Egy fontos mérföldkő közeleg a pénzügyi szektor képviselői számára.

Az EU digitális működési ellenállóképességről szóló jogszabálya, közismert nevén DORA, 2025. január 17-étől lép életbe, kötelező érvényűvé válva az EU és EGT tagállamaiban. A pénzügyi szektor szereplőinek mostanra már csak az utolsó simításokat kell elvégezniük belső szabályaik tekintetében, hiszen csupán két hét választja el őket a határidőtől. Azonban számos feladat vár még megoldásra, elsősorban azért, mert a végrehajtáshoz szükséges részletes előírások, melyeket a technikai rendeletek tartalmaznak, csak 2024 végén lépnek hatályba, vagy jelenleg még csak tervezet formájában állnak rendelkezésre. Ebben a cikkben néhány kulcsfontosságú téma kerül terítékre, amelyek a legfrissebb fejleményeket érintik, vagy ahol félreértések is felmerültek a felkészülési folyamat során.

Két új fejlemény volt az év végén. Az egyik az IKT (a rövidítés az információs és kommunikációs technológiákat jelöli - a szerk.) szolgáltatók nyilvántartására és a kritikus IKT-szolgáltatók bejelentésére vonatkozó előírások helyzetével kapcsolatos. A másik a jelentős infokommunikációs események és fenyegetések a Magyar Nemzeti Bank (MNB) felé való bejelentésének kommunikációs csatornájának megnyitása.

A DORA szabályozás előírja, hogy a pénzügyi intézményeknek 2025. január 17-től kezdődően minden, harmadik félként működő IKT-szolgáltatóval kötött szerződéses megállapodásukat nyomon kell követniük és nyilvántartaniuk kell az azokra vonatkozó információkat.

A pénzügyi intézményeknek fel kell készülniük arra, hogy nyilvántartásaikat bejelentsék a megfelelő hatóságoknak, különös figyelmet szentelve a kritikus informatikai és kommunikációs technológiai (IKT) szolgáltatók azonosítására. Az illetékes hatóságoknak 2025. április 30-ig kötelező jelenteniük a kritikus harmadik fél IKT-szolgáltatókra vonatkozó adatokat az Európai Felügyeleti Hatóságoknak, vagyis az EBH-nak, EBFH-nak és ESMA-nak, más néven EFH-ként is emlegetve.

A nyilvántartások

- a pénzügyi szervezetek számára a harmadik féltől eredő IKT-kockázat nyomon követésére,

Az uniós hatóságok (EFH-k) számára elengedhetetlen, hogy a pénzügyi intézmények esetében figyelemmel kísérjék az információs és kommunikációs technológiák, valamint a harmadik felek általi kockázatkezelés felügyeletét. Ezen feladatok ellátása hozzájárul a pénzügyi stabilitás megőrzéséhez és a piaci bizalom erősítéséhez.

Az EFH-k esetében az uniós szintű felügyelet hatálya alá tartozó, harmadik félként definiált kulcsfontosságú informatikai és kommunikációs technológiai szolgáltatók azonosítására szolgáló eljárásokról van szó.

Csak december 20-án jelent meg a jelentés tartalmát előíró jogi dokumentum (ITS), amely meghatározza az információ-nyilvántartások végleges tartalmát. Két nappal korábban, december 18-án az EU felügyeleti hatóságok workshopot tartottak előzetesen. Ezen a megbeszélésen megismerhető volt az EU felügyeleti hatóságok értékelése a nyáron végrehajtott önkéntes adatszolgáltatás "dry run exercise" (ezzel az angol kifejezéssel illetik a tesztidőszakot - a szerk.) tapasztalatairól. Január 17-ét követően már élesben kell az adatszolgáltatást teljesíteni az MNB-nek és e jelentések alapján készül az információszolgáltatás az EFH-k részére. Az ütemterv az MNB oldalán nyomon követhető.

2022. december 27-én az EU Hivatalos Lapjában közzétett információk szerint a DORA rendelet hatálya alá tartozó intézményeknek kötelezően be kell számolniuk a felügyeleti hatóságaiknak a jelentős és kockázatos IKT-eseményeikről, illetve a komoly fenyegetéseikről, mindezt önkéntes alapon.

Az MNB tájékoztatása szerint a DORA rendelet szerinti esemény és fenyegetés bejelentéséhez az ERA rendszeren belül egy új adatszolgáltató felületet hoz létre "DORA Incidens bejelentés" néven. Az új ERA szolgáltatásra a regisztráció 2025. január 2-ától elérhető. A DORA rendelet lehetőséget ad arra, hogy a rendelet által szabályozott, felügyelt intézmények kiszervezhetik az incidens és fenyegetés bejelentési kötelezettségeket harmadik fél szolgáltatónak.

A NIS 2 direktíva és a DORA (Digital Operational Resilience Act) összefonódása kulcsfontosságú a digitális biztonság és működési ellenállóság terén. Míg a NIS 2 direktíva a hálózati és információs rendszerek biztonságának megerősítésére irányul, a DORA a pénzügyi szektor digitális működésének stabilitását célozza meg. A NIS 2 direktíva célja, hogy a tagállamokban egységes keret biztosítson a kiberbiztonsági intézkedésekhez, különös figyelmet fordítva a kritikus infrastruktúrákra és a szolgáltatókra. Ezzel szemben a DORA azzal foglalkozik, hogy a pénzügyi intézmények és szolgáltatók képesek legyenek ellenállni a digitális zavaroknak, biztosítva ezzel a pénzügyi rendszer zökkenőmentes működését. E két jogszabály kölcsönhatása különösen fontos, mivel a pénzügyi szektor egyre inkább függ a digitális rendszerektől. A NIS 2 által előírt kiberbiztonsági intézkedések megerősítik a DORA keretein belüli működési ellenállóságot, míg a DORA kötelező előírásai hozzájárulnak a NIS 2 által megfogalmazott célok eléréséhez. Így együtt biztosítják a digitális környezet biztonságát és megbízhatóságát, védve a felhasználókat és a gazdaságot a potenciális fenyegetésektől.

Mára már tisztázódott, hogy mely szervezeteknek melyik szabályozási rezsim alá kell tartozniuk. Viszont, ahogy a szolgáltatások egybekapcsolódnak, úgy a szabályozás és a felügyelet is kapcsolódási pontok mellett épül fel. Egyik ilyen kapcsolódási pont, hogy a pénzügyi szervezetek az incidensekről az MNB-nek szóló önkéntes adatszolgáltatás mellett konkrét bejelentéseket kell tenni meghatározott feltételek esetén a kijelölt CSIRT hatóságnak is, így fontos a Nemzeti Kibervédelmi Intézettel is a kapcsolatok kiépítése.

A hatáskör-megosztás az MNB és az EU hatóságai között egy rendkívül fontos és összetett téma. Ez a megosztás nem csupán jogi kereteket ölel fel, hanem a pénzügyi stabilitás és a gazdasági fejlődés szempontjából is lényeges. Az MNB, mint a magyar központi bank, felelős a nemzeti monetáris politikáért és a pénzügyi rendszer felügyeletéért, míg az EU hatóságai, mint például az Európai Központi Bank (EKB), a közös európai pénzügyi politikák megvalósításáért és a pénzügyi integráció elősegítéséért dolgoznak. E két szint közötti hatáskör-megosztás komplexitása abban rejlik, hogy a nemzeti érdekek és a közös európai célok gyakran összefonódnak, ami kihívások elé állítja mindkét fél együttműködését. A hatékonyság növelése érdekében elengedhetetlen az átláthatóság és a kommunikáció javítása, hogy mindkét hatóság képes legyen reagálni a piaci folyamatokra, miközben megőrzi a pénzügyi stabilitást és a gazdasági növekedés fenntarthatóságát.

Az EU rendeletének értelmezése elsődlegesen az EU-s hatóságok feladata, viszont a jogszabályi keretek több szintet ölelnek fel, és a végrehajtás felelőssége az MNB-re terelődik. Ennek következtében a jogértelmezésre vonatkozó hatáskör megoszlik az EU hatóságok és az MNB között. Ezért a különböző szereplőknek tisztában kell lenniük azzal, hogy nem minden jogértelmezési kérdést lehet az MNB-hez benyújtani, még akkor sem, ha az MNB jogszabályi keretein belül jogosult iránymutatások kiadására.

A kiszervezési irányelvek továbbra is érvényben maradnak.

Hosszú ideig elterjedt volt az a vélekedés, miszerint a kiszervezési szabályokat felváltja a DORA keretrendszer, azonban a valóságban ezek a szabályok továbbra is párhuzamosan léteznek és érvényesek maradnak.

A DORA 16. cikkének keretein belül alkalmazott egyszerűsítések jelentős mértékben hozzájárulnak a szabályozási környezet átláthatóságához és a pénzügyi szolgáltatások hatékonyságának növeléséhez. Ezen intézkedések célja, hogy csökkentsék a bürokratikus terheket, elősegítve ezzel a gyorsabb és rugalmasabb működést a pénzügyi szektorban. Az egyszerűsítések révén a különböző szereplők könnyebben alkalmazkodhatnak a változó piaci körülményekhez, és hatékonyabban reagálhatnak az ügyféligényekre. A DORA 16. cikk tehát nem csupán a jogszabályi megfelelőség előmozdítását szolgálja, hanem a pénzügyi rendszerek stabilitásának és innovációs képességének erősítését is. Az egyszerűsítések bevezetésével a jogalkotók arra törekednek, hogy a digitális átalakulás folyamatát támogassák, miközben biztosítják a pénzügyi rendszer biztonságát és megbízhatóságát.

Azok a pénzügyi szektorba tartozó mikrovállalkozás méretű szolgáltatók, amelyek élhetnek az egyszerűsítés lehetőségével, nagyobb szabadságot élveznek a követelmények teljesítésekor, mert kockázatalapon lehetőségük van a megszabott keretek között rugalmasan, a tevékenységük jellegéhez szabva alkalmazni a szabályokat. A 16. cikk hatálya alá tartozóknak például nincs egy éves kötelező audit előírás, csak annyi, hogy rendszeresen ellenőrizni kell a szerződéses ITK-szolgáltatókat.

A harmadik feles ITK szolgáltatókkal fennálló szerződések felülvizsgálata

A rendelet 2025. január 17-ét jelöli meg mint a megfelelés határidejét, amely időpontig a rendelet hatálybalépésétől számított kétéves felkészülési idő után kell biztosítani a szükséges intézkedéseket. Elterjedt a piacon az a téves nézet, miszerint a DORA csak az ezt követően kötött IKT-szerződésekre vonatkozik. Ez a felfogás azonban nem csupán ellentmond a DORA szövegének, hanem a rendelet alapvető célkitűzéseivel is ellentétes, amelyek a kritikus és lényeges szolgáltatók kockázatainak felügyeletét célozzák. Ennek következtében minden érvényes és hatályos szerződést alaposan át kell nézni és szükség esetén módosítani kell 2025. január 17-ig. Az újonnan kötött szerződések kizárólag a DORA előírásainak megfelelően köthetők, és a megfelelőség folyamatos értékelése és felülvizsgálata elengedhetetlen.

"Holisztikus" IKT stratégia és egyéb megfelelési kérdések

Az IKT-kockázatkezelési keretrendszernek magában kell foglalnia egy digitális működési rezilienciára vonatkozó stratégiát is, amely meghatározza, hogy hogyan hajtandó végre a keret. E célból a digitális működési rezilienciára vonatkozó stratégiának magában kell foglalnia az IKT-kockázat kezelésére és a konkrét IKT-célkitűzések megvalósítására irányuló módszereket például, hogy az IKT kockázatkezelési keretrendszer hogyan támogatja a pénzügyi szervezet üzleti stratégiáját és célkitűzéseit.

A stratégiában fontos, hogy a rendelet által előírt tartalmi elemekre részletes válaszokat adjunk. Amennyiben a harmadik feles IKT-szolgáltató a NIS2 irányelvei alá tartozik, elengedhetetlen, hogy a megfelelésüket is alaposan megvizsgáljuk. Az elemzés során meg kell állapítanunk, hogy teljesítik-e az ott megfogalmazott kritériumokat. A felhőszolgáltatók esetében pedig nem elegendő csupán a tanúsítványok megléte; a megadott szempontok alapján alapos értékelésre van szükség ahhoz, hogy valóban megbízható szolgáltatót válasszunk.

A globális szolgáltatók értékelése, különösen a kisebb szolgáltatók szempontjából, komoly kihívásokat jelent a DORA-követelmények betartásában. Nem elegendő, ha egy szolgáltató csupán azt hirdeti, hogy megfelel a DORA előírásainak, és ezt különféle tesztekkel vagy szabványokkal próbálja igazolni. Még ilyen esetekben is elengedhetetlen az alapos elemzés elvégzése, hogy valóban biztosak lehessünk a megfelelés mértékében.

A szolgáltató szempontjából igénybe vett kritikus, fontos IKT-szolgáltatók elemzésekor az adatosztályozásból kell kiindulni, a szerződés teljesítése során fontos, hogy a társaság az előírt kontrollokat működtetni tudja. Kiemelten fontos a hatásvizsgálat, nyomon követés, hozzáférési, ellenőrzési és audit jogok kikötése. Meg kell határozni a gyakoriságot, mikor van ellenőrzés, annak mi a módszere, tárgya, célja.

A DORA keretein belül a pénzügyi intézmények kidolgozhatnak egy holisztikus informatikai stratégiát, amely több szolgáltatóra épül. Ez a stratégia lehet csoport- vagy szervezeti szintű, és célja, hogy feltárja a harmadik fél IKT-szolgáltatóktól való főbb függőségeket. Emellett részletesen bemutatja, hogy miért választották az adott beszerzési mixet a harmadik fél IKT-szolgáltatóknál, figyelembe véve a digitális működési reziliencia szempontjait.

A DORA szerint a pénzügyi szervezetek az uniós és a nemzeti ágazati jogszabályokkal összhangban kiszervezhetik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzésének feladatait csoporton belüli vagy külső vállalkozásokhoz.

Nem szabad elfelejteni, hogy a kiszervezés esetén a pénzügyi szervezet továbbra is teljes felelősséggel tartozik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzéséért.

A kisebb szolgáltatók megegyezhetnek egymással, közös felmérő kérdőív előkészítésében és közös audit lefolytatásában. Van erre már szektorszintű példa. Erre szolgál kérdőív kidolgozása egyedi vagy több szolgáltató közösen, illetve szektor szinten.

Végezetül meg kell említeni a management egyértelmű felelősségét a DORA rendelet értelmében a szabályozásnak való megfelelésért.