Élesedett az új uniós kiberbiztonsági szabályozás!
Mától kezdődően a DORA rendelet közvetlenül érvényes, de jelenleg nem mindenki felel meg a benne foglalt követelményeknek. E rendelet célja a pénzügyi intézmények digitális ellenállóképességének megerősítése, hogy jobban tudjanak reagálni a technológiai kihívásokra és kockázatokra.
Január 17-én, pénteken hivatalosan életbe lépett a digitális működési rezilienciáról szóló rendelet (DORA), amelynek célja, hogy az európai pénzügyi szektor képes legyen ellenállni a súlyos működési zavaroknak. Az uniós pénzügyi szolgáltatók közül sokan azonban még nem álltak készen teljes mértékben: a francia Orange telekommunikációs vállalat alá tartozó Orange Cyberdefense kiberbiztonsági cég felmérése szerint a brit pénzügyi intézmények 43%-a még nem felel meg teljesen a DORA követelményeinek. Bár az Egyesült Királyság nem tagja az Európai Uniónak, ezért a DORA jogi hatálya rájuk nem terjed ki, a szabályok mégis vonatkoznak minden uniós joghatóságon belül működő pénzügyi intézményre, függetlenül attól, hogy székhelyük a blokkon kívül található-e.
Harvey Jang, a Cisco vezérigazgató-helyettese rámutatott, hogy a pénzügyi szolgáltatók körében az új követelmények betartásának mértéke vegyes képet mutat. Számos pénzintézet számára a legnagyobb kihívást a külső informatikai szolgáltatók kezelése jelenti. A pénzügyi szervezetek számára elengedhetetlen, hogy a külső IKT-szolgáltatások igénybevétele előtt alapos kockázatelemzést végezzenek, és csak olyan partnerekkel lépjenek szerződéses viszonyba, akik megfelelnek az információbiztonsági normáknak.
A pénzügyi intézmények egy többrétegű és rendkívül összetett digitális ökoszisztémán belül működnek, és további erőforrásokat igényel annak nyomon követése és biztosítása, hogy ennek a rendszernek minden része nyilvánvalóan megfeleljen a DORA vonatkozó elemeinek. Az Orange Cyberdefense egyébként szerint hosszabb távon fennáll annak a kockázata, hogy a pénzügyi szolgáltató cégek végül házon belül helyezik át kritikus biztonsági funkcióikat és szolgáltatásaikat.
A sokszínűség éppen most éli mélypontját, hiszen a hosszú távú, évtizedek során felhalmozott trendek nem csupán néhány év alatt, profitorientált vállalatok támogatásával, DEI csomagolásban orvosolhatók. Az igazi változáshoz idő és elkötelezettség szükséges, nem csupán felszínes intézkedések.
A nehézségek ellenére a szakértők optimisták abban a tekintetben, hogy a bankok és egyéb pénzintézetek viszonylag hamar képesek lesznek megfelelni az új előírásoknak. Az európai pénzintézetek már jelenleg is eleget tesznek számos jelentős szabályozásnak, amelyek a DORA keretein belül érintett területek nagy részét lefedik.
A rendelet létrehozza a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden pénzügyi szervezetnek gondoskodnia kell arról, hogy az IKT-hez kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani. A szabályozó hatóságok szerint ugyanis ha a nagy felhőszolgáltató cégek közül valamelyiknél fellép egy hiba, az számos pénzügyi cégnél potenciálisan leállíthatja a szolgáltatásokat.
A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek (bankok, biztosítók, befektetési cégek, fintech vállalkozások) valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat (például felhőplatformokat, adatelemzési szolgáltatásokat) nyújtanak a vállalkozások és szervezetek számára. Tehát ezzel új feladatokat oszt az olyan nagy IT nagy külföldi szolgáltatóknak is, mint az Amazon, a Microsoft vagy a Google. A rendelet azonban nem terjed ki a hardverbeszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internetszolgáltatók).
