2024-től az Uniós pénzügyi szervezetek működését DORA szabja meg. Ő nem egy valaki, hanem egy valami: egy olyan rendelet, amelynek köszönhetően az ügyfelek digitális katasztrófahelyzet közepette sem maradnak a pénzük nélkül.
2022-ben már nem mondunk újat azzal, hogy a pénzügyi szervezetek, tehát a bankok, biztosítók, brókercégek és egyéb befektetési vállalkozások működése nagyon komolyan függ olyan online erőforrásoktól, mint a felhő alapú rendszerek vagy a hálózati szolgáltatók. Ugyan már bevált gyakorlatnak számít redundáns megoldásokat is alkalmazni, amelyek segítenek abban, hogy egy esetleges üzemzavar, kiberbűnözői aktivitás vagy egyéb kiesés esetén is képesek legyenek szolgáltatásokat nyújtani, az EU szerint szükség van arra, hogy ez központi előírás alapján ne egy esetleges megoldás legyen.
Épp ezért az EU Tanácsa megtette az első lépést annak érdekében, hogy 2024 végétől életbe léphessen egy új, a pénzügyi-informatikai világot szabályozó csomag, amely egyrészt meghatározza az úgynevezett digitális pénzügyi reziliencia kereteit. A most elfogadott, úgynevezett DORA-rendelet (Digital Operational Resilience Act) az ehhez kapcsolódó jogalkotási folyamat utolsó láncszeme.
“Bizonytalan időket élünk. Az Európában pénzügyi szolgáltatásokat nyújtó bankok és más vállalatok már rendelkeznek informatikai biztonsági tervekkel, de nekünk egy lépéssel tovább kell mennünk” – nyilatkozta a folyamatban fontos szerepet játszó Zbyněk Stanjura, Csehország pénzügyminisztere. “A ma elfogadott harmonizált jogi követelményeknek köszönhetően pénzügyi ágazatunk fokozottabban képes lesz arra, hogy mindenkor fenntartsa működését. Felkészültek leszünk arra az esetre is, ha az európai pénzügyi ágazat ellen nagyszabású támadás indulna.”
Egységes fellépés a káosz ellen
A DORA-rendelet lényege tehát az, hogy ne csupán az egyes pénzügyi szolgáltatókra legyen bízva az, hogy mindent megtegyenek saját működésük digitális alapjainak biztosítása érdekében, hanem az ezekkel kapcsolatos követelmények minden EU-tagországban egységesek legyenek. Ebben olyan alapvető elvárások szerepelnek, amelyek egyrészt a pénzügyi ágazatban működő vállalkozások és szervezetek, valamint az olyan kritikus jelentőségű harmadik felek, például infrastruktúra-szolgáltatók, felhőszolgáltatók, adatelemzők, rendszerintegrátorok számára lesznek kötelező érvényűek. A feladatok közé tartozik, hogy ezek a szervezetek hogyan gondoskodjanak arról, hogy az informatikai és távközlési környezethez kapcsolódó zavarok és fenyegetések minden típusának ellen tudjanak állni, valamint gyorsan és hatékonyan reagálni ezekre és az esetlegesen okozott károkat, hibákat is helyre tudják állítani.
A DORA-javaslatot is tartalmazó csomag előterjesztése, 2020. szeptember 24-e óta készül a jelenleg elfogadott rendelet végleges változata – ebben egyébként még a digitális pénzügyi stratégiát, a kriptoeszközök piacairól szóló úgynevezett MiCA-rendelet előkészítésére irányuló javaslatot, valamint a megosztott főkönyvi technológiáról szóló javaslatot tartalmazta.
A most elfogadott rendelet érvényesítése azért tart nagyjából másfél évig, mert ezt a tagországoknak egyenként kell beépítenie saját jogrendszerébe. Másrészt most kezdődik az a munka is, melynek során az összes érintett felügyeleti hatóság, többek között az Európai Bankhatóság (EBH), az Európai Értékpapírpiaci Hatóság (ESMA), valamint az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság (EIOPA) kidolgozza azokat a technikai standardokat, amelyeket minden pénzügyi szolgáltatónak be kell tartania, valamint megszabják, pontosan milyen szereplőkre terjed ki a rendelet a bankoktól a biztosítókon át a vagyonkezelőkig.
Érdekes, hogy a jelenlegi szövegezés szerint ez komoly új feladatokat ró olyan nemzetközi kulcsszereplőkre, mint a Google, a Microsoft vagy az Amazon, de nem terjed ki például hardverbeszállítókra, valamint távközlési és internetszolgáltatókra sem.
A hatályba lépést követően az illetékes nemzeti hatóságok feladata lesz az, hogy ellenőrizzék a szervezetek megfelelőségét és ha szükség van rá, kötelező változtatásokat foganatosítsanak. A rendelet az alapján határoz meg informatikai kockázatkezelési szinteket és elvárásokat, milyen méretű, tevékenységi körű és üzleti profilú vállalkozásokról van szó. Az ellenőrzés része lesz többek között egy évente egyszer, kötelezően elvégzendő teszt, amelyben az informatikai és telekommunikációs eszközök és rendszerek megfelelőségét kell bizonyítani, de három évente egy olyan tesztet is előír a rendelet, amelyet egy speciálisan erre a feladatra akkreditált, független szakembernek kell elvégeznie fenyegetettségi alapú, behatolási kísérletekkel – tehát tulajdonképpen egy etikus hackelési folyamatot kell végigvinni.
A végső cél az ügyfelek számára természetesen az, hogy ha valamilyen kiterjedt kibertámadás vagy más üzemzavar akár egy globális felhőszolgáltatót vagy hasonló szintű informatikai vállalatot megakadályozna a működésben, ettől a pénzügyi szolgáltatók továbbra is képesek legyenek egyrészt a saját tevékenységüket folytatni, másrészt az incidensek ne veszélyeztessék a náluk tárolt személyes adatokat, valamint természetesen az ügyfelek digitális vagyonát.
