Egyre több pénzügyi intézmény kerül kiberbűnözők célkeresztjébe. Ha a támadásuk sikeres, annak súlyos következményei lehetnek, hiszen nagy mennyiségű érzékeny pénzügyi és személyes adathoz férhetnek hozzá. Az Európai Bizottság a kibertámadások elleni védekezés összehangolása érdekében egyéges törvényi szabályozást készít elő.
A DORA céljai
Bár a pénzügyi szektorban tevékenykedő szervezetek (bankok, biztosító társaságok, brókercégek) egy erősen integrált és kölcsönös függőségeken alapuló rendszerben működnek, az EU tagállamaiban nem egységes, ráadásul sok esetben nehezen összeegyeztethető az informatikai kockázatok kezelésére vonatkozó törvényi szabályozás.
Az Európai Bizottság emiatt közösségi szinten szeretné szabályozni az informatikai kockázatok és fenyegetettségek kezelését szolgáló szabályokat, illetve az azok elleni fellépést. Ezért jött létre a digitális működési ellenállóképesség („Digital Operational Resilience”), amely megmutatja, hogy az egyes szervezetek mennyire ellenállóak a kibertérből érkező fenyegetettségekkel szemben.
A DORA-nak köszönhetően átláthatóbb lesz a törvényi szabályozás és mérséklődnek a törvényi megfeleléshez kapcsolódó adminisztrációs és pénzügyi terhek. Ám a DORA új informatikai biztonsági elvárásokat is megfogalmaz. A pénzügyi intézményeknek szoftveres megoldásokkal rendszeresen tesztelniük kell digitális működési ellenállóképességüket és ők lesznek felelősek a számukra technológiai megoldásokat vagy szolgáltatásokat biztosító harmadik felek kockázatkezelésének monitorozásáért is.
A DORA működése
A végleges szabályozást várhatóan 2022-ben fogadhatják el, majd a tervek szerint egy tizenkét hónapos átmeneti időszak jön, hogy az érintettek felkészülhessenek a szabályok alkalmazására.
„A DORA két különálló részből állna. Az első a pénzügyi intézményekre, míg a második a pénzügyi intézmények számára harmadik félként technológiai szolgáltatásokat biztosító vállalatokra fókuszál. Figyelembe veszi egy pénzügyi intézmény méretét, tevékenységeit, valamint üzleti profilját, és ezeknek megfelelően határozza meg, milyen informatikai kockázatkezelés elvárásoknak kell megfelelni” – mondta Szöllősi Zoltán, Deloitte IT kockázati tanácsadási csoportjának igazgatója.
A szabályozás a tagállamok felügyeleti szerveiből létrehoz egy közös EU-s szintű felügyeleti bizottságot, amelynek joga lesz kinevezni egy-egy tagállami hatóságot. A pénzügyi intézményeknek technológiai szolgáltatásokat nyújtó harmadik feleknek hozzáférést kell majd biztosítaniuk a tagállami hatóság számára a megfelelőségi vizsgálat elvégzéséhez szükséges információkhoz.
Fintech cégek és a DORA
Mivel a fintech vállalatok száma és fontossága gyorsuló ütemben nő, egyre inkább emelkedik a pénzügyi intézmények kitettsége a nekik szolgáltatásokat nyújtó vállalatokat érintő fenyegetettségekkel szemben, azaz egyre gyakrabban éri kibertámadás a pénzintézeteket valamilyen külső szolgáltatón keresztül.
„A DORA jelentősen módosítani fogja a törvényhozói elvárásokat a fintech cégekkel szemben. A rájuk jellemző gyors növekedés miatt fontos lesz a DORA arányossági elve, amely a megfelelési elvárások rendszeres felülvizsgálatát teszi szükségessé” – tette hozzá Szöllősi Zoltán.
Az európai fintech piacon a DORA alkalmazását követően kiemelten fontos téma lesz a törvényi megfelelés, mivel a pénzügyi vállalkozások is felelősek lesznek a nekik szolgáltatást nyújtó fintech cégek megfelelőségéért.
Bárhol kóstoltam, két napon keresztül előbb-utóbb felemlegették. Túl sokan ahhoz, hogy szó nélkül hagyjuk.
A sikeres megbeszélések nyomán a kivitelezés új lendületet kap – mondta Szijjártó Péter, miután a Roszatom képviselőivel tárgyalt.