Nyakunkon a DORA: az EU új fejezetet nyit a biztonságos pénzügyekben

Dobler Alexandra

A női név mellett egy új uniós irányelvet takar a DORA betűszó, mely a digitális pénzügyi szolgáltatások biztonságosabb megvalósítását tűzte ki célul.

 

Az utóbbi években egyre több digitális banki megoldást láthatunk a piacon, amelyek mögött cégek és beszállítók bonyolult hálója biztosítja az ügyfelek minél gyorsabb, hatékonyabb és jobb élményt nyújtó kiszolgálását. Ezek a fejlesztések azonban a pénzügyi szervezetek számára kockázatokat és sebezhetőséget is jelentenek. Az esetleges kibertámadások a pénzügyi szolgáltatások megakadásához vagy kimaradásához vezethetnek, de akár más vállalatokra, szektorokra és így közvetetten a gazdaság többi részére is hatással lehetnek. Ezért is született meg a DORA.

 

A DORA rendet tesz a pénzügyi kibertérben

A DORA (Digital Operational Resilience Act) egy uniós irányelv, melynek célja a digitális folyamatok ellenállóképességének javítása a pénzügyi szektorban. Azaz egy olyan keretrendszert hoz létre, melynek minden uniós tagállam és azok minden pénzügyi szektorban tevékenykedő vállalata (bank, biztosító, brókercég, kriptokereskedő platform, befektetési vállalat stb.) köteles megfelelni. Célja pedig a kiberbiztonság fejlesztése, az IT biztonsági kockázatok csökkentése ezeken a területeken.

Az irányelvben szereplő elvárások öt kulcsterületet érintenek:

  • a kockázatkezelést, mely bizonyos biztonsági keretrendszerek adaptálását és kockázatok kezelési intézkedéseit jelenti;
  • a kiber reziliencia növelését a hatékony kommunikáció és folyamatos tanulás által;
  • az esetlegesen bekövetkező incidensek hatékony, központosított kezelését és riportálását;
  • a harmadik felek kockázatkezelését, a beszállítókkal kötött szerződések IT biztonsági előírásainak nyomon követésével, illetve kockázatainak kezelésére felállított stratégiával;
  • a biztonsági követelményeket, melyeket a DORA rendelet egységesít, valamint a pénzügyi szereplők közötti információáramlást is ösztönzi.

Hogy mit jelent ez a gyakorlatban? A különböző pénzügyi szolgáltatóknak újra kell gondolniuk irányítási struktúrájuk működését és szervezeti felépítésüket. Szükséges a munkavállalók és döntéshozók edukálása, új kockázatelemzési modellek és kockázatkezelési stratégiák kidolgozása. Ezen felül többek között biztonsági és sérülékenységi vizsgálatokat kell végezniük a szolgáltatóknak, erősíteniük kell titkosítási, hitelesítési folyamataikat, valamint válságkezelési terveket kell készíteniük az esetlegesen bekövetkező incidensek megfelelő és hatékony kezelésére. A kitettségek csökkentése érdekében a beszállítók kockázati szempontból történő értékelése is kiemelten fontos az új irányelv által megszabott rendelkezések között. A bankok, a biztosítók és az egyéb pénzügyi szolgáltatók tekintetében tehát leginkább az információbiztonsági és a beszállítói területeket érintik az intézkedések.

Mi pedig, akár lakossági, akár vállalati ügyfélként nagyobb biztonságban tudhatjuk a pénzünket, kevésbé kell tartanunk a szolgáltatáskieséstől és megbizonyosodhatunk arról, hogy a pénzügyi szolgáltatók is lépést tartanak a technológiai fejlődéssel, és az újonnan felmerülő kockázatokkal.

2024 a felkészülés éve

Az irányelvet már publikálta az Európai Parlament, a részletszabályok kidolgozása azonban még folyamatban van. Ezzel kapcsolatban az idei év során több konzultációt is tartott az Európai Bankhatóság az érintettekkel. A részletszabályok várhatóan jövő év elején jelennek meg, a hatályba lépés dátuma pedig 2025. január 17.

Látható, hogy az intézkedéscsomag több, komplex témát is érint, melyek különböző területeket ölelnek fel. Így a következő, 2024-es év a bankok és a pénzügyi szektor egyéb szereplői számára a felkészülés, és egyben a komoly munka időszaka lesz.

A szerző tanácsadó.

Keressék szakértőinket bizalommal, hathatós támogatást nyújtunk a felkészülési feladatokban!