Az európai pénzügyi szektorban egyre nagyobb a hangsúly a kiberbiztonságon és a technológiai reziliencián. A DORA rendelet – amely 2025-től válik kötelezővé – nemcsak a pénzügyi intézmények, hanem az IT-szolgáltatók számára is új korszakot nyit a szolgáltatás teljes életciklusára vonatkozó átfogó elvárásainak köszönhetően, emellett komoly kihívásokat állít a pénzügyi intézmények és a szolgáltatók elé is. Tikos Anitát Kiss Franciska kérdezte.
A DORA-ban is sorra érkeznek a változások. Mi a legfontosabb, amiről más iparági szereplők miatt is beszélni kell?
Két dolgot emelnék ki, ami más szektorok számára is fontos: a harmadik fél IKT-szolgáltatókkal kapcsolatos követelményeket és a fenyegetésalapú tesztelést.
Kezdjük az elsővel.
Eddig is létezett a pénzügyi szektor szolgáltatóira követelményrendszer a kiszervezések és a felhőszolgáltatások esetében, de ami újdonság, hogy a DORA rendelet előírásai a korábbiaknál nagyobb szolgáltatói körre terjednek ki.
Egy olyan komplex intézkedés született, amely a korábbi elvárások alapján épül fel, és ezeket tökéletesíti, egységesíti. Fontos, hogy a pénzügyi szektorral együttműködő, a szektor szereplői számára szolgáltatást nyújtó intézmények is értesüljenek a változásról, hogy időben fel tudjanak készülni és megfeleljenek az előírásoknak.
Mi a másik változás?
A fenyegetésalapú tesztelési keretrendszer bevezetése, amely csak a pénzügyi szektort érinti, de a tesztelők számára is újdonság.
Ez a keretrendszer gyakorlatilag egy fenyegetettségi adatokon alapuló sérülékenységvizsgálat, kiberbiztonsági gyakorlat egyidejű megvalósulását jelenti hatósági felügyelettel. Érdekessége, hogy mindezt éles rendszeren végzik majd el a tesztelők. Ezek a tesztek komplexen mutatják meg a rendszerek sérülékenységeit, a folyamatok működését, és azt, hogy a tesztet végző intézmények munkavállalói megfelelően felkészültek-e.
Azt viszont fontos tudni, hogy nem minden pénzügyi intézmény számára kötelező tesztről van szó, hanem a hatóság által (az érettségük alapján) kijelölt intézményeknek kell majd elvégezniük. Természetesen az alacsonyabb érettségi szinten lévő intézményeknél nem érdemes rögtön az éles rendszeren egy ilyen komplex tesztet végezni.
Korábban hasonló célt szolgált a TIBER EU keretrendszer, amit több tagállam már implementált, de Magyarország még nem. Ennek helyébe lép a DORA?
Igen, a DORA rendelet EU-szinten egységesen kötelezővé teszi ezt a komplex tesztelést, amit több tagállamban már aktívan végeznek a TIBER EU alapján.
Mi jellemzi most IT-biztonsági szemszögből a hazai pénzügyi piacot?
A pénzügyi szektor az IT-biztonság terén élen járó, jól szabályozott terület, de folyamatosan új kihívásokkal szembesül. A technológiai újdonságok gyors bevezetése az aktuális jogszabályi változások, mint például a NIS2, az AI Act, a pénzforgalmi szabályozások módosítása, a csalásellenes szabályok változásai és a technológiai fejlesztések folyamatos figyelmet és alkalmazkodást igényelnek az iparág szereplőitől IT- biztonsági szempontból is.
Voltak olyan kiberbiztonsági incidensek az elmúlt időszakban, amelyek megrázták a hazai piacot?
A pénzügyi piacot megrengető incidensekről Magyarországon kevéssé tudunk beszámolni. A jelentősebb volumenű, nemzetközileg is észlelhetőek esetében is azt tapasztaljuk, hogy magyar érintettség általában olyan esetben fordul elő, ahol a külföldi anyavállalatok szolgáltatóin keresztül érinti az incidens az intézményt.
A legtöbb incidens hazánkban a mindennapi üzemeltetésből adódik a pénzügyi szektorban.
Miként változtatja meg a DORA a pénzügyi szektor és az IT- szolgáltatók közötti együttműködés szabályait? Milyen új elvárások jelennek meg az IT-szolgáltatókkal szemben a rendelet következtében?
A rendelet számos új elvárást támaszt az IT-szolgáltatókkal szemben. Az adminisztrációs és nyomon követési követelmények az eddiginél szigorúbbá válnak. Valamint a pénzügyi intézményeknek még részletesebb, komplexebb nyilvántartást kell vezetniük a számukra IKT-szolgáltatást nyújtó IT-szolgáltatókkal kötött szerződésekről.
Továbbá szigorúbb szerződéskötést megelőző átvilágítási és szerződéses követelményeket fogalmaz meg, mint például a részletes audit és kilépési tervek kidolgozása, alternatív megoldások azonosítása, illetve a kilépési tervek rendszeres frissítése és tesztelése.
A rendelet IKT-szolgáltatókkal kapcsolatos elvárásai a felhőszolgáltatókra is vonatkoznak, melyeket az EU-n kívüli nagy szolgáltatók esetében nehezebb érvényesíteni például az auditálási és szerződéses kötelezettségek tekintetében.
Az EU felügyeleti hatóságai, mint az EBA (Európai Bankhatóság), az EIOPA (Európai Biztosítási és Foglalkoztatási Hatóság) és az ESMA (Európai Értékpapírpiaci Hatóság), azonban a rendelet előírásainak megfelelően az uniós szinten kritikus, koncentrációs kockázatot jelentő szolgáltatók (így például a felhőszolgáltatók) felvigyázójaként – így az európai piacon monopol helyzetben lévő felhőszolgáltatók esetében például – elősegíti ezen szolgáltatók DORA-előírásainak való megfelelését. A szolgáltatók oldaláról egyelőre pozitív fogadtatása van a felvigyázás bevezetésének és az egységes EU-s követelményrendszer megfogalmazásának.
Érzésre a DORA inkább a pénzintézetek közötti kooperációt, mintsem kompetitív áramlatokat gerjeszti. Hogyan hat a szektorra?
A DORA célja egyértelműen a biztonságos működés elősegítése. De talán elő tudja segíteni a szereplők együttműködését is, hiszen támogatja a kiberfenyegetettségekkel kapcsolatos információkkal és tapasztalatokkal kapcsolatos információmegosztást a felügyelt intézmények között, ami növelheti a szektor általános biztonsági szintjét.
A DORA 2025. január 17-től alkalmazandó. Ekkortól kezdve a pénzügyi intézményeknek alkalmazniuk kell a DORA rendelet előírásait, valamint az általa előírt adatszolgáltatásokat és incidensjelentéseket is ekkortól kell jelenteniük az MNB-nek. Az új szabályozás célja, hogy javítsa a pénzügyi szektor ellenálló képességét. A rendelethez kapcsolódó második csomag részletszabály már a végső tervezetként elérhető. A hivatalos elfogadást követően az EU hivatalos lapjában jelenik majd meg.