Két éve, 2023. január 16-án ütötték rá az uniós pecsétet az EU digitális operatív ellenálló-képességről szóló direktívájára, a DORA-ra (Digital Operational Resilience Act). A rendelet, melyet idén január 17-étől kell élesben alkalmazni, uniós szinten szabályozza a pénzügyi szervezetek információs és kommunikációs technológiai rendszereivel szemben támasztott biztonsági követelményeket. Egyaránt tartalmaz előírásokat az irányításra, a kockázatkezelésre, a digitális működési reziliencia tesztelésére, valamint a külső szolgáltatók kockázatainak kezelésére és az információmegosztásra vonatkozóan. A parlament tavaly áprilisban szavazta meg a magyar sajátosságokat is figyelembe vevő törvényt, amely a DORA végrehajtásának részletes szabályait tartalmazza.

A DORA nemcsak az uniós pénzügyi szervezetekre (bankok, hitelintézetek, befektetési vállalkozások, biztosítók, közösségi finanszírozási platformok stb.), hanem a nekik IKT szolgáltatásokat, termékeket kínáló kritikus harmadik felekre, például a szoftverforgalmazókra is vonatkozik. Mint a Sophos kiberbiztonsági cég lapunknak is megküldött összefoglaló anyagában felhívja a figyelmet, a rendelet lényegében azt a helyzetet igyekszik kezelni, hogy a pénzügyi szektornak egyre jelentősebb a függősége a digitális technológiáktól. Emiatt a működési ellenállás hiánya még akkor is veszélyezteti az egész pénzügyi rendszer szilárdságát, ha a hagyományos kockázatok kezeléséhez elegendő tőke áll rendelkezésre. A rendelet előírásait követve a pénzügyi szervezetek csökkenthetik a digitális fenyegetéseknek az üzletmenetük folytonosságára, a jogi felelősségükre, valamint a pénzügyi helyzetükre vagy a hírnévükre gyakorolt negatív hatásait, állítja a kiberbiztonsági cég.

A NIS2-vel együtt kell olvasni

Az előírások nem jelentenek drámai újításokat az érintettek számára, hiszen a tagállamok felügyeleti hatóságai eddig is megköveteltek bizonyos intézkedéseket a pénzügyi szervezetektől az üzleti folyamatait támogató hálózati és információs rendszerek biztonságával kapcsolatban. Korábban is szükség volt például IKT-kockázatkezelésre, ki kellett alakítani IKT-val kapcsolatos incidenskezelési folyamatokat, le kellett futtatni stresszteszteket, kezelni kellett az IKT-beszállítókkal járó kockázatokat stb. Az újdonság elsősorban abban áll, hogy az idén élesített NIS2-höz hasonlóan a korábbinál szélesebb kört érint – például a közösségi finanszírozási szolgáltatókra is vonatkozik –, és EU-s szinten egységesíti a követelményeket. Magyar sajátosság, hogy kivették a hatálya alól a Magyar Fejlesztési Bankot és az Eximbankot.

A NIS2 és a DORA célja egyaránt az EU kiberbiztonsági szintjének átfogó javítása, ennek megfelelően előírásaik között sok az átfedés (a NIS2-vel és hatásával ezekben a cikkekben foglalkoztunk). Utóbbi azonban ágazatspecifikus, azaz ún. lex specialis státuszú jogszabály (hivatalosan: jogi aktus). Ez a gyakorlatban azt jelenti, hogy elsőbbséget élvez a pénzügyi szektorban a NIS2-vel szemben.

Ez azonban nem jelenti azt, hogy a szektor szereplőinek megszűnnének a NIS2-vel kapcsolatos kötelezettségeik. Erről a NIS2 és a DORA is rendelkezik. Utóbbi például előírja, hogy a jelentős IKT-vonatkozású incidenseket nemcsak a DORA szerinti illetékes hatóságnak – Magyarországon a Magyar Nemzeti Banknak – kell bejelenteni, hanem a NIS2 szerinti számítógép-biztonsági eseményekre reagáló csoportnál (computer security incident response team – CSIRT) is, ami itthon a Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Központ.

Durva ösztönzők a megfelelésre

A DORA esetében – talán a szektor digitális kitettsége és érzékenysége miatt is – újragondolták az előírásoknak meg nem felelő szervezetek szankcionálását. A GDPR-tól és a NIS2-től eltérően napi alapú pénzbírsággal ösztönzik a cégeket a megfelelési követelmények gyors teljesítésére. A bírság maximális mértéke az érintett szervezet előző évi átlagos napi globális forgalmának 1 százaléka, ami az előírások teljesítéséig, legfeljebb hat hónapig ketyeghet.

_{(Nyitókép: Magyar Nemzeti Bank. Fotó: Göröntsér Vera/Köztérkép)}