EU rendelet a pénzügyi ágazat digitális működési ellenállóképességéről (DORA)

Mi az a DORA?

Az Európai Bizottság 2020. szeptember 24-én tette közzé a pénzügyi ágazat digitális működési ellenállóképességéről szóló rendelet tervezetét (Digital Operational Resilience Act - DORA).

A tervezet meglévő kockázatkezelési követelményekre, információbiztonsági keretrendszerekre épül, összhangban egyéb ágazati elvárásokkal és uniós kezdeményezésekkel. A rendelet azonban számtalan újdonságot is tartalmaz, fókuszba emel eddig elhanyagolt területeket is. 

A DORA célja, hogy átfogó keretet biztosítson a digitális kockázatkezelési folyamatok harmonizálásához a pénzügyi szektorban, illetve a felügyeleti jogkör megerősítése és a közvetlen felügyelet lehetővé tétele.

Kit érint?

A követelmények a hagyományos pénzügyi szektor szereplőire, a fintech cégekre, valamint a pénzügyi szervezetek külső szolgáltatóira is vonatkoznak majd.

Sok olyan új szereplőt is bevon a tervezet, akiket eddig ilyen szintű megfelelésre nem köteleztek a felügyeletek, kiemelendő az alternatívbefektetésialap-kezelők vagy a kriptoeszköz kibocsátók köre.

Mikor lép hatályba?

A javaslatot jelenleg az Európai Parlament és a Tanács vizsgálja felül, és várhatóan 2022 nyarán lép hatályba. Amikor ez megtörténik, a követelmények mind a 27 EU-tagállamban közvetlenül érvényesek lesznek. A rendelet várhatóan részletes szabályozási és végrehajtási követelményeket (RTS) fogalmaz majd meg, szankciókkal együtt.

Miért kulcsfontosságú a megfelelés?

Harmadik felek és külső szolgáltatók igénybevétele üzletileg indokolt és elkerülhetetlen a pénzügyi szervezetek számára, azonban a növekvő függőséggel újabb információbiztonsági kockázatok is megjelennek, amelyek kezelése elengedhetetlen. Közös érdekünk tehát a tágabb értelemben vett pénzügyi szektor működési ellenálló képességének erősítése. A harmadik felekkel kötött szerződések kezelése az új szabályok alapján meglehetősen részletes követelményrendszerrel rendelkezik, amelynek való teljeskörű megfelelés mind szolgáltatói oldalról, mind pedig intézményi oldalról is nehézségeket jelenthet.

Várhatóan a napi globális átlagforgalom 1%-a szabható majd ki pénzbírságként, és bár a szervezeteknek előreláthatólag12-24 hónapos türelmi időszak áll majd rendelkezésükre, a megfelelésre való felkészülést mindenképp javasolt időben elkezdeni. 

Hogyan segíthet a Deloitte?

A Deloitte szakértői iparági és szakmai tudásukkal támogatják a pénzügyi szervezetek digitális ellenállóképességének felmérését, javítását, a megfelelőség biztosítását.  Átfogó szolgáltatást nyújtunk a GAP elemzéstől a megvalósításig. Bevált eszközökkel és módszertanokkal segítjük ügyfeleinket a DORA követelményeinek teljesítésében:

• Kockázatkezelési keretrendszer: A DORA követelményeinek teljesítéséhez a szervezeteknek komplex, kiépített, megbízható kockázatkezelési folyamatokra van szüksége. Segítünk összehangolni szervezete üzleti stratégiáit és kiberkockázatait, ezzel együtt kiépíteni és fenntartani egy átfogó és hatékony kockázatkezelési keretrendszert.
• Incidens menedzsment: A DORA célja az incidensek osztályozási és jelentési folyamatainak harmonizálása, emellett pedig várhatóan egyszerűsíti majd az incidensek hatóságok felé történő riportálási folyamatát. A nem várt események korai felismerése és az időben történő reagálás kulcsfontosságú. Segítünk ügyfeleinknek a DORA incidens jelentési szabályainak való megfelelésben, valamint - az erőforrás-allokáció optimalizálása érdekében - a belső jelentési folyamatok összehangolásában is.
• Ellenálló képesség tesztelés: A DORA hangsúlyozza és elvárja a kulcsfontosságú rendszerek és folyamatok megfelelő tesztelését, beleértve a sérülékenységvizsgálatokat és behatolás teszteket, független fél által. Külön hangsúlyt helyez a megfelelő üzletmenet-folytonossági (BCP) és katasztrófa elhárítási (DRP) folyamatok meglétére és tesztelésére.
  
  Ezeken felül a DORA előírhatja a fenyegetettség-alapú (TLPT) sérülékenységvizsgálatot is a kritikusnak minősített szervezet számára
  
  A Deloitte Central Europe európai szinten is kimagasló szaktudással, technikai háttérrel és emberi erőforrással rendelkezik ezen a területen.
• Threat Intelligence (Kiber hírszerzés): A kibertámadók gyakran jól szervezetten és egyszerre célozzák meg a pénzügyi szektor több résztvevőjét. Azzal, hogy a DORA a fenyegetésekkel kapcsolatos hírszerzési információk megosztását is előírja majd, az egész szektort segíti abban, hogy felkészültebbek legyenek a kibertámadásokkal szemben. A Deloitte segíti ügyfeleit a minél inkább erőforrás-hatékony folyamatok kidolgozásában, a hírszerzési információk gyors feldolgozásában és reagálásban.
• Harmadik felekkel kapcsolatos kockázatkezelés (Third Party Risk Management - TPRM):
  
  A Deloitte TPRM keretrendszere az iparági best practice-eken és a globális szabályozási követelményeken alapul, átfogó megoldást kínálva ügyfeleink számára a harmadik felekkel kapcsolatos összetett kockázatok kezelésére.
  
  A TPRM platform  bevezetésével a teljes körű technológiai platform minden előnye adott, ez pedig számos lehetőséget kínál ügyfeleink számára: pl.  automatizált adatgyűjtést, különböző vállalati és egységszintű teljesítményjavító eszközöket, mobilra optimalizált jelentéskészítési és vizuális elemző felületeket, stb.
  
  A Deloitte jogi és információbiztonsági szakértőiként segíthetünk az érintetteknek a DORA hatálya alatti megállapodások és eljárások optimalizációjában, azzal, hogy megvizsgáljuk a jelenlegi gyakorlatokat, azonosítjuk az esetleges eltéréseket, vagy jogszabálysértéseket. Segíthetünk abban, hogy a DORA által előírt belső szabályozottsági szintet a szervezet kialakítsa. Ennek keretében közreműködünk a nyilvántartási kötelezettség és a megfelelő szabályzat implementálásában. Továbbá segíthetünk az egyes konkrét kiszervezési megállapodásokkal kapcsolatos feladatok jogi megfelelőségének biztosításában is.