Az elmúlt időszakban sokan igyekeztek megismerkedni a DORA rendelettel, olyanok is, akik se nem jogászok, se nem az információbiztonság szakértői. Ugyanis ez az új jogszabálycsomag, - amely Európában egységesen szabályozza a pénzügyi intézmények széles körének információtechnológiai védelmét, - kiterjeszti hatókörét sok olyan vállalatra is, akikre korábban ilyen szabályozás nem vonatkozott, és hangsúlyos felelősséget telepít a vállalatok vezetőire. A felsővezetőkre, akik a védelmi költségvetésről döntenek, és akik ezért hiteles és tiszta képet akarnak kapni az irányított vállalat felkészültségéről a DORA rendelet tükrében. Ugyanakkor áttekintést szerezni a DORA szabályozásról a hozzáértőknek sem magától értetődő.

A DORA a pénzügyi szektort célzó, működési rezilienciát megerősítő szabályozás, amely hatálya igen széles: kb. 20 különböző fajta pénzügyi szolgáltatóra érvényes, és újítása, hogy a harmadik fél IKT szolgáltatókra is kiterjed. Feladatokat ró rájuk is, illetve a velük kapcsolatban megbízói oldalon szereplő felügyelt intézményekre is.

A kockázatarányos megközelítés része, hogy a szabályozó elismeri, nem minden intézmény esetén indokolt a teljes szabályozás alkalmazása, és lehetővé teszi „egyszerűsített IKT kockázatkezelési keretrendszer” kidolgozását a kisebb léptékű, kockázatú, méretű és összetettségű pénzügyi intézmények esetében. Viszont ezen intézményekre külön részletező rendelet készült, amely a számukra kulcsfontosságú tényezőket, követelményeket definiálja.

A „digitális működési reziliencia” is új fogalom a jogszabályi környezetben: a pénzügyi szervezetnek azt a képességét jelenti, hogy magas szinten biztosítja működési integritását és megbízhatóságát, az IT rendszerek biztonságának kezeléséhez szükséges képességeket, akár zavarok bekövetkezésekor is.

Ez a két éve már hatályba lépett, de 2025. január 17-étől közvetlenül alkalmazandó egységes európai szabályozás nem egyetlen rendelet, hanem jogszabályoknak egy hierarchikus halmaza, ami nem könnyen adja meg magát a megérteni vágyónak. A betartandó követelmények részletei nem csak a rendeletben, hanem az azt kiegészítő jogszabályokban találhatók. A DORA jogszabálycsomag által lefedett főbb szabályozási témakörök: az IKT kockázatkezelés keretrendszere, a kapcsolódó irányítás és stratégia, külső szolgáltatók kezelése, incidens-bejelentés, intézmények és hatóságok közötti információcsere.

A háromszintű jogszabálygyűjtemény hierarchia csúcsán áll a rendelet, amely a célkitűzéseket, alapelveket, általános előírásokat is tartamaz, és az elmúlt két évre vonatkozóan írta elő az Európai Uniós jogalkotó a számára, hogy elkészítse a második szintet képviselő u.n. “szabályozástechnikai sztenderdeket” (RTS), valamit a harmadik szintet képviselő “végrehajtás-technikai sztenderdeket” (ITS). Ez utóbbiak szokatlanul konkrét, egészen a formai részletekig lebontott előírások. Mára már megjelent az összes előirányzott jogszabályi dokumentum, de még nem mindegyiket hirdették ki végső változatban. Mellékelt táblázatunk tartalmazza az egyes témákban elkészült jogszabályok státuszait. Nem könnyíti meg az áttekinthetőséget, hogy a jogalkotó több ízben is közös dokumentumban összevontan adta ki a sztenderdeket, valamint több esetben a konzultációs szakaszban érvénytelenített tervezeteket, és olyan is akad, amelyet utolsó jóváhagyási fázisban utasított el és küldött vissza korrekcióra az Európai Bizottság. Annak ellenére, hogy a szabályozó a saját ütemtervhez képest késik kissé, a teljesítendő követelmények már nyilvánvalók. 8 sztenderd már kész, kihirdetett, közvetlenül hatályos és kötelezően alkalmazandó. Ezek magyar nyelvű, hivatalos verziói is nyilvánosan elérhetők, letölthetők a táblázatunkban található linkekről is. További 2 kihirdetésre vár, 1 joganyag pedig az utolsó fázisban, – azaz a konzultációt követő jóváhagyásra előterjesztett státuszban van. Ezek „végső tervezet” változatait a konzultáció részleteivel együtt olvashatják az érdeklődők. Ezeket valószínűleg igen hamar, változatlanul kihirdetik, vagy ha lesz is korrekció, az egészen csekély lesz. Bátran tekinthetjük olyan előírásnak, aminek betartásával számolni kell.

A DORA törvényt kiegészítő jogszabályok*

Törvény fejezet Standardokban kifejtett témakör RTS ITS
IKT kockázat menedzsment IKT kockázatkezelési keretrendszer
 kihirdetve (2) -
Egyszerűsített IKT kockázatkezelési keretrendszer -
Incidens menedzsment IKT vonatkozású események osztályozása
 kihirdetve
 -
A jelentős IKT-vonatkozású események jelentése kihirdetve kihirdetve
Tesztelés Fenyegetés alapú behatolási tesztelés (TLPT) elfogadva -
Szolgáltatói kockázat menedzsment IKT szolgáltatói szabályzat és nyilvántartás
 kihirdetve kihirdetve
Kritikus IKT szolgáltatás alvállalkozásba adása beterjesztve -
Kritikus IKT szállító menedzsment Kritikus IKT szállítók felügyelete
 kihirdetve -
Hatósági közös vizsgálócsoport (JET) elfogadva -

*2025 február 28.-i állapot

A Magyar Nemzeti Bank információ biztonsági felügyelete eddig is szigorú eljárással tartatta be a vonatkozó MNB ajánlásokat a felügyelt intézményekkel (bankok, biztosítók, befektetési szolgáltatók, alapkezelők, stb.). Számukra a DORA megjelenése nem hozott drámai változást. Ebben a szférában kisebb nagyobb projekt végrehajtásával implementálni lehet az új elemeket, alkalmazkodni lehet az új hangsúlyokhoz, hacsak nem voltak e téren hiányosságaik korábban. Azonban azok a vállalatok, akik most kerültek a rendelet hatálya alá, de korábban nem voltak felügyeleti intézmények (pl. a fenti intézmények IT-beszállítói), gyakran alapos hátrányból indulnak és komoly lemaradást kell behozniuk. Számukra kihívást jelent felvenni a lépést és szintet lépni az információs rendszerek biztonsága terén. Nézzük, melyek azok a területek, amelyek különösen igénylik a vezetői figyelmet, és a szervezet különböző szakterületeinek együttműködését a DORA megfelelés érdekében.

Rögtön az első ilyen, az IKT kockázatok kezeléséről kiadott sztenderd, amely részletesen szabályozza, hogy az egyes kontroll részterületekről milyen szintű belső szabályzatokkal kell rendelkezniük a pénzügyi szervezeteknek. A könnyebb áttekinthetőség kedvéért alábbi táblázatunkban kigyűjtöttük mind a 20 témakört olyan sorrendben, ahogy a jogszabály a tartalmi elvárásokat is tárgyalja.

A DORA-ban előírt vállalati szabályzatok

Kontroll témakör Szabályzat Eljárás
Az IKT kockázatkezelés X X
Az IKT-eszközök kezelése X X
Titkosítás és kriptográfia X  
Kriptográfiai kulcsok kezelése X  
Az IKT-üzemeltetés X X
Kapacitás- és teljesítménymenedzsment   X
Sérülékenység-menedzsment és a hibajavítás   X
Adat- és rendszerbiztonság   X
Naplózás   X
Hálózatbiztonság kezelése X X
Adatátvitel biztonsága X X
IKT-projektmenedzsment X  
IKT-rendszerek beszerzése, fejlesztése és karbantartása X X
IKT-változásmenedzsment   X
Fizikai és környezetbiztonság X  
Humánerőforrás-politika X  
Személyazonosság kezelése X X
Hozzáférés kontroll X X
IKT-incidensek kezelése X X
Az IKT-üzletmenet-folytonosság X X

Láthatjuk, hogy a szabályalkotás alaposan átgondolt, és minden kapcsolódó témára kiterjed. Ami a tartalmi újdonságokat illeti, indokolatlan volna a sok részletből itt bármit kiemelni. Az implementálásnak kockázat-arányosnak kell lennie, ami eddig is követendő gyakorlat volt, de hangsúly eltolódást látunk a megelőző védekezés irányába.

A második, alaposan szabályozott témakör az incidens kezelés. A magyar nyelvű szabvány következetesen az „esemény” fogalmat használja az angol „incident” fordítására. Különösen bonyolult megfogalmazást találunk az események osztályozásra. Az alábbi diagram segít megérteni, melyik eseteket kell „jelentősnek” tekinteni és a hatóságnak bejelenteni. A jogszabály az egyes kritériumok határértékeit nagyon pontosan definiálja.

Incidens osztályozás a DORA szerint

Incidens osztályozás a DORA szerint

Az események bejelentésére szabott határidőkről kétszer is megjelent a részletes szabályozás. Az első verzióban túl szigorúak lettek az elvárások, amiket a konzultációk hatására később kicsit lazítottak. De még így is meglehetősen feszes követelményekkel találkozunk. Ennek teljesítése egyes pénzintézeteknél 7x24-es rendelkezésre állású kompetens egységek felállítását jelenti. A 3 előírt jelentés típusra vonatkozó határidőket a grafikonunk szemlélteti.

Jelentős IKT-vonatkozású eseményekre vonatkozó bejelentési határidők

Jelentős IKT-vonatkozású eseményekre vonatkozó bejelentési határidők

Fontos újítás a tesztelési elvárások szabályozása. Az IKT-rendszerek tesztelésére megbízható és átfogó, kockázat-alapú programot kell készítenie a szervezeteknek a mikrovállalkozások kivételével. Ezeket a teszteket független belső vagy külső félnek kell végrehajtania legalább évente, minden kritikus vagy fontos funkciót kiszolgáló IKT rendszeren. Csupán ennek a megvalósítása már kihívás lehet nagy szervezetek esetén, mind erőforrás, mind munkaszervezés szempontjából. Ráadásul ezen felül a kisebb szolgáltatók kivételével kötelező legalább 3 évente fejlett tesztelést végezni (Threat-led Penetration Testing vagy röviden TLPT) a kritikus vagy fontos funkciókat támogató éles rendszereken, kiterjesztve azt a harmadik feles IKT szolgáltatókra is, ha szükséges. Ehhez a harmadik feles IKT-szolgáltató együttműködését a szolgáltatónak kell biztosítania, tipikusan ezt szerződéses kötelezettségévé téve. A kötelezettség végrehajtásakor egy a témának szentelt külön rendelettel is meg kell ismerkednie a szervezeteknek is és a tesztelési szolgáltatást nyújtóknak is. Feltételezhető, hogy a megfelelést nagyon szorosan monitorozni tervezi a felügyeleti hatóság, így erre is kellő gondossággal érdemes készülni.

Kihagyhatatlan szót ejteni a „Kritikus IKT szolgáltatók” kezelésének szentelt szabályozásról. Már maga a fogalom is újdonság, és a jogalkotó radikálisan kiterjeszti a védelmi feladatokat arra a szállítói körre, amelyik kiszolgálja a pénzintézetek informatikai infrastruktúráját. Fájdalmas tapasztalatok világítottak rá, hogy a pénzügyi rendszerek stabilitásában ez az szféra is komoly kockázatoknak van kitéve. Azt látjuk, hogy DORA megfelelésre fordított erőforrás nagy hányadát igényli az itt előírt szabályozás. A sok szerződés áttekintése, nyilvántartásba vétele és újrakötése gyakran a legkomplexebb, és ezért a legidőigényesebb, elhúzódó feladatnak bizonyul.

A kritikus IKT szolgáltatókra vonatkozó szabályozás szerint a hatóság azonosítani fogja a közös szállítónál koncentrálódó kockázatokat is, amelyet csak egy egységes azonosító (az ún. Legal Entity Identifier) használatával tud megoldani Praktikusan, a szállítót minden megbízó pénzügyi intézmény egységesen csak a LEI-vel azonosíthat, vagyis, amelyik szállítóknak eddig nem volt LEI kódja, azoknak most ezt a regisztrációt is végre kell hajtani. Az ilyen kockázat koncentráció észlelés nemzetközi vállalatcsoportok számára is érték, sőt, feladat is egyben, mert a csoporton belüli szolgáltatót is harmadik félnek tekinti a jogszabály.

Ahogy fentebb is jeleztük, a magyar pénzügyi szektor számára eddig sem volt teljesen ismeretlen a szabályozás számos eleme. Egyrészt az IKT szolgáltató felekre és IKT kockázatokra vonatkozó EBA és azt átültető MNB ajánlások, másrészt nem pénzügyi ágazat-specifikus jogszabályok (NIS) vagy standardok adhattak támpontot. Egyszerre jelenthet a megfelelésben kihívást, de szerencsét is, hogy a Magyar Nemzeti Bank IKT kockázatok kezelésére vonatkozó elvárásai igen szigorúak, magas szintű megfelelést várnak el már az engedélyezési eljárásokban, majd később a működés teljes időtartama alatt. Aki eddig is eleget tudott tenni ezen elvárásoknak, vélhetően a DORA szabályozás-csomag sem fog ki rajta. Akinek azonban lemaradásai voltak már a DORA hatálybalépése előtt is, attól valószínűleg jelentősebb munkát és erőforrást fog igényelni, hogy a megfelelést biztosítsa. A megfelelés során a jogszabályokon túl az MNB útmutatásait és az iparági jó gyakorlatokat is érdemes figyelni. Ebben az MNB ajánlások és az EU felügyeleti szerveinek ajánlásai és folyamatosan frissített Q&A kiadványai lehetnek segítségükre.

A szabályozáscsomag nemcsak a piac, hanem a felügyelet oldalán is számos feladatot ad. A hazai pénzintézeti jogalkalmazók számára az MNB vonatkozó ajánlásai jelölik ki a betartandó követelményeket az információbiztonság területén is. Noha a DORA és a kiegészítő sztenderdjei közvetlenül hatályosak, nem érvénytelenítik az MNB ajánlásokat. Az MNB az ajánlásait a DORA-hoz igazítja, hogy az intézmények számára megkönnyítse a prudens működést – ne ossza meg többfelé a figyelmet, mint azt feltétlenül szükséges. Ennek során az várható, hogy az MNB nem lazít a korábbi szabályokon, csak összehangolja az eddigi elvárásait az új DORA szabályozással – ahogy ezt láthatjuk az év elején megújult két ajánlás esetében is. Megjelent az „info-ajánlás”  - 1/2025 (I.13.) számú az informatikai rendszer védelméről - és a „felhő-ajánlás” - 2/2025. (I.13.) számú a közösségi és publikus felhőszolgáltatások igénybevételéről – új verziója, és további frissítések is várhatók.

A DORA alkalmazásának időszerűsége egybeesik több más szakterületi szabályozás hatályba lépésével, gondoljunk csak a kiberbiztonsági törvény és végrehajtási rendeletének megjelenésére. Ez a szabályozás cunami fokozott terhet ró a szakmában dolgozókra, akár alkalmazói, akár ellenőrzői az új szabályoknak. Összetorlódnak a teendők, zsúfolódnak a projektek, folyamatos a tudásmegújításra irányuló nyomás, számítani kell a növekvő szakemberhiányra a munkaerőpiacon, ami tovább drágíthatja a megfelelés költségeit.

Tudva, hogy a pénzügyi szolgáltatóknak és beszállítóiknak a megfelelésről előbb-utóbb számot kell adni a felügyeleti feladatkörében eljáró Magyar Nemzeti Bank IT-felügyelői előtt, nem árt a felkészültségi szinttel - erősségekkel, gyengeségekkel - tisztában lenni. Mind azon pénzügyi szolgáltatók, amelyek a DORA-megfelelésben már komfortosnak érzik magukat, valamint azon szolgáltatók, akik még a megfelelés útján járnak, felmérhetik a megfelelési készültségüket egy dedikált belső ellenőrzési vagy külső, független fél által végrehajtott ad-hoc vizsgálattal. Az ilyen önvizsgálatok során kialakított megállapítások és ajánlások nagyban segítik a hivatalos felügyeleti tevékenységet, valamint nagyfokú megfelelési tudatosságról tesznek tanúbizonyságot.

Összegezve elmondható, hogy a DORA rendelet és kiegészítő szabályai lépést tartanak a digitális korunk kívánalmaival annak érdekében, hogy megbízható informatikai rendszerek szolgálják a pénzintézeteket, és a háttérben dolgozó rendszerek ellenálljanak a fenyegető kibertámadásoknak. Ez pedig mindannyiunk közös érdeke.

A témában hasznos weboldalak:
https://www.digital-operational-resilience-act.com/
https://www.dora-info.eu/
https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=HU
ISO 17442: The Global Standard - LEI – GLEIF

Podcast
Podcast
Podcast

Fedezze fel legújabb podcastjainkat és legyen naprakész az Önnek fontos témákban!

Glózer-Say Viktória

Glózer-Say Viktória

Menedzser

KPMG in Hungary
Gerencsér Miklós

Gerencsér Miklós

Principal Consultant

KPMG in Hungary
Ajánlatkérés
Pink and blue lines
Pink and blue lines
Alakítsuk közösen a jövőt!
Alakítsuk közösen a jövőt!
Alakítsuk közösen a jövőt!

KPMG Center of Digital Excellence. Partnere a megújulásban.

KPMG Center of Digital Excellence. Partnere a megújulásban.

KPMG Center of Digital Excellence. Partnere a megújulásban.

KPMG Cyber Lab
KPMG Cyber Lab
Kiberbiztonság category
KPMG Cyber Lab
KPMG Cyber Lab
KPMG Cyber Lab

Szakértőink segítenek Önnek megvédeni és fejleszteni vállalkozását.

Szakértőink segítenek Önnek megvédeni és fejleszteni vállalkozását.

Szakértőink segítenek Önnek megvédeni és fejleszteni vállalkozását.

Pénzügyikockázat-kezelés
Pénzügyikockázat-kezelés
Pénzügyikockázat-kezelés
Pénzügyikockázat-kezelés
Pénzügyikockázat-kezelés

A pénzügyi kockázatok feltárása, és azok csökkentése.

A pénzügyi kockázatok feltárása, és azok csökkentése.

A pénzügyi kockázatok feltárása, és azok csökkentése.