Az Európai Unió 2022 decemberében elfogadta a Digital Operational Resilience Act (DORA) rendeletet, amelynek célja a pénzügyi szektor digitális ellenállóképességének megerősítése. A minden uniós tagállamra kötelezően érvényes rendelet 2023. január 17-én lépett hatályba, így 2025. január 17-től már érvényesíthetőek a benne foglalt követelmények. A DORA olyan szabályrendszert vezet be, amely biztosítja, hogy a pénzügyi intézmények képesek legyenek kezelni a kibertámadásokat, rendszerszintű zavarokat, illetve más technológiai kihívásokat. A rendelet fontos eleme, hogy nemcsak a bankokra, hanem az összes pénzügyi szolgáltatóra, valamint az információs és kommunikációs (IKT) technológiai szolgáltatókra is vonatkozik, ezzel biztosítva a pénzügyi szektor stabilitását és biztonságát a digitális térben.
A DORA keretein belül hat fő terület szabályozása zajlik, amelyek a következők:
- IKT kockázatkezelés – A digitális rendszerek kockázatainak felmérése és kezelése.
- Harmadik fél IKT kockázatainak kezelése – A szolgáltatók felügyelete, valamint a szerződések biztonsági feltételeinek biztosítása.
- Digitális ellenállóképességi tesztek – Rendszertesztelés a digitális infrastruktúra biztonságának és stabilitásának érdekében.
- IKT incidensek jelentése – Adatbiztonsági események és technológiai incidensek bejelentésének követelményei a megfelelő hatóságok felé.
- Információmegosztás – Kibertámadásokkal kapcsolatos hírszerzési adatok és információk cseréje a pénzügyi szektor résztvevői között.
- Kritikus harmadik fél szolgáltatók felügyelete – Szabályozási keretrendszer a kulcsfontosságú informatikai és kommunikációs technológiai szolgáltatók folyamatos felügyeletére és ellenőrzésére.
Amellett, hogy a DORA szabályrendszere a pénzügyi szektor javát szolgálja, kétségtelenül jár bizonyos erőfeszítésekkel a szektor résztvevőire vonatkozólag. Tekintve, hogy a magyar szabályozás eddig is szigorúnak volt mondható, az új rendelettel járó változások enyhébbek lehetnek, mint egyes tagállamokban, de mi is találkozhatunk majd fontos újdonságokkal. Ilyen többek között a kötelező IT biztonsági kockázatelemzés gyakoriságának növelése (2 évről 1 évre), a jelentős IKT-vonatkozású incidensek bejelentési kötelezettségének kiterjesztése, vagy a bizonyos esetekben a fenyegetettség alapú behatolási tesztek (TLPT) kötelező elvégzése.
A Késmárki Szoftverfejlesztő Kft. ügyfelei biztosak lehetnek abban, hogy adataik és érdekeik maximális biztonságban vannak, mivel mind a követeléskezelő rendszerünk, mind pedig a fejlesztő cégünk teljes mértékben megfelel a DORA követelményeknek. Amennyiben bármilyen hiányosságot észlelünk, azonnal megteszünk minden szükséges lépést annak érdekében, hogy ügyfeleink érdekei ne sérüljenek.