Milyen hatása lesz a DORA-nak, vagyis a digitális ellenállóképesség rendeletnek? Milyen lépéseket kell tenniük a pénzügyi szektor szereplőinek? A BDO Magyarország DIGITAL üzletágának szakértői a cikkünkben részletesen bemutatják, hogyan készülhetünk fel sikerrel, a közelgő elvárásokra.
Mi az a DORA?
Tekintsük át lépésről-lépésre, a teljes megértés érdekében, miről szól a rendelet, mely szereplők működését szabályozza és milyen ütemben valósul meg a bevezetése.
A DORA (Digital Operational Resilience Act) rendelet 2023 januárjában lépett hatályba és 2 éves felkészülési időt hagyva, 2025. január 17-től kell alkalmazniuk az európai pénzügyi szektor intézményeinek.
A rendelet nagy terjedelme miatt számos kérdést részletszabályokba (un. RTS/ITS, Iránymutatás) taglal, melyeket az Európai Felügyeleti Hatóságok(ESA-k) közösen dolgoznak ki. Összesen 12 részletszabály kerül kidolgozásra két ütemben.
A teljes és végleges elvárásrendszer legkorábban 2024. júliusában fog megjelenni, de a kockázatkezeléssel kapcsolatos legfontosabb szabályok, az incidensosztályozás és a harmadik fél szolgáltatókról szóló űrlap részletszabályai már társadalmi konzultáció keretében publikálásra kerültek. (https://www.mnb.hu/felugyelet/felugyeleti-keretrendszer/felugyeleti-hirek/hirek-ujdonsagok/az-europai-felugyeleti-hatosagok-kozos-tarsadalmi-konzultaciot-hirdettek-meg-a-dora-rendelet-reszletszabalyainak-elso-csomagjara-vonatkozoan)
Milyen elvárásokat fogalmaz meg a rendelet?
Az intézmények számára releváns elvárások az alábbiak szerint csoportosíthatók:
- Saját IKT(Információ- és kommunikációtechnológia) kockázatkezelés,
- Incidens osztályozás és bejelentés,
- Harmadik féltől eredő IKT kockázat kezelése,
- Digitális működés ellenállóképesség tesztelése.
A rendelet törzsét fogják kiegészíteni, pontosítani az alábbi részletszabályok.
2024. január 17-ig (ennek részletei már publikálásra kerültek társadalmi egyeztetés céljából):
- IKT kockázatkezelési keretrendszer,
- Egyszerűsített IKT kockázatkezelési keretrendszer,
- IKT szolgáltatásokra vonatkozó szabályzati elvárások meghatározása,
- IKT vonatkozású események osztályozásának kritériumai,
- IKT harmadik fél szolgáltatókról szóló nyilvántartás űrlapja.
2024. július 17-ig pedig a továbbiak:
- Fenyegetettség alapú behatolási tesztelés (Threat Led Penetration Testing-TLPT) részletei,
- Kritikus vagy fontos funkciók esetén alvállalkozók alkalmazásának feltételei,
- IKT vonatkozású események bejelentési szabályai,
- IKT vonatkozó események bejelentésének tartalma,
- A jelentős IKT vonatkozó események okozta kár/költség megbecslésének módja,
- ESA-k és a tagállami hatóságok közötti együttműködés a felvigyázási struktúrában,
- A felvigyázói tevékenységgel kapcsolatos feltételek/információk harmonizálása.
A DORA rendeleti mivolta miatt, átültetést nem igényel, de a meglévő hazai jogszabályok felülvizsgálatát igényli, annak érdekében, hogy ne legyen ellentmondó vagy ismétlődő előírás hatályban. Várhatóan 2024-ben a GFM (Gazdaságfejlesztési Minisztérium), mint felelős tárca és a Magyar Nemzeti Bank fogja a hazai jogszabályok és ajánlások felülvizsgálatát elvégezni, amikor az összes részletszabály ismert lesz.
A DORA-hoz kapcsolódó irányelvek
A pénzügyi szektor intézményeit érintheti még a NIS2 (Directive on measures for a high common level of cybersecurity) és a CER (Directive on the resilience of critical entities) irányelvek előírása, mint ernyő típusú szabályozások, melyek alapkövetelményeket fogalmaznak meg számos szektor kijelölt intézményei számára. Ugyan ezen irányelvekben a DORA rendelet hatálya alá eső intézmények számára a DORA rendelet előírásai alkalmazandóak átfedés esetén, de a DORA által nem szabályozott kérdésekben az irányelvek és azokat nemzeti szinten átültető és kiegészítő nemzeti jogszabályok lesznek az irányadóak a pénzügyi intézmények számára. Ezek az irányelvek még átültetés alatt állnak nemzeti szinten.
A BDO javaslata a jelenlegi helyzet kezelésére:
A rendelet a még kidolgozás alatt álló részletszabályok nélkül mindössze néhány újdonságot jelent Magyarországon az eddigi szabályozási környezethez képest. Fontos kiemelni, hogy a rendeletben megfogalmazott elvárásokat a részletszabályok kiegészítik és pontosítják.
Minden szervezet számára akkora felkészülési munkát fog indokolni a DORA elvárások teljesítése, amilyen szinten áll jelenleg a biztonsági érettség terén. A felkészülés jelen szakaszában az egyetlen reális feladat ezért egy biztonsági felmérés(GAP elemzés) lehet, amely megvizsgálja, hogy az intézmény a rendelet által szabályozott területeket hogy kezeli. Ezzel rámutatva, hogy mely témák vagy területek igénylik a fokozott figyelmet, fejlesztést a DORA felkészülés során.
A végső elvárásrendszer legkorábban 2024. júliusában jelenik meg az EU Hivatalos Lapjában, de a kockázatkezeléshez tartozó legfontosabb szabályok és az incidensosztályozás és a harmadik fél szolgáltatókról szóló űrlap végleges részletszabályai már 2024 januárjában ismertek lesznek. Ezek tükrében már el lehet kezdeni a felkészülés ütemezését, tervezését és jóváhagyások megszerzését.
Figyelembe véve ezeket a konkrét szakmai információkat, a vállalatok már most elkezdhetik a felkészülés ütemezését, tervezését és a szükséges jóváhagyások megszerzését. A BDO Magyarország DIGITAL üzletágának IT szakemberei kifejezetten hangsúlyozzák az időben történő felkészülés fontosságát, és azt, hogy az érintett cégek ne hagyják a rendelet által megkövetelt változtatásokat az utolsó pillanatra.
Bővebb információt a BDO Magyarország DIGITAL üzletágának IT tanácsadása tud adni az ügyben érdeklődők számára.