Két új fejlemény volt az év végén. Az egyik az IKT (a rövidítés az információs és kommunikációs technológiákat jelöli – a szerk.) szolgáltatók nyilvántartására és a kritikus IKT-szolgáltatók bejelentésére vonatkozó előírások helyzetével kapcsolatos. A másik a jelentős infokommunikációs események és fenyegetések a Magyar Nemzeti Bank (MNB) felé való bejelentésének kommunikációs csatornájának megnyitása.
Az IKT-adatbázis bejelentése hatóságoknak
A DORA előírja, hogy a pénzügyi szervezetek 2025. január 17-től kezdődően rendelkezzenek a harmadik félnek minősülő IKT-szolgáltatókkal kötött valamennyi szerződéses megállapodásukra vonatkozó információnyilvántartással.
A pénzügyi szervezeteknek készen kell állniuk arra, hogy információs nyilvántartásaikat bejelentsék illetékes hatóságaiknak, megjelölve a kritikus IKT-szolgáltatókat. Az illetékes hatóságoknak a kritikus harmadik fél IKT-szolgáltatók kijelöléséhez 2025. április 30-áig jelenteniük kell a nyilvántartásokat az Európai Felügyeleti Hatóságoknak (EBH, EBFH és ESMA – EFH-k).
A nyilvántartások
- a pénzügyi szervezetek számára a harmadik féltől eredő IKT-kockázat nyomon követésére,
- az illetékes uniós hatóságok (EFH-k) számára a pénzügyi szervezeteknél az IKT és a harmadik fél általi kockázatkezelés felügyeletére, valamint
- az EFH-k számára az uniós szintű felvigyázás hatálya alá tartozó, harmadik félnek minősülő kulcsfontosságú IKT-szolgáltatók kijelölésére szolgálnak.
Csak december 20-án jelent meg a jelentés tartalmát előíró jogi dokumentum (ITS), amely meghatározza az információ-nyilvántartások végleges tartalmát. Két nappal korábban, december 18-án az EU felügyeleti hatóságok workshopot tartottak előzetesen. Ezen a megbeszélésen megismerhető volt az EU felügyeleti hatóságok értékelése a nyáron végrehajtott önkéntes adatszolgáltatás „dry run exercise” (ezzel az angol kifejezéssel illetik a tesztidőszakot – a szerk.) tapasztalatairól. Január 17-ét követően már élesben kell az adatszolgáltatást teljesíteni az MNB-nek és e jelentések alapján készül az információszolgáltatás az EFH-k részére. Az ütemterv az MNB oldalán nyomon követhető.
Önkéntes információszolgáltatás az incidensekről
2022. december 27-én az EU Hivatalos Lapban megjelent, hogy a DORA rendelet hatálya alá tartozó intézményeknek jelenteniük kell a felügyeleti hatóságuk felé a jelentős, kockázatos IKT-eseményeiket, valamint a jelentős fenyegetéseiket önkéntes alapon.
Az MNB tájékoztatása szerint a DORA rendelet szerinti esemény és fenyegetés bejelentéséhez az ERA rendszeren belül egy új adatszolgáltató felületet hoz létre „DORA Incidens bejelentés” néven. Az új ERA szolgáltatásra a regisztráció 2025. január 2-ától elérhető. A DORA rendelet lehetőséget ad arra, hogy a rendelet által szabályozott, felügyelt intézmények kiszervezhetik az incidens és fenyegetés bejelentési kötelezettségeket harmadik fél szolgáltatónak.
A félreértések tisztázása
A NIS 2 direktíva és a DORA egymáshoz való viszonya
Mára már tisztázódott, hogy mely szervezeteknek melyik szabályozási rezsim alá kell tartozniuk. Viszont, ahogy a szolgáltatások egybekapcsolódnak, úgy a szabályozás és a felügyelet is kapcsolódási pontok mellett épül fel. Egyik ilyen kapcsolódási pont, hogy a pénzügyi szervezetek az incidensekről az MNB-nek szóló önkéntes adatszolgáltatás mellett konkrét bejelentéseket kell tenni meghatározott feltételek esetén a kijelölt CSIRT hatóságnak is, így fontos a Nemzeti Kibervédelmi Intézettel is a kapcsolatok kiépítése.
A hatáskör-megosztás az MNB és a EU hatóságok között
Az EU rendelet értelmezése az EU hatóságok feladata, viszont a szabályozás több szintű és a végrehajtás az MNB-re hárul, ezért a jogértelmezési hatáskör megoszlik az EU hatóságok és az MNB között. Tehát azt tudniuk kell a szereplőknek, hogy nem lehet minden jogértelmezési kérdéssel az MNB-hez fordulni, annak ellenére, hogy saját szabályozói hatáskörében iránymutatások kiadására jogosult.
A kiszervezési szabályok párhuzamosan fennmaradnak
Sokáig tartotta magát az a nézet, hogy a kiszervezési szabályokat felváltja a DORA, de ezek a szabályok egymás mellett párhuzamosan fennmaradnak és alkalmazandók.
A DORA 16. cikk szerinti egyszerűsítések
Azok a pénzügyi szektorba tartozó mentesített szolgáltatók, amelyek élhetnek az egyszerűsítés lehetőségével, nagyobb szabadságot élveznek a követelmények teljesítésekor, mert kockázatalapon lehetőségük van a megszabott keretek között rugalmasan, a tevékenységük jellegéhez szabva alkalmazni a szabályokat. A 16. cikk hatálya alá tartozóknak például nincs egy éves kötelező audit előírás, csak annyi, hogy rendszeresen ellenőrizni kell a szerződéses ITK-szolgáltatókat.
A harmadik feles ITK szolgáltatókkal fennálló szerződések felülvizsgálata
A rendelet a megfelelésre a 2025. január 17-i időpontot jelölte ki, amelynek teljesítésére a rendelet hatálybalépésétől számított kétéves felkészülési idő után kell készen állni. Az a téves elképzelés is elterjedt a piacon, hogy az csak a DORA hatályba lépése után megkötött IKT-szerződésekre vonatkozik. Ez az értelmezés egyrészt nem felel meg a DORA szövegének és ellentétes a céljával, hogy a kritikus, lényeges szolgáltatók kockázatait felügyelet alatt tartsák. Tehát minden érvényes és hatályos szerződést felül kell vizsgálni és módosítani kell 2025. január 17-ig és az új szerződéseket csak a DORA szerint lehet megkötni és a megfelelést folyamatosan kell értékelni és felülvizsgálni.
„Holisztikus” IKT stratégia és egyéb megfelelési kérdések
Az IKT-kockázatkezelési keretrendszernek magában kell foglalnia egy digitális működési rezilienciára vonatkozó stratégiát is, amely meghatározza, hogy hogyan hajtandó végre a keret. E célból a digitális működési rezilienciára vonatkozó stratégiának magában kell foglalnia az IKT-kockázat kezelésére és a konkrét IKT-célkitűzések megvalósítására irányuló módszereket például, hogy az IKT kockázatkezelési keretrendszer hogyan támogatja a pénzügyi szervezet üzleti stratégiáját és célkitűzéseit.
A stratégiában a rendeletben előírt tartalmi elemekre kell választ adni. Ha a harmadik feles IKT-szolgáltató a NIS2 alá tartozik, akkor az azoknak való megfelelést is vizsgálni kell, és meg kell nézni az elemzésben, hogy teljesíti-e az ott meghatározott feltételeket. A felhőszolgáltatókra a tanúsítványok megléte önmagában nem elegendő, a megadott szempontok szerint értékelni is kell a felhőszolgáltatót.
Gondot okoz – főként a kisebb szolgáltatók számára – a globális szolgáltatók értékelése, illetve a velük megkötött szerződésekben a DORA-követelmények alkalmazása. Önmagában nem fogadható el, ha a szolgáltató azt állítja magáról, hogy megfelel a DORÁ-nak és ezt alátámasztja tesztekkel, szabványokkal. Ebben az esetben is el kell végezni az elemzést.
Fotó: MTI
A szolgáltató szempontjából igénybe vett kritikus, fontos IKT-szolgáltatók elemzésekor az adatosztályozásból kell kiindulni, a szerződés teljesítése során fontos, hogy a társaság az előírt kontrollokat működtetni tudja. Kiemelten fontos a hatásvizsgálat, nyomon követés, hozzáférési, ellenőrzési és audit jogok kikötése. Meg kell határozni a gyakoriságot, mikor van ellenőrzés, annak mi a módszere, tárgya, célja.
A DORA szerint a pénzügyi szervezetek digitális működési rezilienciára vonatkozó stratégia keretében meghatározhatnak egy több szolgáltatóra épülő, holisztikus IKT-stratégiát is – akár csoport-, akár szervezeti szinten –, amely bemutatja a harmadik fél IKT-szolgáltatóktól való főbb függőségeket, és kifejti a harmadik fél IKT-szolgáltatóknál alkalmazott beszerzési mix indokait.
A DORA szerint a pénzügyi szervezetek az uniós és a nemzeti ágazati jogszabályokkal összhangban kiszervezhetik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzésének feladatait csoporton belüli vagy külső vállalkozásokhoz.
Nem szabad elfelejteni, hogy a kiszervezés esetén a pénzügyi szervezet továbbra is teljes felelősséggel tartozik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzéséért.
A kisebb szolgáltatók megegyezhetnek egymással, közös felmérő kérdőív előkészítésében és közös audit lefolytatásában. Van erre már szektorszintű példa. Erre szolgál kérdőív kidolgozása egyedi vagy több szolgáltató közösen, illetve szektor szinten.
Végezetül meg kell említeni a management egyértelmű felelősségét a DORA rendelet értelmében a szabályozásnak való megfelelésért.
