Új korszak a pénzügyi szektor szabályozásában: életbe lépett a DORA
A Digitális Operatív Reziliencia Törvénye (DORA) radikális változásokat hoz a pénzügyi szektor működésében, a szabályozás immár 20 különböző típusú pénzügyi szolgáltatóra terjed ki. Különlegessége, hogy először vonja felelősségre a harmadik félként tevékenykedő infokommunikációs (IKT) szolgáltatókat, így olyan cégeket is érint, amelyeket korábban semmilyen hasonló szabályozás nem kötelezett. Kiéleződött a vezetőség felelősségvállalása: a szabályok betartása alapvetően az ő feladatuk, ezzel a kihívás komoly szinteken nyer értelmet.
Kritikus IKT-szolgáltatók: kik ők és mi a szerepük?
A „kritikus IKT-szolgáltatók” koncepciója egészen új megközelítést képvisel. A jogalkotók ezekben a szolgáltatókban jelentős kockázatot látnak, hiszen ezek az infrastruktúra kiszolgálói. A széleskörű szabályozás egyik fókusza, hogy a közös szállítókkal összefüggésbe hozható kockázatokat azonosítani tudják, amit az ún. Legal Entity Identifier (LEI) kóddal szabályosítanak. Az LEI alkalmazását minden érintett szállítónak el kell végeznie, ami további adminisztratív terhet jelent számukra.
Éles tesztelések és incidenskezelés: új szintre emelkedő elvárások
A DORA nemcsak az azonosítást és adminisztrációt, hanem a rendszeres és mélyreható teszteléseket is megköveteli. Az előírt kockázatalapú IKT-tesztelési programok, rendszeres éles rendszertesztek és minimum háromévente végrehajtandó TLPT (Threat-led Penetration Testing) megkövetelik a szervezetek és harmadik feles partnereik együttműködését. A megfelelőséget szigorúan monitorozza majd a felügyelet.
Ezzel párhuzamosan az incidenskezelést is alaposan újradefiniálta a rendelet. A pénzügyi intézményeknek átláthatóbb és strukturáltabb rendszereket kell bevezetniük a jelentős események kategorizálásához és bejelentéséhez, amelyek szigorú határidőkhöz kötöttek.
MNB és szabályozói szigor: semmi sem lazít, csak szigorodik
Az MNB a már eddig is szigorú információbiztonsági elvárásai mellett a DORA szabályozáshoz igazítja ajánlásait. Ez a lépés nem enyhíti a meglévő előírásokat, hanem további összehangolásokat tesz szükségessé. Az eddig is teljesítőképesek számára ez nem jelent drámai változást, míg a lemaradó intézményeknek jelentős forrásigényes intézkedéseket kell tenniük, beleértve a szerződések újratárgyalását és átdolgozását is.
Kihívások és szakemberhiány: rendkívüli teher az érintetteken
A DORA hatályba lépése jelentős átfedést mutat más kiberbiztonsági szabályozások bevezetésével, mint a kiberbiztonsági törvény és kapcsolódó rendeletei. Ez masszív terhet ró a szektorban dolgozókra, legyenek azok alkalmazók vagy ellenőrzők. Az ebből következő szakemberhiány és a megfelelés költségeinek növekedése újabb problémákat generál, amelyek legalább akkora figyelmet igényelnek, mint maga a szabályozás.
Konzekvens szemléletmód: a jövő kihívásai
A DORA bevezetése elengedhetetlenné teszi a reziliencia fogalmának mélyebb megértését a pénzügyi szektorban. Az újdonságnak számító szabályok, mint például a kritikus szolgáltatók LEI-alapú azonosítása vagy a független tesztelések követelménye, nem csupán rövid távú lépéseket, hanem hosszú távú változásokat is ösztönöznek az ágazatban. A kötelezettségek betöltése ugyanakkor nélkülözhetetlen ahhoz, hogy a globális és regionális szabályozások szorításában a pénzügyi intézmények fenn tudják tartani a stabilitást és megbízhatóságot.
Forrás: www.vg.hu/velemeny/2025/03/dora-eletbe-lepett
