Magát a javaslatot 2020-ban terjesztette elő az EU bizottsága egy sokkal átfogóbb és tágabb tervezet, a Digitális Pénzügyi Csomag szerves részeként, a most elfogadott rendelet remélhetőleg a jogalkotási folyamat utolsó lépése lesz majd. A DORA-törvény (Digital Operational Resilience Act) viszont csak 2024 végén léphet majd csak életbe. 2022-ben a a pénzügyi szektor egyik legnagyobb kihívása volt a kiberbiztonságuk folyamatos biztosítása és megóvása, jelzi ezt az is, hogy már idei működési költségkeretük legalább 10%-kát tették ki ezek a kiadások.
Mellesleg manapság már nemcsak a neobankoknál divatos blokklánctechnológiák előretörése is erre készteti őket, hiszen ha minden a terveik szerint fog menni, a dematerializált értékpapírok el fognak tűnni néhány évtized múlva és helyettük már csak a tokenizált értékpapírok maradhatnak a piacon.
Új uniós kiberbiztonsági szabályozás
A DORA a teljes EU-s financiális szektorra kíván kockázatalapú, egységes és arányossági megközelítésen alapuló kiberbiztonsági követelményrendszert bevezetni. A célja a fogyasztói bizalom megerősítése és a határokon túl is átnyúló együttműködés megkönnyítése lesz. Az új szabályozás nagyrészt támaszkodik az ESMA (Európai Értékpapír-piaci Hatóság), az EBA (Európai Bankhatóság) és az EIOPA (Európai Biztosítás- és Foglalkoztató-nyugdíjhatóság) infokommunikációs és technológiai (ICT) biztonsági és kiszervezési iránymutatásaira. De a meglévő és már korábban bevezetett EU-s vívmányok, mint a GDPR, a kritikus infrastruktúra irányelv, a NIS direktíva és a PSD2 irányelv is természetesen alkalmazandók maradtak a pénzügyi intézetek számára a jövőben.
Kire vonatkozik a DORA?
A rendelet 5 fő területen szabályozza a kiberbiztonsági előírásokat: ezek közé tartoznak a vezető testületek, a vezetők irányítási, az ICT kockázatkezelés követelményei, a digitális működési reziliencia tesztelés, a külső szolgáltatók kockázatainak kezelése és a szerződések és felügyeletük, valamint az információmegosztás is. A DORA 20-féle pénzügyi szervezetre lesz kötelezően alkalmazandó, de érinti a nekik IT szolgáltatásokat nyújtó külső szolgáltatókat is (függetlenül attól, hogy outsourcing vagy egyéb módon nyújtják ezeket).
Ide tartoznak a szoftverfejlesztést, felhőszolgáltatást, egyéb támogatást vagy digitális szolgáltatást és adatszolgáltatást (adatközpont, automata döntéshozatal és adatkezelés is) nyújtó vállalkozások, de nem terjed ki a hatálya az elektronikus hírközlési szolgáltatókra (telco és internetes cégek), valamint a hardver beszállítókra sem. A digitális működési reziliencia rendelet évente előírja az ICT eszközök és rendszerek tesztelését, melyet szakmai reputációval (erőforrásokkal és a felelősségbiztosítással) rendelkező és akkreditált tesztelő végezhet majd el.