DORA

DORA A pénzügyi szektor kiberfenyegetésekkel és üzleti zavarokkal szembeni rezilienciájának növelése.

Mi az a DORA?

A DORA (teljes nevén Digital Operational Resilience Act), az EU 2022/2554. számú rendelete, mely a pénzügyi szektor kiberfenyegetésekkel és üzleti zavarokkal szembeni ellenállóképességével, IKT kockázatkezelésével foglalkozik.

 

A DORA egységes szabályozási keretként szolgál, amely javítja a pénzügyi intézmények működési és kiberbiztonsági ellenállóképességét az Európai Unió területén működő pénzügyi szervezeteknél. A szabályozást 2023. január 16-án tették közzé, és 2 év áll rendelkezésre a pénzügyi szektor érintett szereplőinek a megfelelőség biztosítására, mely határidő hamarosan, 2025. január 17-én fog lejárni.

 

A DORA az egységes kiberbiztonsági előírásokat alapvetően öt fő területen szabályozza:

  • IKT kockázatkezelés
  • IKT vonatkozású események kezelése, osztályozása, bejelentése
  • Digitális működési ellenállóképesség tesztelése (TLPT)
  • Harmadik féltől eredő IKT kockázatok kezelése
  • Információmegosztásra vonatkozó megállapítások

A DORA rendelet megjelenése komoly hatást gyakorol a pénzintézetek és az IT-szolgáltatók életére és legalább olyan fontosságú, mint a korábban hatályba lépett, mindenki által ismert GDPR rendelet. Ennek eredményeként a pénzügyi szektor szereplőinek kiemelt fontosságú a rendelet elvárásainak való megfelelés mielőbbi előkészítése.

Kikre vonatkozik a szabályozás?

  • Hitelintézetek, pénzforgalmi intézmények
  • Elektronikuspénz-kibocsátó intézmények
  • Befektetési vállalkozások
  • Kriptoeszköz-szolgáltatók, -kibocsátók, stb.
  • Központi értéktárak
  • Központi szerződő felek
  • Kereskedési helyszínek
  • Kereskedési adattárak
  • Alternatívbefektetésialap-kezelők
  • Alapkezelő társaságok
  • Adatszolgáltatók
  • Biztosítók és viszontbiztosítók
  • Közvetítők (biztosítás, viszontbiztosítás)
  • Foglalkoztatói nyugellátást szolgáltató intézmények
  • Hitelminősítő intézetek
  • Kritikus referenciamutatók kezelői
  • Közösségi finanszírozási szolgáltatók
  • Értékpapírosítási adattárak
  • IKT-val kapcsolatos szolgáltatást nyújtó harmadik fél szolgáltatók (pl. pénzügyi szervezetekkel kapcsolatban álló felhőszolgáltatók, szoftverszolgáltatók, adatközpontok).

A szervezetek javasolt felkészítési folyamata

Az Alverad 360° biztonságmenedzsment szolgáltatásával az érintett szervezetek teljeskörűen felmérhetik folyamataikat és implementált kontrolljaikat a DORA rendelet követelményeinek fényében.

 

Ügyfélre szabott, szabályozásnak megfelelő intézkedési terveket dolgozunk ki, emellett támogatást nyújtunk a tervek hatékony megvalósításában és az intézkedések folyamatos monitorozásában, annak érdekében, hogy ügyfeleink teljes mértékben megfeleljenek a hatóság és DORA rendelet vonatkozó előírásainak.

GAP analízis lefolytatása

Szakértői csapatunk által végrehajtott részletes GAP analízis keretében összevetjük az intézmény által már meglévő kontrollokat és működési folyamatokat a rendelet és a kiadott részletszabályozások követelményeivel. Ennek során azonosítjuk az esetleges hiányosságokat, amelyek gátolják az intézményt abban, hogy megfeleljen a DORA rendelet előírásainak.

Biztonság tervezés

A GAP analízis eredményére támaszkodva, ügyfélre szabott, szabályozásnak megfelelő intézkedési tervet dolgozunk ki. A kidolgozásánál figyelembe vesszük az adott pénzügyi intézmény egyedi jellemzőit, folyamatait és kockázatait. A tervek minden tekintetben illeszkednek az adott intézmény specifikus igényeihez és a szabályozó hatóságok által előírt követelményekhez. Ennek eredményeként biztosítjuk, hogy az intézkedések hatékonyak és célszerűek legyenek az adott környezetben, és segítsenek az intézménynek teljes mértékben megfelelni a bonyolult elvárásoknak.

Megvalósítás támogatás, felkészítés

A megvalósítás támogatása és felkészítés (mint a 360°-os biztonságmenedzsment utolsó bástyája) során széles körű segítséget nyújtunk a pénzügyi intézménynek az általunk kidolgozott intézkedési tervek hatékony végrehajtásához és a szabályozási elvárásoknak való megfeleléshez. Ez magában foglalja az intézkedési tervek operatív megvalósításának felügyeletét és irányítását, valamint az intézmény személyzetének felkészítését és képzését a DORA rendelet által előírt új követelmények és eljárások tekintetében. Végigkísérjük az intézményt az egész folyamat során, biztosítva, hogy minden lépést hatékonyan és gördülékenyen valósítsanak meg a DORA rendelet teljesítése érdekében.