Fontos mérföldkőhöz érkezett az európai pénzügyi szektor, ugyanis életbe lépett a DORA, az EU pénzintézetekre vonatkozó legújabb rendelete. Az angolul Digital Operational Resilience Act célja, hogy egy fejlett és egységes digitális ellenállóképességet hozzon létre az Unión belül. A rendelet az elmúlt 10-15 évben a pénzügyi szektort hatványozottan érintő digitalizáció miatt került kidolgozásra.
DORA: a digitális katasztrófák megelőzésének eszköze
A digitális átállás számos pozitívuma mellett új típusú kockázatokat hordoz magával. Tavaly az emberiség első kézből tapasztalhatta meg, milyen egy szektorokon átívelő, digitális infrastruktúrát érintő leállás. Akkor egy kiberbiztonsági cég, a CrowdStrike egy biztonsági frissítése ütött ki több millió Windows-eszközt világszerte. Az eset következtében számos országban leállt a légi- és vasúti közlekedés, tévécsatornák némultak el és bankok váltak elérhetetlenné. Július 19-én szó szerint egy digitális katasztrófa sújtott le a globális gazdaságra.
Az óriási károk mellett az eset egyértelművé tette, hogy szükség van a digitalizált világunk sérülékenységét komolyan venni. A CrowdStrike okozta káoszt viszonylag gyorsan, 24 órán belül sikerült a legtöbb szektorban orvosolni. Ez a hiba gyors azonosításának, és a kiberbiztonsági cég által azonnal kiadott frissítésnek volt köszönhető. Egy szándékos, rosszindulatú hackertámadás esetén azonban nem ment volna ennyire gördülékenyen a rendszerek helyreállítása.
A pénzügyi szektort és a tech vállalatokat érintő szabályozás
A DORA-t három évvel ezelőtt fogadta el az Európai Tanács, a Parlament és a Bizottság, 2023 január 16-án pedig hatályba is lépett. Az érintett vállalatoknak azonban további két évet adott az EU, hogy a rendelet által támasztott követelményeknek megfeleljenek. Bár a DORA elsősorban a pénzügyi szektornak szól, az őket kiszolgáló technológiai vállalatokat is érinti. A bankok és egyéb pénzügyi vállalatok IT infrastruktúráját ugyanis jellemzően külső szolgáltatók biztosítják. Ezért hitelintézetek, pénzforgalmi szolgáltatók, fizetési szolgáltatók, elektronikuspénz-kibocsátó intézmények, biztosítók, kriptoeszköz kibocsátok mellett felhőszolgáltatók, szoftverfejlesztő és adatelemző cégek is a törvény célkeresztjében vannak.
Az említett cégek számára öt területen ír elő szigorú szabályokat a rendelet:
- – információs és kommunikációs technológiai (IKT) kockázatkezelésről,
- – IKT incidensekkel kapcsolatos riportálási kötelezettségről,
- – digitális működés ellenállóságának teszteléséről,
- – kötelező információ megosztás kiberfenyegetettséggel és sebezhetőséggel kapcsolatban,
- – külső szolgáltatók IKT kockázatainak megfelelő kezelésével összefüggésben.
Az új szabályok értelmében minden vonatkozó IT rendszert alapos kockázatkezelési gyakorlatnak kell alávetni. Akár belső rendszerről, akár külső szolgáltató által kínált megoldásról van szó, a rendszerek monitorozása, a kockázatok feltárása és értékelése kötelező lesz minden szolgáltatónak. A folyamatos tesztelés a gyengepontok és sebezhetőségek megtalálást segíti elő. Az erőfeszítések ellenére kialakult incidensekről részletesen be kell számolni a megfelelő hatóságnak, akár véletlen hiba, akár szándékos támadás áll az adott eset hátterében.
Folyamatos munkával kerülhetőek el a rendszerleállások és a bírságok is
A rendelet bizonyos részei még mindig nincsenek véglegesítve, írta meg a Finextra egy szakértőre hivatkozva. Simon Treacy, pénzügyi szabályozás szakértő a hírportálnak elmondta, hogy a jogalkotók jelenleg is dolgoznak az IKT-szolgáltatások alvállalkozásba adására, és a penetrációs tesztelésre vonatkozó részleteken. Ezért még az is elképzelhető, hogy az érintett vállalatoknak meg kell hosszabbítaniuk a DORA-val kapcsolatos projektjeiket.
Carl Leonard, kiberbiztonsági szakértő szerint a DORA-hoz kapcsolódó projekteknek egyáltalán nem is szabad leállniuk. Véleménye szerint gyakori és kritikus hiba, hogy szervezetek a rendszereik ellenállóképességének fenntartását nem egy folyamatként kezelik. Egy IT infrastruktúra akkor tud valóban ellenálló lenni, ha állandó kockázatértékelésnek van kitéve. Ez különösen fontos új technológiák, szolgáltatások vagy beszállítók integrálásakor.
A szektor szereplőinek hozzáállásában gyökeres változást hozhat a DORA. Azok a pénzügyi vállalatok, akik nem felelnek meg az új szabályoknak globális bevételük akár 2 százalékára is büntethetőek lesznek. A rendelet egyéni felelősségre vonást is bevezet, a pénzügyi vállalatok menedzsereit akár 1 millió euróra is megbírságolhatják.
Forrás: Fintech.hu, Finextra, pymnts.com
Címlapkép: depositphotos