A pénzügyi piacot sem kerüli el a gyorsuló ütemű technológiai fejlődés, ahogy a gomba módra szaporodó kibertámadások sem, sőt. A Mastercard Kibertámadások kora című publikációjában kitér arra, hogy a támadások célpontja főként az állami és pénzügyi szektor, a kommunikációs, valamint a médiaipar volt az elmúlt években Magyarországon.
A kibertámadók egyre szofisztikáltabb megoldásokhoz folyamodnak, amelyek egyre nagyobb fenyegetést jelentenek a pénzügyi szervezetekre. A támadások bővülő repertoárja azt mutatja, hogy egységes fellépésre van szükség. Ebben segítene a DORA, azaz a Digital Operational Resilience Act, amely rendet tesz a kibertérben. A rendelet egyik legfőbb célja, hogy azonos követelményeket határozzon meg a teljes pénzügyi szektor (bankok, biztosítótársaságok, brókercégek) szereplőivel szemben.
A rendelet már hatályba lépett, de 2025. január 17-étől kell alkalmazni, ám addig egy sor részletszabály érkezik, illetve jogharmonizációra is szükség lesz. A bankoknak évente kockázatelemzést kell elvégezniük, változnak az incidensjelentési szabályok, a jelentős intézmények számára pedig fenyegetettségalapú penetrációs teszteket ír elő a rendelet. De vajon hogy áll a hazai pénzügyi szektor felkészültsége és digitalizáicós szintje?
Sokszínű a hazai banki digitalizáció
„A kép vegyes, ráadásul sokszor nem lehet tudni, mi van a motorháztető alatt. Előfordulhat, hogy az ügyfél egy új, modern alkalmazással találkozik a bankolás során, míg a belső banki folyamatok kevésbé korszerűen zajlanak. Digitalizációs szempontból a kisebb, esetleg újabb szereplők előnyben vannak, mert nem kell akkora technológiai örökséggel megküzdeniük” – mondta Biró Gabriella IT-biztonsági szakértő.
Jól párhuzamba állítható ezzel Ozorai Dénes, a K&H informatikai vezetőjének tapasztalata, aki azt mondta, hogy „a bankszektor digitalizációs képességét alapvetően meghatározza az évtizedek alatt felhalmozódott, mai szemmel elavultnak tekinthető alkalmazások nagy száma és a banki folyamatoknak a többek között a szektorra érvényes szigorú szabályozás miatti rendkívüli komplexitása. A digitalizáció sikeréhez szükséges a megfelelő infrastruktúra és fejlesztéstechnológiai fejlettség, valamint a folyamatok minél magasabb szintű automatizációja. Fontos az információbiztonságért felelős terület technológiai szakértelme és rugalmassága is, hogy az IT leszállító területeivel nagyon szorosan együttműködve tegye lehetővé az új technológiák adaptálását a magas szintű IT-biztonság fenntartása mellett.”
Az tehát nem kérdés, hogy a hazai banki digitalizáció színes képet mutat, és a DORA által meghatározott irányvonalak jól láthatóan kijelölik a mezsgyét, de hosszú út vár még a hazai szereplőkre.
Lassan közeleg a legfontosabb DORA-dátum
„A felkészülés a tavaly indult az elvárások felmérésével, majd a helyi környezetre való alkalmazásával folytatódott és tart máig. A DORA-rendeletnek való teljes körű megfelelőséget a jövő év elejétől kell biztosítani” – mondta Nagy Ádám Péter, a K&H Bank információbiztonsági kockázatmenedzsment főosztályának vezetője.
A szabályozás a tagállamok felügyeleti szerveiből létrehoz egy közös EU-s szintű felügyeleti bizottságot, amelynek joga lesz kinevezni egy-egy tagállami hatóságot. A pénzügyi intézményeknek technológiai szolgáltatásokat nyújtó harmadik feleknek hozzáférést kell biztosítaniuk a tagállami hatóság számára a megfelelőségi vizsgálat elvégzéséhez szükséges információkhoz. Ismerős? A DORA és a NIS2 között sokan vonnak párhuzamot, pedig vannak szembeötlő eltérések.
„A NIS2-vel ellentétben a DORA-t nem kell külön átültetni a magyar jogrendbe, mert már „készen van”, direkt hatályú. Ezért nem látunk olyan implementációs lépéseket, jogalkotást, mint a NIS2 esetén. Ez azonban nem jelenti azt, hogy nem történik semmi. A DORA-hoz számos szabályozástechnikai sztenderd (RTS), végrehajtás-technikai sztenderd (ITS) és ajánlás kapcsolódik, amelyeknek az első csomagja (4 RTS és 1 ITS) 2024 januárjában elkészült, a második nagyobb adag (4 RTS, 1 ITS, 2 ajánlás) pedig az idén júliusra várható. A felkészülést a már végleges részletszabályok ismeretében bátran el lehet kezdeni, és a legtöbben már el is kezdték. A legfontosabb dátum 2025. január 17., amikortól a DORA alkalmazandó, azaz ha valaki nem felel meg neki, akkor bírságot is kaphat” – mondta Biró Gabriella.
NIS2 ≠ DORA
A NIS2 kapcsán sokszor felmerül a DORA, ám a valós vagy vélt páhuzamok vizsgálata elmarad, így jogosan vetődik fel a kérdés, hogy milyen viszonyban állnak ezek a szabályozási előírások.
„Nem véletlen, hogy a két szabályozás egyszerre jelent meg, és a felkészülés is párhuzamosan zajlik. A DORA a NIS2 úgynevezett lex specialisa, azaz a pénzügyi szektor saját, ágazatspecifikus NIS2-je. A szabályozó ugyanis felismerte, hogy a pénzügyi intézményekre vonatkozó IT-szabályozás már most is szigorúbb, mint más szektorokban, ugyanakkor nem szeretett volna gyengíteni rajta, ezért kiemelte a NIS2-ből. Tehát nagyon leegyszerűsítve, akire a NIS2 vonatkozna, de a pénzügyi szektorba tartozik, arra a DORA vonatkozik, és nem kell törődnie a NIS2-vel. Ugyanakkor nagyon fontos különbség, hogy a DORA egy rendelet, míg a NIS2 egy irányelv, azaz a DORA már készen van, és minden EU-tagállamban egyforma, míg a NIS2-nek mindenhol lesz egy nemzeti implementációja, tehát országonként egy kicsit eltérhet a megvalósítás”
– mondta Biró Gabriella.
A K&H Bank információbiztonsági kockázatmenedzsment főosztályának vezetője úgy folytatta, hogy a céljuk is alapvetően más, a NIS2 harmonizálná a kiberbiztonsági szintet az EU-ban működő cégek és szervezetek működése kapcsán, míg a DORA a digitális rezilienciáját növelné a pénzügyi szektornak, többek között kiberbiztonsági kontrollok bevezetése, alkalmazása által. A két, mondjuk azt, szöveg, egymás komplementereinek tekinthető.
„A DORA elsősorban nem az informatikai rendszerekre és azok kiberbiztonsági kockázataira irányítja rá a figyelmet, hanem szolgáltatásokkal foglalkozik, amelyeket nem feltétlenül csak az informatikai rendszerek szintjén kell értelmezni, többek között idetartoznak az adatközponti szolgáltatások is. Ezen úgynevezett IKT-szolgáltatások azok, amelyek az IT-biztonsági érettségi szintjén a várakozásaink szerint emelni fogják a rendelet alkalmazását a gyakorlatban” – tette hozzá Nagy Ádám Péter.
Az informatikai szisztémák jó néhány kockázatot hordoznak magukban. „Mivel az online bankolás, a digitális pénzügyek egyre jobban a mindennapjaink részét képezik, mind inkább digitalizálódunk mi magunk is, és ha bármilyen okból gond van a banki informatikai rendszerekkel, az egyre rosszabbul érinti az ügyfeleket. A fizetési megoldások is felgyorsultak, ma már alapelvárás, hogy ne csak nyitvatartási időben menjenek el az utalások. Ezért aztán a szabályozó felismerte, hogy nagyobb megbízhatóságot, rezilienciát kell elvárni a pénzügyi ágazat informatikai rendszereitől” – tette hozzá Biró Gabriella.
„A puding próbája az evés, de ezt a pudingot még nem ettük meg” – elvárások és valóság
Ahogy a NIS2, úgy a DORA is rengeteg változást indukál az érintett szervezetek működésében és mindennapjaiban. Az ügyfelek számára nem lesz olyan érzékelhető a változás, mint mondjuk a PSD2 esetén, azonban a DORA elég sok új kötelezettséget hoz, illetve meglévő elvárásokat szigorít. Például a magyar bankoknak eddig kétévente kellett felmérnie az IT-kockázatokat, de 2025-től évente kell. Ez és DORA egyéb elvárásai jelentős erőforrásokat fognak lekötni, aminek hatása lehet az egyéb fejlesztésekre is – összegezte Biró Gabriella.
Nagy Ádám Péter szerint a DORA kiemelten felhívta a figyelmet a harmadik felek informatikai és információbiztonsági kontrollkörnyezetének fontosságára. Ez mindenképp komoly fejlődés, hiszen kellő fókuszt kapott az a terület, amely ezt a kontrolkörnyezetet ellenőrzi, és reményeik szerint ez a jövőben is így lesz. „A DORA reményeink szerint jó hatással lesz a beszállítói lánc által alkalmazott informatikai és információbiztonsági kontrollok érettségére” – mondta.
„Azt szokták mondani, hogy a puding próbája az evés, de ezt a pudingot még nem ettük meg, hiszen csak 2025 januárjától alkalmazandó. Ráadásul egyes részletszabályok még készülnek. Az elért eredményeket azt követően lehet értékelni, hogy lezajlanak egy első felügyeleti vizsgálatok, és adott esetben megszületnek az első bírságok, illetve határozatok. Személy szerint azt gondolom, hogy a DORA egy nagyon fontos lépés a jó irányba, az Európa-szerte egységes elvárásrendszer megteremtése felé, de minden bizonnyal lesznek gyermekbetegségei, és az első egy-két évben még az sem garantált, hogy ténylegesen javít majd a rendszerek biztonságán” – zárta Biró Gabriella.
