Az EU új rendelete, a DORA, egységes digitális védelmet biztosít a pénzügyi szektor számára. Célja a kiberkatasztrófák megelőzése és az IT rendszerek ellenállóképességének növelése.

FintechRadar 2025.01.20 | 13:47

Az európai pénzügyi szektor új korszakba lépett: életbe lépett a DORA, azaz a Digital Operational Resilience Act, amely az EU legújabb szabályozása a pénzintézetek digitális ellenálló képességének biztosítására. A rendelet célja egy egységes, fejlett digitális védekezési rendszer kialakítása az Európai Unión belül, válaszként a digitalizáció pénzügyi szektorra gyakorolt jelentős hatásaira az elmúlt 10-15 évben.

DORA a digitális vészhelyzetek elhárításának új eszköze

A digitalizáció sok előnye mellett komoly új kockázatokat is hozott magával. Tavaly egy világszintű digitális leállás ébresztette rá az emberiséget a modern infrastruktúra sérülékenységére. A problémát a CrowdStrike nevű kiberbiztonsági cég egyik hibás frissítése okozta, amely több millió Windows-eszközt érintett. Az eset július 19-én világszerte káoszt idézett elő: leálltak a légi- és vasúti közlekedési rendszerek, elnémultak televíziós csatornák, és számos bank vált elérhetetlenné.

A hibát 24 órán belül sikerült orvosolni, az eset rávilágított arra, mennyire kiszolgáltatottak a digitális rendszerek. Egy szándékos hackertámadás esetén a helyreállítás biztosan lassabb és nehezebb lett volna.

Kiket érint a DORA?

A DORA-t három éve fogadták el az Európai Unió intézményei, és 2023. január 16-án lépett hatályba. Az érintett vállalatoknak azonban két évük van arra, hogy megfeleljenek az új követelményeknek. A szabályozás nemcsak a pénzügyi szektorra vonatkozik, hanem az őket kiszolgáló technológiai cégekre is, például felhőszolgáltatókra, szoftverfejlesztőkre és adatelemző cégekre.

Az érintett szereplők körébe tartoznak:

  • bankok,
  • hitelintézetek,
  • pénzforgalmi szolgáltatók,
  • biztosítók,
  • kriptoeszköz-kibocsátók és
  • az informatikai szolgáltatásokat nyújtó partnereik.

A DORA öt fő területen vezet be szigorú szabályokat:

  1. IKT (információs és kommunikációs technológiai) kockázatkezelés: az IT rendszereket folyamatos monitorozása és a kockázatok feltárása, értékelése.
  2. Incidensjelentés: minden informatikai incidenst, legyen az véletlen hiba vagy szándékos támadás, részletes dokumentációja.
  3. Ellenállóképesség tesztelése: a gyenge pontok és sebezhetőségek feltárása érdekében rendszeres tesztelés.
  4. Információmegosztás: együttműködés és információcsere a kiberfenyegetettségről.
  5. Külső szolgáltatók kockázatkezelése: a külsős IT-szolgáltatók megfelelő ellenőrzése és irányítása.

Folyamatos felkészültség a kulcs a bírságok elkerüléséhez

A  DORA egyes részletei – például az IKT-szolgáltatások kiszervezése és a penetrációs tesztelés szabályai – még nem véglegesek. Simon Treacy pénzügyi szabályozási szakértő szerint emiatt elképzelhető, hogy a vállalatoknak tovább kell dolgozniuk a megfelelés érdekében.

Carl Leonard kiberbiztonsági szakértő figyelmeztetett: a digitális rendszerek ellenálló képességének fenntartását folyamatos folyamatként kell kezelni. Új technológiák, szolgáltatások vagy beszállítók integrálásakor különösen fontos az állandó kockázatelemzés.

A DORA a pénzügyi szektor számára gyökeres változásokat hozhat. A szabályok be nem tartása súlyos következményekkel jár: a pénzügyi vállalatokat globális bevételük akár két százalékára büntethetik, a vezető menedzserek pedig akár egy millió eurós bírsággal is szembesülhetnek. Kulcsfontosságú, hogy az érintettek megfelelően felkészüljenek és alkalmazkodjanak az új előírásokhoz.

(Forrás: Fintech.hu)

(Címlapkép: Depositphotos)

Ha tetszett a cikk:

és kövess minket a Facebookon!

Fintechradar.hu

Szólj hozzá

Vélemény, hozzászólás?