DORA RENDELET: MI AZ A DORA? (1. RÉSZ)

A GDPR-t, mint Általános Adatvédelmi Rendeletet, talán senkinek sem kell bemutatni, több, mint 4 éve velünk él és valamilyen formában mindenki találkozik vele. Azt talán már kevesebben tudják, hogy az EU-ban jelenleg több olyan jogszabály előkészítése vagy éppen elfogadása is terítéken van, amelyek az adatvédelemhez, információbiztonsághoz, illetve a mesterséges intelligenciához kapcsolódnak, egy-egy jól megfogalmazott stratégia részeként. Ebben a rendszerben kiemelt szerepet kap a kiberbiztonság, a Európai Bizottság megfogalmazása szerint ugyanis a 2020-2030 közötti időszak “Európa digitális évtizede”. Az egységes, uniós szabályozás megteremtését több állásfoglalás, irányelv és rendelet fogja segíteni.

A közeli és távoli jövőben megjelenő új jogszabályok közül az egyik a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), amelynek célja, hogy a pénzügyi szervezetek számára az információs és kommunikációs technológiák (IKT) használatára vonatkozóan közös szabályokat írjon elő. Ezt a rendeletet ugyan még nem fogadták el, de 2022. május 10-én ideiglenes megállapodással az előzetes tárgyalások lezárultak és várhatóan idén elfogadásra is kerül. A beterjesztett rendelet tervezet szövegében már csak pontosítások várhatóak a különböző határidők tekintetében.

Ha egyszerűen akarjuk értelmezni, akkor azt mondhatjuk, hogy a DORA a pénzügyi szervezetekre fog vonatkozni – ami igaz is meg nem is. Ugyanis a rendelet tervezet 20 pontban, tételesen felsorolja, mit kell pénzügyi szervezet alatt érteni, de a jogszabályt kiterjeszti a harmadik félnek minősülő IKT szolgáltatókra is. Ezek alatt a digitális és adatszolgáltatást nyújtó vállalkozásokat (pl. felhőszolgáltató, szoftverszolgáltató, adatközpont) kell érteni, akik szerződéses kapcsolatban állnak a pénzügyi szervezettel. Ezáltal egy jóval nagyobb kört von be, akiknek meg kell felelnie a rendeletnek. (A témához tartozó következő részben részletesebben is foglalkozunk a DORA alanyaival.)

A DORA tervezet főbb területei a következők:

a) IKT kockázatkezelés: A pénzügyi szervezeteknek átfogó és jól dokumentált IKT kockázatkezelési keretrendszerrel kell rendelkezniük.
b) IKT vonatkozású biztonsági események kezelése, osztályozása, bejelentése: A pénzügyi szervezeteknek a biztonsági eseményeket osztályozni kell és a jelentős IKT vonatkozású biztonsági eseményeket az adatvédelmi incidensekhez hasonlóan, az illetékes hatóságnak be kell majd jelenteni.
c) Digitális működési reziliencia tesztelése: A pénzügyi szervezeteknek legalább évente tesztelniük kell valamennyi kulcsfontosságú IKT rendszerüket és alkalmazásukat, illetve legalább 3 évente behatolási teszteket kell végrehajtani.
d) Harmadik féltől eredő IKT kockázat kezelése: A külső IKT szolgáltatókra is stratégiát kell alkotni, illetve bevezetésre kerül a kulcsfontosságú IKT szolgáltató megnevezés, akire külön szabályok vonatkoznak majd.
e) Információmegosztásra vonatkozó megállapodások: A pénzügyi szervezetek, egymás közötti megállapodások alapján megoszthatják egymás között az információkat.

Azon pénzügyi szervezetek számára, ahol eddig is működött valamilyen információbiztonsági rendszer és kockázatelemzés, ott nem lesz akkora újdonság a DORA bevezetése, bár tény, hogy tennivaló így is lesz bőven. Ettől függetlenül a felkészülést el kell kezdeni, most még időben vagyunk.
(A sorozat következő részeiben a DORA egy-egy részével vagy újdonságával foglalkozunk részletesebben.)