Site Search

Menu

Megoldásaink

Menu

Forensic & Compliance szolgáltatások

Menu

PwC SmartTax - IT megoldások az adózásban

Menu

Vámtanácsadás, CBAM

Loading Results

Miért releváns az Ön számára a DORA?

A digitális működési reziliencia rendelet (DORA) a pénzügyi piacokon felmerülő digitális kockázatok hatékony és mindenre kiterjedő kezelésének új európai keretrendszere.

A keretrendszer a pénzügyi stabilitás biztosításának előírásáról áthelyezi a hangsúlyt arra, hogy a vállalatok ezen túlmenően reziliens működést is tudjanak fenntartani kiberbiztonsági vagy IKT-problémákból eredő komoly működési zavar esetén.

A DORA az érintett ágazatokra kiterjedő egységes következetes felügyeleti megközelítés bevezetésével a biztonság és reziliencia terén alkalmazott gyakorlatok konvergenciáját és harmonizálását biztosítja az Európai Unión belül. 

A legfontosabb tudnivalók 30 másodpercben

Miért releváns a DORA?

  • A DORA az EU területén működő több mint 22 000 pénzügyi szervezetre és IKT-szolgáltatóra alkalmazandó. A rendelet a pénzügyi piac valamennyi szereplője, így például a bankok, befektetési vállalkozások, biztosító társaságok és közvetítők, kriptoeszköz-szolgáltatók, adatszolgáltatók, valamint felhőszolgáltatók számára specifikus és előíró jellegű követelményeket vezet be.
  • A DORA hatékony kockázatkezelést, az IKT- és kiberbiztonsági működési képességeket, valamint a harmadik felek kezelését magában foglaló, végpontok közötti hatékony holisztikus keretrendszert vezet be, mellyel a teljes értékláncban biztosítja az egységes szolgáltatásnyújtást. 
  • A rendelet egyedülálló módon uniós felvigyázási keretrendszert vezet be az európai felügyeleti hatóságok (EFH-k) által kritikusként megjelölt harmadik fél IKT-szolgáltatókra vonatkozóan. 

Mikortól érvényesíthető a DORA?

A DORA 2023 elején lépett hatályba. A pénzügyi szervezeteknek a kétéves végrehajtási időszakot követően legkésőbb 2025 elejére kell megfelelniük a rendelet előírásainak.   

Az Európai Bizottság a Digitális Pénzügyi Csomag (DFP) részeként 2020. szeptember 24-én tette közzé a digitális működési reziliencia rendelet (DORA) tervezetét. 

Az Európai Parlament és a Tanács DORA-val kapcsolatos javaslatainak közzétételét követően a társjogalkotók 2022 első félévében háromoldalú politikai és szakmai egyeztetést folytattak. A DORA rendeletet az Európai Parlament által 2022. november 10-én történő megszavazást követően az Európai Tanács 2022. november 28-án fogadta el.

A DORA 2023 első negyedévében lépett hatályba. Az első szabályozás-technikai és végrehajtás-technikai standardokat (SZTS-eket és VTS-eket) az európai felügyeleti hatóságok (EFH-k) fogják kidolgozni. 

A szabályozás-technikai és végrehajtás-technikai standardokat az EFH-k határozzák meg és adják ki. Az EFH-k biztosítják a szervezetek számára a DORA követelményeinek végrehajtására vonatkozó specifikációkat és útmutatást. 

A DORA rendeletben foglalt követelmények a rendelet hatálybalépésétől számított 24 hónap múlva érvényesíthetők. A pénzügyi szervezetektől ezért 2025 elejére elvárt a DORA rendeletnek való megfelelés.

Letöltés DORA: Áttekintés pénzügyi szervezeteknek és IKT-szolgáltatóknak

Szakértőnk

Mátyás Péter
Vezető menedzser
Email: peter.matyas@pwc.com

Hogyan látjuk a DORA rendelet magyar vállalatokra gyakorolt hatását?

A DORA átfogó hatálya miatt valószínűleg számos olyan témát érint, amelyre a meglévő magyarországi szabályozások már kiterjednek.

Azonban bizonyos témák, mint pl. a fenyegetettséggel kapcsolatos hírszerzés és a fenyegetés alapú behatolási tesztelés, újként jelennek meg, ezért fokozott figyelmet igényelnek. Kihívásnak látjuk továbbá az Önök szervezete és a szervezet kritikus IKT-szolgáltatói közötti főbb függőségek átfogó láthatóvá tételét és megértését.

A DORA rendelet hatálya alá tartozó szervezetek számára ezért javasoljuk, hogy a digitális és működési reziliencia terén eddig elért érettségi szintjüktől függetlenül a rendelet kapcsán indítsák el rezilienciával kapcsolatos programjukat vagy terjesszék ki annak körét. Ennek nagyszerű kezdeti lépése lehet egy kezdeti GAP elemzés és érettségi felmérés elvégzése.

A jelenlegi szabályozói követelményeket a jelenlegi ellenőrzési gyakorlatnak megfelelően alkalmazó szervezetek általában jobb helyzetből indulva teljesíthetik a DORA rendelet által előírt legtöbb követelményt. Számos ügyfelünk számára nyújtott kiberbiztonsági és reziliencia szolgáltatásaink tapasztalata alapján mégis azt tanácsoljuk, ne elégedjenek meg az eddig elért eredményekkel. A „túlságosan reziliens” és a „túlságosan biztonságos” fogalmak nem léteznek. Tartsák szem előtt, hogy minél inkább versenytársaik előtt járnak a reziliencia terén, annál nagyobb versenyelőnyt érnek el.

DORA - na és?

Véleményünk szerint a DORA egyszerre jelent kihívást és lehetőséget a pénzügyi szervezetek számára. Az uniós szinten egységes DORA követelmények azt jelentik, hogy a pénzügyi szervezeteknek az Európai Unió területén működő valamennyi üzleti egységükben egységes fejlettségi szintű kiberbiztonságot és működési rezilienciát kell biztosítaniuk.

A kétéves felkészülési időszak alatt a szervezeteknek sok mindent kell figyelembe venniük, megvalósítaniuk és felmutatniuk.

A pénzügyi szervezetek mostantól kezdve átfogó GAP elemzéseket fognak végezni a DORA rendelet követelményeihez viszonyított érettségük szintjének felmérése, valamint a további beruházást és priorizálást igénylő területek korai azonosítása érdekében. Ezáltal az Önök szervezete is előnyösebb helyzetből lesz képes a beszállítói kockázatkezelés, a fenyegetettséggel kapcsolatos hírszerzés, és a magas szintű biztonsági tesztelés komplexebb követelményeinek megfelelni és ily módon versenyelőnyre szert tenni.

A DORA meglátásunk szerint jelentős változásokat hoz az ESMA vagy az EIOPA felügyelete alá tartozó szervezetek számára, illetve azon bankok számára is, melyeknek korábban az EBA és a KNF bankfelügyeleti irányelveknek kellett megfelelniük. A DORA kiterjeszti hatályát a pénzügyi szektorban működő, de eddig a kiterjedt IKT-biztonsági szabályozás alá nem tartozó más érdekeltekre, pl. kriptoeszköz-szolgáltatókra, alternatív befektetési alapok kezelőire, közösségi finanszírozási szolgáltatókra, felhőszolgáltatókra és harmadik fél IKT-szolgáltatókra is.

Mivel a rendelet erős hangsúlyt helyez a harmadik féltől eredő kockázatok kezelésére, a szervezetek számára előírja a harmadik felek rezilienciájának ellenőrzését, melyhez a kritikus IKT-szolgáltatóval folytatott szoros együttműködés és közös erőfeszítések szükségesek, különösen azokban az esetekben, amikor a szolgáltató egy fontos üzleti szolgáltatás nyújtását támogatja. 

A DORA rendelet öt fő pillérre összpontosítja a szabályozást

IKT-kockázatkezelés

A pénzügyi szervezeteknek átfogó IKT kockázatkezelési keretrendszert kell létrehozniuk, melynek részeként:

  • az IKT-kockázatok hatását minimálisra csökkentő reziliens IKT-rendszereket és eszközöket kell létrehozniuk és fenntartaniuk,
  • azonosítaniuk, osztályozniuk és dokumentálniuk kell a kritikus funkciókat és eszközöket,
  • a védelmi és megelőzési intézkedések érdekében folyamatosan nyomon kell követniük az IKT-kockázatok valamennyi forrását,
  • biztosítaniuk kell a rendellenes tevékenységek azonnali észlelését,
  • célzott és átfogó üzletmenet-folytonossági politikákat, valamint vészhelyzeti helyreállítási terveket kell bevezetniük, ezen tervek valamennyi támogató funkcióra kiterjedő éves tesztelésével,
  • a külső eseményekből és a szervezeten belül előforduló IKT-eseményekből történő tanulást és alkalmazkodást lehetővé tevő mechanizmusokat kell kialakítaniuk.

IKT-vonatkozású események bejelentése

A pénzügyi szervezetek számára előírt:

  • a valamennyi IKT-esemény naplózására/osztályozására alkalmas ésszerű folyamat kialakítása és a jelentős események rendeletben részletezett és az európai felügyeleti hatóságok (EBA, EIOPA, és ESMA) által pontosított kritériumok szerinti meghatározása,
  • az IKT-vonatkozású eseményekkel kapcsolatos kezdeti, időközi és záró jelentés benyújtása,
  • az EFH-k által kidolgozott mintadokumentumok alkalmazásával az IKT-vonatkozású események bejelentésének harmonizálása.

A digitális működési reziliencia tesztelése

A rendelet valamennyi szervezet számára előírja:

  • az IKT-eszközök és rendszerek alapvető IKT-tesztelésének éves elvégzését,
  • az elhárítást szolgáló intézkedések megvalósítása terén jelentkező gyengeségek, hiányosságok vagy lefedetlenségek azonosítását, mérséklését és haladéktalan elhárítását,
  • a kritikus funkciókra kiható IKT-szolgáltatások vonatkozásában magas szintű fenyegetés alapú behatolási tesztelés (TLPT) időszakos elvégzését. A harmadik fél IKT-szolgáltatók számára előírt a tesztelésben való részvétel és teljeskörű közreműködés. 

Harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatkezelés

A pénzügyi szervezetek számára előírt:

  • a harmadik fél IKT-szolgáltatók igénybevételéből eredő kockázatok megbízható nyomon követésének biztosítása,
  • a kiszervezett tevékenységek teljes nyilvántartásának bejelentése, a csoporton belüli szolgáltatásokat és a kritikus szolgáltatások harmadik fél IKT-szolgáltatók részére történő kiszervezését érintő változásokat beleértve,
  • az informatikai koncentrációs kockázat és az alvállalkozói kiszervezésből eredő kockázatok figyelembevétele
  • a „teljes” nyomon követés érdekében a harmadik fél IKT-szolgáltatók által nyújtott szolgáltatások legfontosabb elemeinek és a szolgáltatókkal fennálló kapcsolatnak a harmonizálása,
  • annak biztosítása, hogy a harmadik fél IKT-szolgáltatókkal kötött szerződések tartalmazzák a nyomon követéssel és hozzáférhetőséggel kapcsolatos valamennyi szükséges rendelkezést, mint pl. a szolgáltatási szint teljeskörű leírását, az adatkezelés helyszínének feltüntetését, stb.,
  • A kritikus harmadik fél IKT-szolgáltatókra a jövőben az uniós felvigyázási keretrendszer szabályai vonatkoznak, mely ajánlásokat fogalmazhat meg az azonosított IKT-kockázatok enyhítésére vonatkozóan. A pénzügyi szervezeteknek a meghatározott ajánlást nem követő szolgáltatóikkal kapcsolatban figyelembe kell venniük a harmadik fél IKT-szolgáltatók igénybevételéből eredő kockázatokat.

Információmegosztás

  • A rendelet lehetővé teszi a pénzügyi szervezetek számára, hogy megállapodásokat kössenek a kiberfenyegetettségi információk és hírszerzés egymással történő megosztásáról,
  • A felügyeleti hatóság a pénzügyi szervezetek számára releváns anonimizált kiberfenyegetettségi információkat és hírszerzést biztosít. A szervezeteknek ezért olyan mechanizmusokat kell kialakítaniuk, melyekkel át tudják tekinteni a hatóságok által megosztott információkat és meg tudják tenni a szükséges intézkedéseket.

Contact us

Peter Durojaiye

Peter Durojaiye

Partner, PwC Hungary

Linkedin Follow Email
Mátyás Péter

Mátyás Péter

Vezető menedzser, PwC Hungary

Email
Dékány Csilla

Dékány Csilla

Ügyvéd, PwC Hungary

Linkedin Follow Email
Kövessen minket!
Főoldal
Rólunk Egy percben Vállalati fenntarthatóság Panaszbejelentés Etikai kódex Harmadik Fél Globális Magatartási Kódexe Online ajánlatkérés Hírlevél feliratkozás
Szolgáltatások Könyvvizsgálat Adótanácsadás Üzleti tanácsadás Technológiai tanácsadás Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal Vám-, környezetvédelmi termékdíj- és jövedéki adótanácsadás, CBAM
Iparágak Agrár- és élelmiszeripar Autóipar Energia és közmű Gyógyszeripar Infrastruktúra, közlekedés és logisztika Ipari termékek Kiskereskedelem Kormányzat, közszolgálat Magántulajdonban lévő vállalkozások Olaj- és gázipar Pénzügyi szektor Sport Technológia, Média és Távközlés (TMT) Turizmus tanácsadás
Sajtószoba Kiadványok Hírújságok Szakértői vélemények PwC Magyarországi Vezérigazgató Felmérés Blog Gazdálkodj okosan! - Podcast A pénz beszél - Podcast Egy percben
Karrier Nyitott pozícióink
PwC's Academy IFRS Pénzügy | Számvitel | Kreditpontok CFO Academy | Leadership | Soft Skills Diplomát nyújtó és angol nyelvű képzések ESG M&A szakértő menedzser képzés Digital Academy Adó és jogi képzések

© 2023 - 2024 PwC. Minden jog fenntartva. A „PwC” kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re és a PricewaterhouseCoopers Magyarország Kft.-re utal, amelyek az önálló és független jogi személyekből álló PricewaterhouseCoopers International Limited hálózatának tagja.