Fejezetek 10 Hatályos: 2025. január 17.

DORA

Digitális Működési Ellenállóképességi Rendelet

Áttekintés

A Digitális Működési Ellenállóképességi Rendelet (DORA) egységes követelményeket állapít meg a pénzügyi szereplők üzleti folyamatait támogató hálózati és információs rendszerek biztonságára és ellenállóképességére vonatkozóan. Emellett keretet teremt a kritikus IKT harmadik fél szolgáltatók felügyeletére.[1]

A DORA rendelet, ami azt jelenti, hogy közvetlenül alkalmazandó az összes EU tagállamban, átvétel nélkül.

Hatály alá tartozó szereplők

Pénzügyi szereplők[2]

  • Hitelintézetek (bankok)
  • Fizetési intézmények
  • Elektronikus pénz intézmények
  • Befektetési vállalkozások
  • Biztosítási és viszontbiztosítási vállalkozások
  • Központi értéktárak
  • Ügyletrögzítő rendszerek
  • Hitelminősítő intézetek
  • Kriptoeszköz-szolgáltatók
  • Közösségi finanszírozási szolgáltatók
  • Adatszolgáltató szolgáltatók

Kritikus IKT harmadik fél szolgáltatók

Az Európai Felügyeleti Hatóságok a kritikus IKT szolgáltatókat az alábbiak alapján jelölik ki:

  • Rendszerszintű hatás, ha a szolgáltató meghibásodik
  • Helyettesíthetőség mértéke
  • A szolgáltatóra támaszkodó pénzügyi szereplők száma

A kijelölt szolgáltatók az EU felügyeleti keretrendszer hatálya alá tartoznak.

A DORA öt pillére

1. IKT kockázatkezelés (II. fejezet)

A pénzügyi szereplőknek létre kell hozniuk és fenn kell tartaniuk:

  • Vezetés: Az igazgatóság felelőssége az IKT kockázati stratégia tekintetében
  • Kockázati keret: Azonosítás, védelem, észlelés, reagálás, helyreállítás
  • Dokumentáció: IKT biztonsági irányelvek, eljárások és protokollok
  • Tesztelés: Az IKT rendszerek és eszközök rendszeres értékelése

2. IKT események bejelentése (III. fejezet)[3]

KövetelményRészletek
OsztályozásEgységes kritériumok az esemény súlyosságára
Első értesítésAz illetékes hatóságnak 4 órán belül az osztályozástól
Köztes jelentés72 órán belül frissítésekkel
Végleges jelentés1 hónapon belül a megoldást követően
Önkéntes jelentésJelentős kibertámadások bejelenthetők

A jelentős IKT-hez kapcsolódó eseményeket szabványosított sablonokkal kell bejelenteni.

3. Digitális működési ellenállóképesség tesztelése (IV. fejezet)

Szereplő típusaTesztelési követelmény
Összes szereplőÉves IKT tesztelési program
Jelentős szereplőkFenyegetés-alapú behatolás-tesztelés (TLPT) 3 évente
Kritikus IKT szolgáltatókRészt vehetnek közös TLPT-ben

A tesztelésnek ki kell terjednie: sérülékenység-értékelésekre, hálózatbiztonsági értékelésekre, szoftverbiztonsági áttekintésekre, forráskód-ellenőrzésekre (ahol lehetséges), forgatókönyv-alapú tesztelésre és kompatibilitás tesztelésre.

4. Harmadik fél kockázatkezelés (V. fejezet)[4]

A pénzügyi szereplőknek:

  • Nyilvántartást kell vezetniük minden IKT harmadik fél megállapodásról
  • Előzetes átvilágítást kell végezniük a szerződéskötés előtt
  • Értékelniük kell a koncentrációs kockázatokat
  • Kötelező szerződéses rendelkezéseket kell tartalmazniuk
  • Kilépési stratégiákat kell meghatározniuk
  • Jelenteniük kell a megállapodásokat az illetékes hatóságoknak

Kötelező szerződéses feltételek közé tartoznak a szolgáltatási szint leírások, adatvédelmi kötelezettségek, hozzáférési és audit jogok, eseménybejelentési követelmények, valamint a szerződés megszüntetésének joga átmeneti támogatással.

5. Információmegosztás (VI. fejezet)

A pénzügyi szereplők bizalmi közösségekben megoszthatnak kibervédelmi fenyegetettségi információkat, titoktartási szabályok betartása mellett, a kollektív védelem erősítése érdekében.

Arányosság

A DORA arányosságot alkalmaz a szereplő mérete és kockázati profilja, a szolgáltatások jellege, mérete és összetettsége, valamint rendszerszintű jelentősége alapján.

Egyszerűsített követelmények vonatkoznak a kis és nem összekapcsolt befektetési vállalkozásokra, bizonyos küszöbérték alatti fizetési és elektronikus pénz intézményekre, valamint egyes biztosítási közvetítőkre.

Szankciók

Az illetékes hatóságok kiszabhatnak:[5]

  • Hatósági bírságokat
  • Időszakos bírságokat
  • Nyilvános közleményeket
  • Engedély visszavonását
  • Ideiglenes vezetői funkcióktól eltiltást

A konkrét összegeket a tagállami jogszabályok határozzák meg.

Fejlesztők és IKT szolgáltatók következményei

Ha IKT szolgáltatásokat nyújt a pénzügyi szektornak:

  1. Szerződés felülvizsgálat: Biztosítsa, hogy a szerződések megfeleljenek a DORA követelményeinek
  2. Eseménybejelentés: Hozzon létre bejelentési csatornákat az ügyfelek számára
  3. Támogatás a teszteléshez: Segítse az ügyfelek behatolás-tesztelését
  4. Kilépési tervezés: Tegye lehetővé a rendezett átmenetet szerződés megszűnése esetén
  5. Koncentrációs tudatosság: Figyelje szolgáltatásaira való függőségeket
  6. Kritikus besorolás: Készüljön fel az esetleges EU felügyeletre

Források és hivatkozások

[1]
2022/2554/EU rendelet a pénzügyi szektor digitális működési ellenállóképességéről. EUR-Lex: DORA hivatalos szöveg
[2]
DORA 2. cikk: Hatály. DORA portál: 2. cikk
[3]
DORA 17-23. cikkek: IKT-hez kapcsolódó események bejelentése. DORA portál: Eseménybejelentés
[4]
DORA 28-44. cikkek: Harmadik fél kockázatkezelés. DORA portál: Harmadik fél kockázat
[5]
DORA 50. cikk: Hatósági szankciók és helyreállító intézkedések. DORA portál: Szankciók