Az Európai Bizottság még 2020 szeptemberében ismertette a digitális működési ellenállóképesség megerősítésével kapcsolatos, úgynevezett DORA (Digital Operational Resilience Act) rendelettervezetet, amely várhatóan az idei 2022 végén lép életbe és a GDPR-hoz hasonlóan, felkészülési időt biztosít az érintetteknek.  A rendelkezés furcsa helyzetet eredményezett, mert a részletszabályokat még nem dolgozták ki, és eddig az sem dőlt el, hogy ezek megalkotását a tagállamokra bízzák, vagy központi rendeletcsomagot hoznak létre Brüsszelben. Ahhoz, hogy tisztábban lássunk a kérdésben, Bucsai Balázshoz, a 4iG Nyrt. vezető információbiztonsági tanácsadójához fordultunk.

„A DORA alapvető elvárásokat fogalmaz meg a teljes pénzügyi ágazattal szemben, azaz ugyanúgy érintettek a nagy pénzügyi szolgáltatók, mint a kisebb, pár fős startupok” – magyarázta a szakember. „Természetesen az eltérő méretű, profilú vállalkozásokra az arányosság elve alapján más-más követelmények vonatkoznak majd”.

A szakember rámutatott, hogy a DORA öt fő területtel kapcsolatban fogalmaz meg elvárásokat. Az első a kockázatmenedzsment, melynek során követni kell az információs és kommunikációs technológiák (IKT) kockázataival kapcsolatos irányítási elveket, meg kell határozni az IKT-kockázattal szembeni kockázattűrő képességüket és kockázatkezelési keretrendszerrel kell rendelkezni. A második az incidens jelentés, ennek keretében a DORA szabványos incidensosztályozási módszert vezet be, melynek során a súlyosnak minősített incidenseket jelenteni kell a szabályozó hatóságnak, az elkészült jelentéseket pedig anonimizáltan közzéteszik a teljes közösség számára. A harmadik a digitális ellenállóképesség tesztelése, ami arról rendelkezik, hogy a DORA értelmében minden cégnek átfogó tesztelési programot kell bevezetnie. A legkritikusabb cégeknek 3 évente nagyszabású, fenyegetésvezérelt, élő behatolási tesztet kell szervezniük független tesztelők segítségével. A következő fő terület a harmadik fél kockázatmenedzsment, melynek során a pénzügyi szervezeteknek rendelkezniük kell egy harmadik féltől származó IKT-kockázati stratégiával és politikával, valamint egy karbantartott nyilvántartással az összes IKT-harmadik félről. Az utolsó, ötödik terület pedig az információmegosztás, amely a kiber-fenyegetésekkel kapcsolatos, cégek közötti információmegosztási megállapodásokra vonatkozóan tesz ajánlásokat.

„Magyarországon a pénzügyi felügyeletként eljáró Magyar Nemzeti Bank (az MNB)a pénzintézetek működésével kapcsolatos ajánlásokat tekintve is jelentős szerepet vállal: informatikai rendszerek védelmével, távmunka és távoli hozzáférés informatikai követelményeivel, a közösségi és publikus felhőszolgáltatások igénybevételéről, fizikai biztonsági és humánkockázatkezelési feltételeiről, az interneten keresztül nyújtott pénzügyi szolgáltatások biztonságával kapcsolatban tett ajánlásokat, amelyeket rendszeresen frissít is. Fontos azonban, hogy az MNB eddig is kockázatarányos elvárásokat támasztott a pénzügyi szereplőknek. Ennek köszönhetően a hazai pénzügyi szereplők a DORA-t tekintve nem nulláról indulnak, a felügyeleti ajánlások eredményeként a legtöbb elvárást teljesíteni fogják már a rendelet életbelépésekor.

„Érdekes kettősség jellemzi, hogy milyen cégek számítanak a legkritikusabbnak: elsőre azt gondolhatnánk, hogy ezek a legnagyobbak, hiszen ahol sok a felhasználó, rengeteg adat és pénz forog, azok inkább a kiberbűnözők célkeresztjébe kerülnek” – mondta Bucsai Balázs. „A kisebb cégek azért lehetnek kritikusabbak, mert kisebb költségvetésből gazdálkodnak és kevésbé tudnak költeni az IT-biztonságra.”

A 4iG szakemberei már készülnek az év végén életbe lépő DORA miatt felmerülő vállalati igények kiszolgálására. A pénzügyi szereplőknek (például bankoknak, biztosítóknak és további befektetési társaságoknak) átfogó és részletes tanácsadást, illetve összehasonlító vizsgálatokat kínál a 4iG. Ezek eredményeként az érintettek megismerhetik, hogy az ő cégük, szervezetük felkészültsége hogyan viszonyul a DORA követelményeihez. Ahol hiányosságot találnak, a 4iG Nyrt. tanácsadói megoldási javaslatokkal, akár kockázatelemzési és további, úgynevezett Compliance szolgáltatásokkal is támogatják a felkészülést.