A digitális működési reziliencia rendelet (DORA) a pénzügyi piacokon felmerülő digitális kockázatok hatékony és mindenre kiterjedő kezelésének új európai keretrendszere.
A keretrendszer a pénzügyi stabilitás biztosításának előírásáról áthelyezi a hangsúlyt arra, hogy a vállalatok ezen túlmenően reziliens működést is tudjanak fenntartani kiberbiztonsági vagy IKT-problémákból eredő komoly működési zavar esetén.
A DORA az érintett ágazatokra kiterjedő egységes következetes felügyeleti megközelítés bevezetésével a biztonság és reziliencia terén alkalmazott gyakorlatok konvergenciáját és harmonizálását biztosítja az Európai Unión belül.
A DORA 2023 elején lépett hatályba. A pénzügyi szervezeteknek a kétéves végrehajtási időszakot követően legkésőbb 2025 elejére kell megfelelniük a rendelet előírásainak.
A DORA átfogó hatálya miatt valószínűleg számos olyan témát érint, amelyre a meglévő magyarországi szabályozások már kiterjednek.
Azonban bizonyos témák, mint pl. a fenyegetettséggel kapcsolatos hírszerzés és a fenyegetés alapú behatolási tesztelés, újként jelennek meg, ezért fokozott figyelmet igényelnek. Kihívásnak látjuk továbbá az Önök szervezete és a szervezet kritikus IKT-szolgáltatói közötti főbb függőségek átfogó láthatóvá tételét és megértését.
A DORA rendelet hatálya alá tartozó szervezetek számára ezért javasoljuk, hogy a digitális és működési reziliencia terén eddig elért érettségi szintjüktől függetlenül a rendelet kapcsán indítsák el rezilienciával kapcsolatos programjukat vagy terjesszék ki annak körét. Ennek nagyszerű kezdeti lépése lehet egy kezdeti GAP elemzés és érettségi felmérés elvégzése.
A jelenlegi szabályozói követelményeket a jelenlegi ellenőrzési gyakorlatnak megfelelően alkalmazó szervezetek általában jobb helyzetből indulva teljesíthetik a DORA rendelet által előírt legtöbb követelményt. Számos ügyfelünk számára nyújtott kiberbiztonsági és reziliencia szolgáltatásaink tapasztalata alapján mégis azt tanácsoljuk, ne elégedjenek meg az eddig elért eredményekkel. A „túlságosan reziliens” és a „túlságosan biztonságos” fogalmak nem léteznek. Tartsák szem előtt, hogy minél inkább versenytársaik előtt járnak a reziliencia terén, annál nagyobb versenyelőnyt érnek el.
Véleményünk szerint a DORA egyszerre jelent kihívást és lehetőséget a pénzügyi szervezetek számára. Az uniós szinten egységes DORA követelmények azt jelentik, hogy a pénzügyi szervezeteknek az Európai Unió területén működő valamennyi üzleti egységükben egységes fejlettségi szintű kiberbiztonságot és működési rezilienciát kell biztosítaniuk.
A kétéves felkészülési időszak alatt a szervezeteknek sok mindent kell figyelembe venniük, megvalósítaniuk és felmutatniuk.
A pénzügyi szervezetek mostantól kezdve átfogó GAP elemzéseket fognak végezni a DORA rendelet követelményeihez viszonyított érettségük szintjének felmérése, valamint a további beruházást és priorizálást igénylő területek korai azonosítása érdekében. Ezáltal az Önök szervezete is előnyösebb helyzetből lesz képes a beszállítói kockázatkezelés, a fenyegetettséggel kapcsolatos hírszerzés, és a magas szintű biztonsági tesztelés komplexebb követelményeinek megfelelni és ily módon versenyelőnyre szert tenni.
A DORA meglátásunk szerint jelentős változásokat hoz az ESMA vagy az EIOPA felügyelete alá tartozó szervezetek számára, illetve azon bankok számára is, melyeknek korábban az EBA és a KNF bankfelügyeleti irányelveknek kellett megfelelniük. A DORA kiterjeszti hatályát a pénzügyi szektorban működő, de eddig a kiterjedt IKT-biztonsági szabályozás alá nem tartozó más érdekeltekre, pl. kriptoeszköz-szolgáltatókra, alternatív befektetési alapok kezelőire, közösségi finanszírozási szolgáltatókra, felhőszolgáltatókra és harmadik fél IKT-szolgáltatókra is.
Mivel a rendelet erős hangsúlyt helyez a harmadik féltől eredő kockázatok kezelésére, a szervezetek számára előírja a harmadik felek rezilienciájának ellenőrzését, melyhez a kritikus IKT-szolgáltatóval folytatott szoros együttműködés és közös erőfeszítések szükségesek, különösen azokban az esetekben, amikor a szolgáltató egy fontos üzleti szolgáltatás nyújtását támogatja.
A pénzügyi szervezeteknek átfogó IKT kockázatkezelési keretrendszert kell létrehozniuk, melynek részeként:
A pénzügyi szervezetek számára előírt:
A rendelet valamennyi szervezet számára előírja:
A pénzügyi szervezetek számára előírt: