Díjmentes demó kérése

DORA rendelet – A lényeg 5 percben

DORA rendelet – A lényeg 5 percben - DORA

Az Európai Unió 2023. január 17-én hatályba lépett, és 2025. január 17-től kötelezően alkalmazandó szabályozása, a DORA (Digital Operational Resilience Act) célja, hogy megerősítse a pénzügyi szektor digitális ellenálló képességét az EU tagállamaiban. A DORA egységesíti és szigorítja az információs és kommunikációs technológiai (IKT) biztonsági előírásokat, hogy a pénzügyi szervezetek képesek legyenek ellenállni, reagálni és helyreállni az IKT-rendszereket érintő zavarokból, például kibertámadásokból vagy rendszer hibákból eredő eseményekből.

Miből tudhatom, hogy vonatkozik-e rám a DORA?

A DORA rendelet hatálya kifejezetten széles, így érdemes átgondolni néhány alapvető kérdést. Az alábbi iránymutatás segíthet eldönteni, hogy egy szervezet potenciálisan a rendelet hatálya alá tartozik-e:

  1. Vállalata pénzügyi szolgáltatást nyújt az EU-ban?
    A DORA rendelet a legtöbb pénzügyi intézményre – például bankokra, biztosítókra, befektetési és fizetési szolgáltatókra – vonatkozik. Ha szervezete ilyen tevékenységet végez, nagy valószínűséggel érintett.
  2. A szervezet informatikai szolgáltatásokat nyújt a pénzügyi szektor szereplőinek?
    Például felhőszolgáltatás, szoftverfejlesztés, adatközponti üzemeltetés vagy kiberbiztonsági szolgáltatások – ha igen, a DORA vonatkozhat Önökre mint kritikus IKT-szolgáltatóra.
  3. Az Ön ügyfelei pénzügyi szektorbeli intézmények?
    Akkor is érintett lehet a szabályozásban, ha közvetve kapcsolódik a pénzügyi ökoszisztémához.

Mit ír elő a DORA?

A DORA öt fő területen határoz meg kötelező előírásokat:

1. IKT kockázatkezelés

A pénzügyi szervezeteknek átfogó IKT kockázatkezelési keretrendszert kell kialakítaniuk, amely magában foglalja:

  • A kockázatok azonosítását és értékelését
  • Megelőző és védelmi intézkedések bevezetését
  • Incidensek észlelését és kezelését
  • Helyreállítási és tanulási folyamatokat

A keretrendszernek arányosnak kell lennie a szervezet méretével, tevékenységének jellegével és kockázati profiljával.

2. IKT incidensek kezelése és jelentése

A szervezeteknek kötelességük az IKT-hoz kapcsolódó jelentős incidenseket azonosítani, osztályozni és jelenteni a megfelelő hatóságok felé. A jelentéseknek tartalmazniuk kell az incidens leírását, hatását és a megtett intézkedéseket.

3. Digitális működési reziliencia tesztelés

A pénzügyi szervezeteknek rendszeresen tesztelniük kell digitális működési ellenálló képességüket, beleértve:

  • Sérülékenységi vizsgálatokat
  • Teljesítményteszteket
  • Fenyegetésalapú penetrációs teszteket (Threat-Led Penetration Testing – TLPT)

A tesztek célja a rendszerek gyengeségeinek feltárása és a reziliencia növelése.

4. Harmadik fél kockázatkezelés

A szervezeteknek szigorú szabályokat kell alkalmazniuk az IKT szolgáltatókkal való együttműködés során, beleértve:

  • Kockázatértékelést a szerződéskötés előtt
  • Szerződéses kötelezettségek meghatározását, mint például auditálási jogok, biztonsági követelmények és incidensjelentési kötelezettségek
  • Kilépési stratégiák kidolgozását a szolgáltatások megszüntetése esetére.

5. Információmegosztás

A DORA ösztönzi a pénzügyi szervezetek közötti információ megosztást a kiberfenyegetésekről és incidensekről, hogy elősegítse a kollektív védekezést és a gyorsabb reagálást a fenyegetésekre.

Könnyítse meg a DORA megfeleléssel járó adminisztrációt!

Ha támogatásra van szüksége a DORA technikai hátterének kialakításában, forduljon hozzánk bizalommal! A Telvice csapata mély tapasztalattal rendelkezik a pénzügyi szektor IT-követelményeinek teljesítésében. A Dynatrace új Compliance Assistant modulja kifejezetten a DORA-hoz és más szabályozásokhoz való technikai megfelelés támogatására készült. A modul segít a digitális ellenállóképesség átlátható dokumentálásában és folyamatos javításában, anélkül, hogy ez extra adminisztrációs terhet jelentene az IT-csapatok számára.

Az itt felsorolt szempontok iránymutatásként szolgálnak, és nem minősülnek teljes körű jogi vagy megfelelőségi tanácsadásnak. A végleges megállapítás, hogy egy adott szervezet a DORA hatálya alá tartozik-e, mindig az adott szervezet egyedi működésének, tevékenységének és szerződéses kapcsolatrendszerének részletes vizsgálatát igényli. A jelen tájékoztató alapján hozott döntéseiért felelősséget nem vállalunk. A pontos és naprakész értelmezéshez javasoljuk szakértői konzultáció igénybevételét.

Források:
https://fintechzone.hu/hatalyba-lepett-az-uj-kiberbiztonsagi-szabalyozas-a-dora-rendelet-osszefoglaltuk-a-legfontosabb-tudnivalokat/?utm_source

https://www.mnb.hu/felugyelet/felugyeleti-keretrendszer/felugyeleti-hirek/hirek-ujdonsagok/az-europai-felugyeleti-hatosagok-kozzetettek-a-dora-rendelet-elso-csomagjaba-tartozo-az-ikt-es-harmadik-fel-kockazatkezelesre-es-az-incidensek-osztalyozasara-vonatkozo-reszletszabalyokat?utm_source

https://fr.wikipedia.org/wiki/Digital_Operational_Resilience_Act?utm_source

https://www.pwc.com/hu/hu/szolgaltatasok/vallalati_kockazatkezeles/kiberbiztonsag-es-adatvedelem/dora-why-it-is-relevant-to-you.html?utm_source

Picture of Darabos Tamás
Darabos Tamás
Picture of Darabos Tamás
Darabos Tamás
A szerző
Tamás szenvedélye az üzleti működés folyamatos javítása innovatív megoldások révén. Nagyvállalati vezetőként is ebben szerzett több éves tapasztalatot, amit most a Telvice Zrt. operatív vezetőjeként kamatoztat. Tamás a Telvice-nél kulcsszerepet játszik abban, hogy a vállalat olyan elegáns technológiai megoldásokat nyújtson, amelyek az ügyfelek digitális átalakulását és hatékonyságuk növelését szolgálják. Hisz abban, hogy a kreativitás és a technológia együttes erejével a legösszetettebb kihívások is megoldhatók.
Telvice Zrt - Partner a digitális értékteremtésben
Ne maradjon le az IT trendekről, iratkozzon fel havi hírlevelünkre!
Hírlevél feliratkozás - csak e-mail
Hasznos linkek
Szakmai tartalom
Kövessen minket
Linkedin Facebook
Telvice service partner
  • All right reserved 2024