A DORA lényege
A folyamatosan változó, erősödő kiberbiztonsági kockázatokra történő hatékony válaszadás érdekében, a DORA olyan digitális rendszerek és eszközök létrehozását és karbantartását követeli meg a pénzügyi szektortól, amelyek képesek ellenállni a potenciális fenyegetéseknek és minimalizálni a digitális rendszerekben rejlő kockázatok negatív hatását. A rendelet harmonizálja és szigorítja a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden pénzügyi vállalkozásnak gondoskodnia kell arról, hogy a zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani. A DORA rendelet nyomán kidolgozott standardoknak való megfelelést
az illetékes nemzeti hatóságok fogják ellenőrizni. A végleges technikai standardtervezetek első csoportját egyébként pont a minap tették közzé az illetékes európai felügyeleti hatóságok. Hazánkban pedig a jogharmonizációt és a társadalmi egyeztetést a Magyar Nemzeti Bank fogja össze.
Mikortól kell alkalmazni a DORA-t?
A DORA-t 2025. január 17-től kell majd alkalmazni. Addig is számos, nem pusztán informatikai vonatkozású belső szabályzatot, folyamatot kell megalkotni az érintett szervezeteknek a megfelelés érdekében.
Kit érint a DORA?
A rendelet kötelezően alkalmazandó összesen
20-féle pénzügyi szervezetre (befektetési vállalkozások, biztosítók, biztosításközvetítők, foglalkoztatói nyugellátást szolgáltató intézmények stb.) és nekik IT szolgáltatást nyújtó külső szolgáltatókra. A célzott külső szolgáltatók közé tartoznak mindazok, akik felhőszolgáltatást, szoftverfejlesztési, support, digitális szolgáltatást, adatszolgáltatást nyújtanak a pénzügyi szervezeteknek. Nem terjed ki azonban a rendelet hatálya a hardverbeszállítókra és az elektronikus hírközlési szolgáltatókra (telefon-, internetszolgáltatók).
Mik a DORA alapvető követelményei?
A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő szervezetek, valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat – például felhőplatformokat vagy adatelemzési szolgáltatásokat – nyújtanak e szervezetek számára.
A pénzügyi szervezeteknek rendelkezniük kell egy olyan belső irányítási és kontrollkerettel, azaz egy kockázatelemzési és cselekvési tervvel, valamint szervezeti mechanizmussal, amely biztosítja az informatikai kockázat eredményes és prudens kezelését, a digitális működési reziliencia magas szintjének elérése érdekében. A pénzügyi szervezet vezető testületének kell meghatároznia, jóváhagynia és ellenőriznie az informatikai kockázatkezelési keretrendszerrel összefüggő valamennyi intézkedést, és viselnie a felelősséget azok végrehajtásáért.
Forrás
Az EU honlapjának vonatkozó weboldala
Digital Operational Resilience Act (DORA), 79 oldalas PDF
MNB hír – Az európai felügyeleti hatóságok közzétették a DORA rendelet első csomagjába tartozó, az IKT- és harmadik fél kockázatkezelésre és az incidensek osztályozására vonatkozó részletszabályokat