A pénzügyi szolgáltató cégeknek és technológiai beszállítóiknak egyaránt meg kell erősíteniük informatikai rendszereiket annak érdekében, hogy az ágazat ellenálló legyen kibertámadás vagy egyéb zavarok esetén. Erről szól az EU digitális ellenálló-képességről szóló törvénye, a DORA. A rendelet január 17-én lépett hatályba.
Lesznek lemaradók, de vannak túlteljesítők
Az új szabályokat megszegő pénzügyi szolgáltató cégek akár az éves globális bevétel 2 százalékának megfelelő bírsággal is számolhatnak.
Akár az egyéni vezetők is felelősségre vonhatók a jogsértésekért, és akár egymillió eurós szankcióval is számolhatnak.
Harvey Jang, a Cisco informatikai óriáscég adatvédelmi igazgatója és helyettes jogtanácsosa szerint a pénzügyi szolgáltató cégek eddig vegyesen feleltek meg az új szabályoknak. Jang a CNBC-nek adott interjújában rámutatott: “az érettebb fázisban lévő vállalatok már előrébb járnak, és legalább egy éve foglalkoznak ezzel a kérdéssel.”
A DORA-nak való megfeleléssel kapcsolatos közös megegyezés hiánya viszont sok intézményt arra késztetett: olyan szintre emelje a biztonsági szabványokat, hogy azok meghaladják a legtöbb cégtől elvárt “alapszintet” – tette hozzá Jang.
Hol tart a jogszabályi megfelelőség?
A DORA értelmében a pénzügyi vállalkozások számára előírt intézkedések:
- IT-kockázat- és incidenskezelés
- ezek osztályozása és jelentéstétel
- működési rugalmasság tesztelése
- a kiberfenyegetésekkel és sérülékenységekkel kapcsolatos hírszerzési információk megosztása
- a harmadik fél kockázatainak kezelése
Az Orange Cyberdefense, az Orange francia távközlési vállalat kiberbiztonsági részlege megbízásából 200 brit információbiztonsági vezető megkérdezésével készített felmérést. Eszerint a brit pénzintézetek 43 százaléka még nem felel meg teljes mértékben a DORA-nak.
Ez azért aggasztó, mert bár Nagy-Britannia jelenleg nem tagja az Európai Uniónak, a DORA az EU joghatóságán belül működő valamennyi pénzügyi szervezetre vonatkozik. Még akkor is, ha székhelyük a tömbön kívül van – hangsúlyozta Richard Lindsay, az Orange Cyberdefense vezető tanácsadója a CNBC-nek.
Nem fogják sokáig halogatni
A DORA-nak való megfelelés elérése során sok pénzintézet számára a legnagyobb kihívást a kritikus fontosságú, harmadik féltől származó informatikai szolgáltatók kezelése jelentette.
A pénzintézetek ugyanis egy többrétegű és rendkívül összetett digitális ökoszisztémában működnek. Lindsay szerint pedig az, hogy e rendszer minden része megfeleljen a DORA vonatkozó elemeinek, új gondolkodásmódot, megoldásokat és erőforrásokat igényel.
A kihívások ellenére a szakértők általános várakozása szerint a bankok és más pénzügyi intézmények nem fogják elodázni a megfelelést.
“Az európai bankok már most is jelentős szabályozásoknak felelnek meg, amelyek a DORA hatálya alá tartozó területek többségét lefedik” – mondta Fabio Colombo, az Accenture EMEA pénzügyi szolgáltatási biztonsági vezetője.
Ennek eredményeképpen a pénzügyi szolgáltató intézmények már rendelkeznek kiforrott irányítási és megfelelési képességekkel, meglévő incidensjelentési folyamatokkal és szilárd IKT kockázati keretekkel.
Eközben számos más kiberbiztonsági szabályozással is meg kell “barátkozniuk” a szervezeteknek. Ilyen az októberben hatálybalépett Network and Information Security Directive 2 (NIS 2), valamint a Kiberreziliencia-rendelet (Cyber Resilient Act).
(Kép: Unsplash.com/Joe Stubbs)