Visszaszámlálás a megfelelésig: A digitális működési ellenálló képességről szóló törvény megértése
Az európai pénzügyi szektor gyors digitalizációja közepette egyre nagyobb a nyomás a kiberfenyegetések növekedésének megfelelő kezelésére. A digitális működési ellenálló képességről szóló törvény célja, hogy az IKT (információs és kommunikációs technológiák) kockázatkezelés és a digitális ellenálló képesség egységes stratégiája révén kezelje ezt a kihívást. A törvénynek való megfelelés határidejéig már csak egy év van hátra, ezért a magyarországi és az uniós pénzintézeteknek mielőbb el kell kezdeniük a felkészülést.
2023. november 8-án a Kapolyi Ügyvédi Iroda ügyfélreggelit tartott a Larus étteremben a kaliforniai Palo Altóban székhellyel rendelkező Rubrik kiberbiztonsági céggel közösen.
Az esemény célja az volt, hogy a pénzügyi szektorban tevékenykedő ügyfeleket segítse a digitális működési ellenálló képességről szóló törvényben (DORA) történő eligazodásban és a hatékony végrehajtási stratégiák meghatározásában.
A résztvevők a Kapolyi Ügyvédi Iroda vezető jogászaitól – Dr. Krezinger Viktor a tőkepiaci csoport és Dr. Kazella Éva az IT csoport vezetője – hallhatták.
Dr. Krezinger ismertette, hogy a DORA rendelet milyen feladatokat és felelősséget ír elő a pénzintézetek vezetői számára, és milyen szankciókkal jár a szabályok be nem tartása.
Dr. Kazella gyakorlati tanácsokat nyújtott arra vonatkozóan, hogyan lehet biztosítani az IKT-rendszerek sikeres megfelelését a DORA szabályozási követelményeknek. A résztvevőket a szabályozási célok elérésének módszereivel és legjobb gyakorlataival is megismertette, hangsúlyozva annak fontosságát, hogy ezeket a gyakorlatokat strukturált megközelítéssel integrálják az IKT-rendszerekbe.
Az előadókhoz csatlakozott Bokrossy Dávid, a Rubrik ügyfélkapcsolati vezetője, aki a szabályozás kritikus gyakorlati szempontjaira világított rá.
Az előadásokat követően a résztvevőknek lehetőségük volt kérdéseket feltenni és megvitatni főbb aggályaikat, prioritásaikat és a tervezett határidőket.
De mi is az a digitalis működési ellenálló képességről szóló törvény, és milyen kihívásokat igyekszik kezelni? Merüljünk el benne!
Mi a digitalis működési ellenálló képességről szóló törvény?
A 2023. január 16-tól hatályos digitális működési ellenálló képességről szóló törvény (DORA) egy uniós irányelv, amely egységesíti és harmonizálja az EU tagállamok pénzügyi szektoraiban az IKT-kockázatkezelésre vonatkozó stratégiákat.
A DORA által bevezetett egyik legfontosabb változás, hogy a pénzügyi intézményeknek „célzott minőségi szabályokat kell követniük az IKT-vel kapcsolatos incidensek elleni védelmi, észlelési, elszigetelési, helyreállítási és javítási képességek, illetve a jelentéstételi és digitális tesztelési képességek tekintetében”. Röviden, a DORA a digitális ellenálló képességet hangsúlyozza. Ez ellentétben áll a pénzügyi intézmények által eddig preferált stratégiával – nevezetesen a működési kockázat fő kategóriáinak tőkeallokáción keresztüli kezelésével, anélkül, hogy a működési ellenállóképesség valamennyi összetevőjét kezelnék.
Az 1. cikk (1) bekezdésében foglaltak szerint a DORA által meghatározott követelmények a következő fő területekre összpontosítanak:
- IKT kockázatkezelés,
- az IKT-val kapcsolatos jelentősebb, üzemeltetési és biztonsági kifizetésekkel kapcsolatos incidensek jelentése,
- digitális működési ellenállóképesség tesztelése,
- a kiberfenyegetésekkel és sebezhetőségekkel kapcsolatos információk és hírszerzési információk megosztása,
- IKT harmadik féllel szembeni kockázatkezelés,
- az illetékes hatóságok közötti együttműködés, valamint az illetékes hatóságok általi felügyeletre és végrehajtásra vonatkozó szabályok.
Érdemes megjegyezni, hogy nem csak a pénzügyi intézményeknek – hitelintézeteknek, kereskedési helyszíneknek, befektetési vállalkozásoknak, kripto-eszköz-szolgáltatóknak, biztosítóknak és viszontbiztosítóknak, valamint az ágazat egyéb szervezeteinek – kell összehangolniuk működésüket a DORA követelményeivel. Az irányelv a pénzügyi intézmények „kritikus IKT harmadik fél szolgáltatóira” is vonatkozik, beleértve a felhőalapú számítástechnikai szolgáltatások, a szoftverek, az adatelemzés és az adatközpontok szolgáltatóit is. A DORA hatálya alá nem tartozó szervezetek listáját a 2. cikk (3) és (4) bekezdése tartalmazza.
Növekvő igény az összehangolt kiberbiztonsági stratégia iránt
A digitális működési ellenálló képességről szóló törvény nem légüres térben jött létre. Valójában már egy ideje erősödik a nyomás az egységes kiberbiztonsági és digitális ellenálló képességgel kapcsolatos tagállami stratégiára.
Christine Lagarde, az Európai Központi Bank elnöke 2020-as beszédében arra figyelmeztetett, hogy egy jól szervezett, nagy pénzintézetek elleni kibertámadás a pénzügyi válsághoz vezethet.
A COVID-19 járvány jelentősen felgyorsította a digitális átalakulást a legtöbb iparágban – ez alól a pénzügyi szektor sem volt kivétel. A fizetési rendszerek modernizálásától kezdve a digitális valuták elterjedésén át az online bankok térnyeréséig az ágazat az elmúlt években innovációk egész sorát integrálta.
Ez elmélyítette a digitális ökoszisztémát és infrastruktúrát, ezáltal bővült az ágazat kiberbiztonsági kockázati paramétere ¬- 2022-ben a legnagyobb európai pénzintézetek 78%-a tapasztalt harmadik fél által elkövetett jogsértést. Valójában világszerte a pénzügyi szektorban történt tavaly a második legnagyobb adatszivárgás.
A növekvő kiberbiztonsági kihívásokra válaszul az Európai Bizottság elfogadta a digitális pénzügyi csomagot, amelynek célja, hogy megkönnyítse a digitális innováció eljuttatását az európai fogyasztókhoz, miközben hatékonyan kezeli a fejlődő digitális ökoszisztéma kockázatait. A DORA a csomag egyik fő jogszabályi kerete.
Mivel már csak egy év maradt a DORA-nak való megfelelés biztosítására, elengedhetetlen, hogy a pénzügyi szolgáltatók prioritásként kezeljék a digitális ellenálló képességet és az IKT-irányítást.