Az IVSZ Szabályozási Munkacsoportjának ülésein igyekszünk az aktuális, a tagjainkat leginkább érintő témákat feldolgozni. Nem tettünk most sem másképp: november 23-án nyílt munkacsoporti találkozónkon a DORA (Digital Operational Resilience Act) rendelettel összefüggő legfontosabb tudnivalókat néztük át meghívott szakértőink segítségével.  

Szövetségünk munkacsoportjai a szabályozási, piaci változásokkal kapcsolatos kérdések mellett rendre reagálnak a tagok igényeire, kérdéseire is, melyek között előkelő helyen szerepelnek a kibervédelemmel és rezílienciával összefüggő szabályozási témák. A DORA rendelet, illetve annak az egységes követelményrendszere is ide tartozik, hiszen a pénzügyi szektor digitális ellenállóképességét hivatott biztosítani.  

Az új szabályozás húszféle pénzügyi szervezetre, valamint külső IKT szállítóikra egyaránt vonatkozik (függetlenül attól, hogy kiszervezés keretében, vagy egyéb módon nyújtják ezen szolgáltatásaikat), így munkacsoportunk tagjai és az IVSZ tagvállalatai is érintettek lehetnek, ezért nyílt ülésünkre két vendéget is hívtunk, akik előadásaikkal segítették a könnyebb megértést. 

Nem egy szükséges rossz 

Mátyás Péter, a PwC senior managere egy átfogó, általános képet adott a rendeletről és annak vállalatokra gyakorolt hatásairól, gyakorlati példákon keresztül bemutatva, hogy egy-egy kibertámadás milyen következményekkel jár(hat), akár pénzügyi, akár szervezeti oldalról. Dr. Horváth Katalin, a CMS Budapest senior tanácsadója, és egyben az IVSZ Szabályozási Munkacsoportjának társvezetője a DORA jogi aspektusait ismertette a résztvevőkkel, illetve felhívta a figyelmet a lépésekre, amelyeket kötelezően meg kell tennie minden érintett vállalatnak, mérettől függetlenül. 

“A DORA-ra ne egy szükséges rosszként, akadályként tekintsünk, hanem remek lehetőségként!” – hangsúlyozta Mátyás Péter.  

A tanácsadó cégtől érkezett szakember több előnyét is látja a rendeletnek: javítja a kibertámadásokra való reagálási képességet és lerövidíti annak időtartamát; stratégiailag összehangolja az IKT-, és a vállalati kockázatkezelést; miközben a DORA-nak való megfelelés fenntartja a fogyasztók bizalmát, és biztosítja a szolgáltatások folyamatosságát. 

Véleménye szerint, mivel a rendelet rengeteg területet ölel fel, a vállalatok és azok vezetői egyelőre nehezen találják a helyét a működésben. Erre a felvetésre reagálva munkacsoporti ülésünkön megpróbáltuk összeszedni, hogy pontosan mi is vár a cégekre, milyen lépéseket kell tenniük 2025. január 17-ig. 

„A DORA követelményeinek teljesítéséhez a szervezeteknek komplex, kiépített, megbízható kockázatkezelési folyamatokra van szüksége.” – ennek a kockázatkezelési keretrendszernek az elemeit és főbb pontjait dr. Horváth Katalin ismertette a résztvevőkkel. 

A rendelet definíciója szerint az IKT szolgáltatások: “IKT rendszerek útján egy vagy több belső vagy külső felhasználó részére folyamatos jelleggel nyújtott digitális-, és adatszolgáltatások, ideértve a hardvert, mint szolgáltatást és a hardverszolgáltatásokat, ami magában foglalja a hardverszolgáltató általi szoftver-, vagy firmware frissítéseket is; ide nem értve a hagyományos analóg telefonszolgáltatásokat.” 

Ez alapján tehát a rendelet hatálya alá esik: a felhőszolgáltatás, a szoftvertámogatás, a szoftver licencia, a HW és SW karbantartás, a HW és SW üzemeltetés, az adatközpont, az adattárolás, az adatelemzés, az analitika, az adatmonitoring és az adatbevitel. 

Minél előbb lépünk, annál jobb 

Dr. Horváth Katalin kiemelte: a DORA rendeletet kockázat-arányosan kell alkalmazni, tehát egy nagy bankra nem ugyanazok a szabályok vonatkoznak, mint egy kkv-szolgáltatóra.  

Munkacsoportjaink ülésein rendre előkerül a vezetői felelősség kérdésköre (így volt ez november 23-i alkalmunkkor is), de a rendelet erre is választ ad. A DORA abból indul ki, hogy van egy képzett, tájékozott vezetői réteg, akiknek gondoskodniuk kell arról, hogy (mivel a DORA jelentős erőforrásokat, költségeket igényel) legyenek meg a felelősségi körök vállalaton belül, a szabályzatok naprakészek legyenek az ellenőrzési tervekkel együtt, és a munkavállalók rendszeres képzésben részesüljenek (nem csak a DORA-ról, hanem minden új technológiáról és annak a szervezetükre való hatásáról is). 

Munkacsoportunk társvezetője rámutatott, hogy a DORA-ban ugyan vannak újdonságok, de régi szabályozási elemeket is tartalmaz. Mátyás Péter ahhoz hasonlította a folyamatot, mint amikor „„A régiségbolt kirakatában kiírják, hogy új áru érkezett”.

A rendeletnek való megfeleléshez a pénzintézeteknek és IKT-szolgáltatóknak fel kell térképeznie a külső szolgáltatókat és a felhőszolgáltatókat, növelni szükséges a tudatosságot, a kibervédelemre nagyobb hangsúlyt kell fektetni. 

A harmadik legtámadottabb szektor biztonsági szempontból a pénzügyi szektor (Európában ezen belül a legtöbben a biztosítókat támadják). Abban mindkét szakember egyetértett munkacsoportunk tagjaival, hogy jó ismerni és előre felmérni a lehetséges a kockázatokat, fenyegetéseket, és minél előbb meg kell tenni a szükséges lépéseket. 

Amennyiben további kérdéseid lennének a DORA-val kapcsolatban, vagy szívesen csatlakoznál Szabályozási Munkacsoportunkhoz, keresd Derzsényi Évát, a derzsenyi.eva@ivsz.hu e-mail címen.