlátozásával vagy megakadályozásával, a védelmi képességek, a fenyegetésészlelési módszerek, a mérséklési stratégiák vagy a reagálási és helyreállítási megoldások támogatásával.

Mi a megfelelés határideje?

  • Tervezet közzététele: 2020. szeptember 24.
  • Megállapodás: 2022. november 28.
  • Hatálybalépés: 2023. január 16.
  • Szabványtervezetek kidolgozása (RTS, ITS vagy SZTS és VTS)
  • Érvényesítés: 2025. január 17.

A pénzügyi szervezeteknek és az IKT-szolgáltatóknak 2025 január 17-ig kell elérni a DORA megfelelőséget, azaz az érintett szervezeteknek eddig az időpontig kell felülvizsgálniuk a jelenlegi működésüket és megtenni a szükséges fejlesztéseket a megfelelés érdekében. A rendeletben meghatározott technikai szabványokat (közös szabályozástechnikai standardtervezetek (RTS-ek) és végrehajtás-technikai standardtervezetek (ITS-ek)) az Európai Felügyeleti Hatóságok (EBA, ESMA, EIOPA) dolgozzák ki, azok véglegesítése és közzététele az idei évben folyamatosan történik, időt biztosítva az érintett szervezetek számára az útmutatók és specifikációk megismerésére.

Hatóság, szankciók

2025 január 17. után, azaz a végrehajtási időszakot követően a felügyeletet az egyes EU tagállamok illetékes hatóságai látják el. Ezek a hatóságok jogosultak biztosítani a DORA szabályok betartását, biztonsági és orvosló intézkedések kérésével, valamint büntetések kiszabásával a nem megfelelőség esetén.

A magyar jogalkotó a Magyar Nemzeti Bankot jelölte ki a pénzügyi szervezetek DORA megfelelésének, valamint a jelentős IKT-vonatkozású események és a jelentős kiberfenyegetések bejelentésének felügyeletére illetékes hatóságként. Várhatóan az MNB kerül kijelölésre a DORA szerinti TLPT (fenyegetés alapú behatolási tesztelés – threat-led penetration testing) hatóságként is.

A rendelet szankciókat is meghatároz, a nem megfelelőség büntetései magukban foglalhatják a napi átlagos világszintű forgalom 1%-áig terjedő bírságokat a nem megfelelő IKT szolgáltatók számára.

Hogyan készüljön fel a DORA rendelet által támasztott követelmények teljesítésére?

Az érintett szervezeteknek az arányosság elvével összhangban szükséges végrehajtani a DORA rendelet szabályait. Figyelembe kell venniük az érintett szervezet méretét és általános kockázati profilját, valamint szolgáltatásai, tevékenységei és működése jellegét, nagyságrendjét és összetettségét.

Első lépésként javasoljuk egy GAP elemzés elvégzését, amely során tanácsadóink összevetik a DORA rendeletben és a közzétett részletszabályokban előírt követelményeket a szervezet jelenlegi működésével, folyamataival és védelmi megoldásaival. Célunk, hogy a GAP elemzés alapján átfogó képet kapjunk az esetlegesen azonosított hiányosságokról és fejlesztendő területekről, amelyet követően egy kockázatelemzésen alapuló intézkedési terv összeállítására kerülhet sor. Az érintett szervezetek segítségünkkel tisztában lesznek azzal, hogy melyek azok a területek, hiányzó vagy hiányos védelmi rendszerek, melyek fejlesztésére valójában szükség van.

A felkészülés második szakaszában tanácsadóink és szakértőink segítségével - az intézkedési terv alapján - megtörténhet a biztonsági megoldások szükséges fejlesztése.

Portfóliónk számos eleme hozzájárulhat – a DORA megfelelés elérése mellett - az érintett szervezetek kiberbiztonsági érettségi szintjének növeléséhez.

Kockázatmenedzsment


A DORA rendelet a pénzügyi szektor digitális működésének biztonságát és ellenállóképességét szabályozza, előírva az IT-kockázatok hatékony kezelését. A rendelet megköveteli, hogy a szervezetek képesek legyenek az informatikai rendszereik kockázatainak azonosítására, kezelésére és a digitális fenyegetések elhárítására, így biztosítva a folyamatos üzletmenetet és a megfelelést.

Cégünk átfogó kockázatmenedzsment megoldásai támogatják ügyfeleinket a DORA-nak való megfelelésben. Kockázatelemzési és kezelési szolgáltatásaink révén segítünk feltárni az informatikai infrastruktúra gyenge pontjait, értékelni a potenciális fenyegetéseket, és kidolgozni a szükséges védelmi intézkedéseket. Megoldásaink nemcsak a kiberkockázatokra fókuszálnak, hanem az üzleti működés folyamatosságára is, biztosítva a gyors reagálást incidensek esetén, minimalizálva a leállások és adatvesztések kockázatát.

Incidensmenedzsment


A DORA rendeletnek való megfelelés egyik alapköve az információbiztonsági események és incidensek hatékony menedzsmentje, amely magában foglalja a fenyegetések időben történő észlelését, kezelését és jelentését. A jól kidolgozott, felelősségi körökre épülő és átgondolt folyamatok nemcsak a jogszabályi megfelelést biztosítják, hanem segítenek a károk minimalizálásában és a jövőbeli incidensek elkerülésében is.

Szakembereink többéves tapasztalattal rendelkeznek az incidenskezelés terén, és az általunk kialakított folyamatok a jogszabályi előírásoknak is megfelelnek. Az incidenskezelési folyamat kidolgozásakor figyelembe vesszük a szervezet adottságait, az aktuális kiberbiztonsági trendeket és a piaci jó gyakorlatokat. Az így létrejött folyamat nemcsak megfelel a DORA előírásainak, hanem hozzájárul ahhoz is, hogy az érintett szervezet valós védelmi intézkedéseket alkalmazzon. Szakembereink átfogó incidensmenedzsment szolgáltatása teljes körű megoldást nyújt, az incidens észlelésétől kezdve a reagáláson át egészen a probléma megoldásáig.

Közreműködés digitális működési reziliencia tesztelésében


A DORA rendelet előírja, hogy a pénzügyi szektor szervezetei rendszeresen teszteljék digitális működési rezilienciájukat a rendszerbiztonság és a fenyegetések elleni védelem érdekében. Közreműködésünkkel a szervezetek azonosíthatják és kezelhetik a potenciális gyenge pontokat, mielőtt azok jelentős problémákat okozhatnának.

Szolgáltatásunk magában foglalja a kiberbiztonsági gyakorlatok és vészhelyzeti forgatókönyvek tesztelését, hogy felmérjük a rendszerek, folyamatok és emberek ellenállóképességét valós szituációk során. Szakértőink az aktuális fenyegetési trendek és piaci jó gyakorlatok figyelembevételével, átfogó tesztelési és értékelési folyamatokat alkalmaznak. Az eredmények alapján konkrét ajánlásokat teszünk a védelmi intézkedések javítására és a kockázatok csökkentésére. Így biztosítjuk, hogy ügyfeleink megfeleljenek a DORA követelményeinek és erősítjük digitális ellenálló képességüket a jövőbeli kihívásokkal szemben.

Harmadik féltől eredő IKT-kockázat kezelése


A DORA rendelet kiemelt figyelmet fordít a harmadik féltől eredő IKT-kockázatok kezelésére. A jogi megfelelés mellett fontos, hogy az érintett szervezetek proaktívan foglalkozzanak ezzel a témával, mivel egy beszállítónál jelentkező probléma jelentős károkat okozhat. Az ellátási láncok biztonságának biztosítása érdekében alapvető az üzletmenet-folytonosság fenntartása, a kommunikációs csatornák folyamatos felügyelete, a sebezhetőségek folyamatos javítása, az incidensek időbeni észlelése és kezelése, valamint a felhasználók biztonságtudatosságának növelése. Az átfogó harmadik féltől származó kockázatkezelési stratégiák elősegítik, hogy a szervezetek hatékonyan reagáljanak a potenciális fenyegetésekre és minimalizálják a kockázatokat.

SajtóMEGJELENÉS

HVG BrandChannel

DORA: biztonság, nem csak papíron

Miközben Európa-szerte a NIS2 feltételeinek teljesítésével foglalkoznak a vállalatok, a pénzintézeteket hidegen hagyja az európai uniós direktíva. Több oka is van ennek az „érdektelenségnek”. A bankokra vonatkozó korábbi szabályozás már eleve olyan szigorú feltételeket támasztott a piac szereplőinek működése felé, ami miatt a NIS2 bevezetése érdemben nem lenne hatással. Említést érdemel, hogy a magyar felügyeleti szerv, a Magyar Nemzeti Bank korábban is erősebb IT-biztonsági környezetet követelt meg a magyar pénzügyi szervezetektől...

Tovább a cikkhez

Köszönjük érdeklődését!

Kollégáink hamarosan felveszik Önnel a kapcsolatot!

Rendben

Hiba történt az elküldés során!

Kérjük próbálja újra később. Amennyiben a következő alkalommal is ezt a hibaüzenetet kapja, kérjük jelezze a webteam@4ig.hu email címen.

Kérdése van? Szeretné elkezdeni a felkészülést még ma? Forduljon hozzánk bizalommal, 4iG és Invitech ITB üzletágaink kollégái felveszik önnel a kapcsolatot!

Kötelező mező hibaüzenet

Kötelező mező hibaüzenet

Kötelező mező hibaüzenet

Email validációs hibaüzenet

Ismeretlen validációs hibaüzenet

Kötelező mező hibaüzenet

Érvénytelen telefonszám hibaüzenet

Ismeretlen validációs hibaüzenet