Megoldás a DORA kihívásaira
Az Európai Unió kiberbiztonsági szabályozásainak célja, hogy új, korszerű szabályokkal erősítse a kibervédelmet, iránymutatást nyújtson az érintett szervezeteknek a kiberbiztonságuk hatékony fejlesztéséhez.
A NIS2 IRÁNYELV MELLETT A PÉNZÜGYI SZERVEZETEK ESETÉBEN A DORA (DIGITAL OPERATIONAL RESILIENCE ACT) AZAZ AZ EU 2022/2554. SZÁMÚ RENDELETE AZ IRÁNYADÓ, AMELY ÁGAZATSPECIFIKUS UNIÓS JOGI AKTUSNAK MINŐSÜL.
A rendelet speciális, jellemzően szigorúbb szabályokat fogalmaz meg a hatálya alá tartozó érintett pénzügyi szervezetekre és IKT szolgáltatókra vonatkozóan (az információs és kommunikációs technológiák szolgáltatóira is) a kibertámadások pénzügyi ágazatra gyakorolt hatásának minimalizálása érdekében.
A rendelet megalkotásának célja az IKT-kockázatkezelésre vonatkozó szabályok harmonizációja, a digitális reziliencia növelése, standardok rögzítése és a felügyeleti jogkörök erősítése annak érdekében, hogy a pénzügyi szervezetek képesek legyenek ellenállni és zökkenőmentes szolgáltatást nyújtani egy kibertámadás esetén is. Ennek megfelelően a szabályozás középpontjában a pénzügyi szolgáltatások elérhetősége és integritása áll, ezzel hozzájárulva a fogyasztói és a piaci bizalom megóvásához.
Az érintett szervezetek DORA rendeletnek való megfelelése biztosítja az EU pénzügyi rendszerének stabilitását és biztonságát.
A DORA a pénzügyi szervezetekre és IKT szolgáltatókra vonatkozó európai uniós rendelet.
A szabályozás célja, hogy a pénzügyi szervezetek képesek legyenek ellenállni és zökkenőmentes szolgáltatást nyújtani egy kibertámadás esetén is.
A szabályozás középpontjában a pénzügyi szolgáltatások elérhetősége és integritása áll, ezzel hozzájárulva a fogyasztói és piaci bizalom megóvásához.
Az érintett szervezeteknek 2025 január 17-ig kell elérni a DORA megfelelőséget, azaz fel kell vizsgálniuk a jelenlegi működésüket és megtenni a szükséges fejlesztéseket a megfelelés érdekében.
A szabályozás előírásokat tartalmaz az IKT kockázatkezelésre, incidens kezelésre, a digitális működési reziliencia képesség tesztelésére, és a harmadik féltől eredő IKT kockázatok kezelésére.
A 4iG kiberbiztonsági üzletágának számos portfólióeleme segítséget nyújthat a megfelelés eléréséhez.
Kire vonatkozik?
A rendelet hatálya a pénzügyi intézményekre és azokra az IKT szolgáltatókra terjed ki, akik az említett szervezetek számára IKT rendszereket és szolgáltatásokat biztosítanak.
• Hitelintézetek, pénzforgalmi intézmények
• Elektronikuspénz-kibocsátó intézmények
• Befektetési vállalkozások
• Kriptoeszköz-szolgáltatók, -kibocsátók, stb.
• Központi értéktárak
• Központi szerződő felek
• Kereskedési helyszínek
• Kereskedési adattárak
• Alternatív befektetésialap-kezelők
• Alapkezelő társaságok
• Adatszolgáltatók
• Biztosítók és viszontbiztosítók
• Közvetítők (biztosítás, viszontbiztosítás)
• Foglalkoztatói nyugellátást szolgáltató intézmények
• Hitelminősítő intézetek
• Kritikus referenciamutatók kezelői
• Közösségi finanszírozási szolgáltatók
• Értékpapírosítási adattárak
• IKT-val kapcsolatos szolgáltatást nyújtó harmadik fél szolgáltatók (pl. pénzügyi szervezetekkel kapcsolatban álló felhőszolgáltatók,
szoftverszolgáltatók, adatközpontok).
Milyen követelményeket támaszt a DORA rendelet?
A DORA az egységes kiberbiztonsági előírásokat alapvetően öt fő területen szabályozza.
1. IKT kockázatkezelés
A pénzügyi szervezeteknek átfogó kockázatkezelési és belső irányítási keretrendszereket kell kialakítaniuk, amely biztosítja az IKT-kockázat eredményes és prudens kezelését a digitális működési reziliencia magas szintjének elérése érdekében.
2. IKT vonatkozású események kezelése, osztályozása, bejelentése
A pénzügyi szervezeteknek incidensmenedzsment keretében eljárásrendek alapján ki kell alakítaniuk az incidensek kezelésére vonatkozó folyamatot, amelynek ki kell terjednie az események észlelésére, osztályozására, a hatóságoknak történő határidőn belüli jelentésre és az események utókövetésére is.
3. Digitális működési reziliencia tesztelése
A DORA rendelet hangsúlyt fektet az IKT- vonatkozású események kezelésére való felkészültség értékelésére és fejlesztésére, ezért a pénzügyi szervezeteknek a digitális működési reziliencia tesztelésére átfogó programot kell kialakítani. A rendszeres tesztelések célja, hogy azonosításra kerüljenek a digitális működési reziliencia gyengeségei és hiányosságai, megtörténjen a védelmi intézkedések hatékonyságának értékelése, valamint, hogy a tesztek során feltárt problémákat a szervezet maradéktalanul kezelje.
4. Harmadik féltől eredő IKT kockázatok kezelése
A pénzügyi szervezeteknek a harmadik féltől eredő IKT-kockázatot az IKT-kockázat integráns összetevőjeként kell kezelniük az IKT-kockázatkezelési keretrendszerükön belül a meghatározott elvekkel összhangban, kidolgozott stratégia mentén. A szerződéses megállapodások kötelező tartalmi elemeinek meghatározása mellett a DORA olyan szempontokat is kötelezően vizsgálandóvá tesz, mint az alternatív megoldások azonosítása, kilépési stratégiák meghatározása, valamint a IKT-koncentrációs kockázat szervezetszintű előzetes értékelése.
5. Információmegosztásra vonatkozó rendelkezések
A DORA lehetőséget teremt a pénzügyi szervezetek számára, hogy a kiberbiztonsági védelmi rendszerük részeként a kibefenyegetésekkel kapcsolatban információkat és hírszerzést osszanak meg egymással. Ez ahhoz járul hozzá, hogy a pénzügyi szervezetek javíthassák digitális működési rezilienciájukat - különösen a kiberfenyegetésekkel kapcsolatos tudatosság növelésével, terjedési képességének korlátozásával vagy megakadályozásával, a védelmi képességek, a fenyegetésészlelési módszerek, a mérséklési stratégiák vagy a reagálási és helyreállítási megoldások támogatásával.
Mi a megfelelés határideje?
- Tervezet közzététele: 2020. szeptember 24.
- Megállapodás: 2022. november 28.
- Hatálybalépés: 2023. január 16.
- Szabványtervezetek kidolgozása (RTS, ITS vagy SZTS és VTS)
- Érvényesítés: 2025. január 17.
A pénzügyi szervezeteknek és az IKT-szolgáltatóknak 2025 január 17-ig kell elérni a DORA megfelelőséget, azaz az érintett szervezeteknek eddig az időpontig kell felülvizsgálniuk a jelenlegi működésüket és megtenni a szükséges fejlesztéseket a megfelelés érdekében. A rendeletben meghatározott technikai szabványokat (közös szabályozástechnikai standardtervezetek (RTS-ek) és végrehajtás-technikai standardtervezetek (ITS-ek)) az Európai Felügyeleti Hatóságok (EBA, ESMA, EIOPA) dolgozzák ki, azok véglegesítése és közzététele az idei évben folyamatosan történik, időt biztosítva az érintett szervezetek számára az útmutatók és specifikációk megismerésére.
Hatóság, szankciók
2025 január 17. után, azaz a végrehajtási időszakot követően a felügyeletet az egyes EU tagállamok illetékes hatóságai látják
el. Ezek a hatóságok jogosultak biztosítani a DORA szabályok betartását, biztonsági és orvosló intézkedések kérésével, valamint
büntetések kiszabásával a nem megfelelőség esetén.
A magyar jogalkotó a Magyar Nemzeti Bankot jelölte ki a pénzügyi szervezetek DORA megfelelésének, valamint a jelentős IKT-vonatkozású
események és a jelentős kiberfenyegetések bejelentésének felügyeletére illetékes hatóságként. Várhatóan az MNB kerül kijelölésre
a DORA szerinti TLPT (fenyegetés alapú behatolási tesztelés – threat-led penetration testing) hatóságként is.
A rendelet szankciókat is meghatároz, a nem megfelelőség büntetései magukban foglalhatják a napi átlagos világszintű forgalom
1%-áig terjedő bírságokat a nem megfelelő IKT szolgáltatók számára.
Hogyan készüljön fel a DORA rendelet által támasztott követelmények teljesítésére?
Az érintett szervezeteknek az arányosság elvével összhangban szükséges végrehajtani a DORA rendelet szabályait. Figyelembe
kell venniük az érintett szervezet méretét és általános kockázati profilját, valamint szolgáltatásai, tevékenységei és működése
jellegét, nagyságrendjét és összetettségét.
Első lépésként javasoljuk egy GAP elemzés elvégzését, amely során tanácsadóink összevetik a DORA rendeletben és a közzétett
részletszabályokban előírt követelményeket a szervezet jelenlegi működésével, folyamataival és védelmi megoldásaival. Célunk,
hogy a GAP elemzés alapján átfogó képet kapjunk az esetlegesen azonosított hiányosságokról és fejlesztendő területekről, amelyet
követően egy kockázatelemzésen alapuló intézkedési terv összeállítására kerülhet sor. Az érintett szervezetek segítségünkkel
tisztában lesznek azzal, hogy melyek azok a területek, hiányzó vagy hiányos védelmi rendszerek, melyek fejlesztésére valójában
szükség van.
A felkészülés második szakaszában tanácsadóink és szakértőink segítségével - az intézkedési terv alapján - megtörténhet a
biztonsági megoldások szükséges fejlesztése.
Portfóliónk számos eleme hozzájárulhat – a DORA megfelelés elérése mellett - az érintett szervezetek kiberbiztonsági érettségi
szintjének növeléséhez.
Kockázatmenedzsment
A DORA rendelet a pénzügyi szektor digitális működésének biztonságát és ellenállóképességét szabályozza, előírva az IT-kockázatok
hatékony kezelését. A rendelet megköveteli, hogy a szervezetek képesek legyenek az informatikai rendszereik kockázatainak
azonosítására, kezelésére és a digitális fenyegetések elhárítására, így biztosítva a folyamatos üzletmenetet és a megfelelést.
Cégünk átfogó kockázatmenedzsment megoldásai támogatják ügyfeleinket a DORA-nak való megfelelésben. Kockázatelemzési és kezelési
szolgáltatásaink révén segítünk feltárni az informatikai infrastruktúra gyenge pontjait, értékelni a potenciális fenyegetéseket,
és kidolgozni a szükséges védelmi intézkedéseket. Megoldásaink nemcsak a kiberkockázatokra fókuszálnak, hanem az üzleti működés
folyamatosságára is, biztosítva a gyors reagálást incidensek esetén, minimalizálva a leállások és adatvesztések kockázatát.
Incidensmenedzsment
A DORA rendeletnek való megfelelés egyik alapköve az információbiztonsági események és incidensek hatékony menedzsmentje,
amely magában foglalja a fenyegetések időben történő észlelését, kezelését és jelentését. A jól kidolgozott, felelősségi körökre
épülő és átgondolt folyamatok nemcsak a jogszabályi megfelelést biztosítják, hanem segítenek a károk minimalizálásában és
a jövőbeli incidensek elkerülésében is.
Szakembereink többéves tapasztalattal rendelkeznek az incidenskezelés terén, és az általunk kialakított folyamatok a jogszabályi
előírásoknak is megfelelnek. Az incidenskezelési folyamat kidolgozásakor figyelembe vesszük a szervezet adottságait, az aktuális
kiberbiztonsági trendeket és a piaci jó gyakorlatokat. Az így létrejött folyamat nemcsak megfelel a DORA előírásainak, hanem
hozzájárul ahhoz is, hogy az érintett szervezet valós védelmi intézkedéseket alkalmazzon. Szakembereink átfogó incidensmenedzsment
szolgáltatása teljes körű megoldást nyújt, az incidens észlelésétől kezdve a reagáláson át egészen a probléma megoldásáig.
Közreműködés digitális működési reziliencia tesztelésében
A DORA rendelet előírja, hogy a pénzügyi szektor szervezetei rendszeresen teszteljék digitális működési rezilienciájukat a
rendszerbiztonság és a fenyegetések elleni védelem érdekében. Közreműködésünkkel a szervezetek azonosíthatják és kezelhetik
a potenciális gyenge pontokat, mielőtt azok jelentős problémákat okozhatnának.
Szolgáltatásunk magában foglalja a kiberbiztonsági gyakorlatok és vészhelyzeti forgatókönyvek tesztelését, hogy felmérjük
a rendszerek, folyamatok és emberek ellenállóképességét valós szituációk során. Szakértőink az aktuális fenyegetési trendek
és piaci jó gyakorlatok figyelembevételével, átfogó tesztelési és értékelési folyamatokat alkalmaznak. Az eredmények alapján
konkrét ajánlásokat teszünk a védelmi intézkedések javítására és a kockázatok csökkentésére. Így biztosítjuk, hogy ügyfeleink
megfeleljenek a DORA követelményeinek és erősítjük digitális ellenálló képességüket a jövőbeli kihívásokkal szemben.
Harmadik féltől eredő IKT-kockázat kezelése
A DORA rendelet kiemelt figyelmet fordít a harmadik féltől eredő IKT-kockázatok kezelésére. A jogi megfelelés mellett fontos,
hogy az érintett szervezetek proaktívan foglalkozzanak ezzel a témával, mivel egy beszállítónál jelentkező probléma jelentős
károkat okozhat. Az ellátási láncok biztonságának biztosítása érdekében alapvető az üzletmenet-folytonosság fenntartása, a
kommunikációs csatornák folyamatos felügyelete, a sebezhetőségek folyamatos javítása, az incidensek időbeni észlelése és kezelése,
valamint a felhasználók biztonságtudatosságának növelése. Az átfogó harmadik féltől származó kockázatkezelési stratégiák elősegítik,
hogy a szervezetek hatékonyan reagáljanak a potenciális fenyegetésekre és minimalizálják a kockázatokat.
Technológiai partnereink
Hiba történt az elküldés során!
Kérjük próbálja újra később. Amennyiben a következő alkalommal is ezt a hibaüzenetet kapja, kérjük jelezze a webteam@4ig.hu email címen.