2025. január 17-től közvetlenül alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról szóló uniós rendelet (Digital Operational Resilience Act – DORA), jelentős változásokat hozva az EU pénzügyi szolgáltatási szektorában. Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje foglalta össze a rendelettel kapcsolatos főbb tudnivalókat.
Kikre terjed ki a DORA hatálya?
A rendelet alapvetően minden pénzügyi szolgáltatóra vonatkozik, így a hitel-, fizetési és elektronikuspénz-kibocsátó intézményekre, befektetési vállalkozásokra, kriptovaluta-szolgáltatókra, alapkezelőkre, biztosítókra és viszontbiztosítókra, hitelminősítő intézetekre és a crowdfunding-szolgáltatókra.
Emellett a rendelet az IKT-szolgáltatók tekintetében is számos szabályt határoz meg, azokat nemcsak közvetve, hanem bizonyos feltételek mellett közvetlenül is szabályozva. A DORA alapján IKT-szolgáltatók azok, akik folyamatosan digitális szolgáltatásokat és adatszolgáltatásokat, például felhőalapú számítástechnikai szolgáltatásokat, valamint bizonyos hardverrel kapcsolatos szolgáltatásokat nyújtanak.
Hatékonyabb kockázatkezelés
A rendelet elsődleges célja, hogy a pénzügyi szervezetek jobban kezeljék a működési kockázatokat és biztosítsák a kritikus műveletek folytatását zavar esetén.
"A szabályozás fókusza a védekezésről a „reziliencia” biztosítására helyeződött át. Ez egy sokkal tágabb fogalom, amely magában foglalja a zavarok, fenyegetések megelőzését, az incidensek enyhítését, valamint a zavaró események következményeinek kezelését és az azokból való felépülést"
A DORA további célja, hogy a hatálya alá eső pénzügyi szervezetek megfelelően kezeljék az IKT-kockázatokat. Ide tartozik minden olyan, a hálózati és információs rendszerek használata kapcsán észszerűen azonosítható körülmény, amely ha bekövetkezik, veszélyeztetheti a hálózati és információs rendszerek, valamely technológiafüggő eszköz vagy folyamat, egyéb műveletek, illetve a szolgáltatásnyújtás biztonságát azáltal, hogy káros hatásokkal jár a digitális vagy a fizikai környezetre nézve.
A gyakorlatban a DORA megköveteli, hogy a pénzügyi szervezetek átfogó képességeket alakítsanak ki a hatékony IKT-kockázatkezelés érdekében, valamint konkrét mechanizmusokat és szabályzatokat hozzanak létre az információs és kommunikációs technológiákkal kapcsolatos valamennyi incidens kezelésére és az IKT-vonatkozású események illetékes hatóságoknak történő bejelentésére.
Új szerződéses követelmények
Az IKT-szolgáltatások igénybevételére vonatkozó szerződéses megállapodások megkötését megelőzően a pénzügyi szervezeteknek átfogó kockázatelemzést kell végezniük. A pénzügyi szervezetek csak azon harmadik fél IKT-szolgáltatókkal köthetnek szerződéses megállapodást, amelyek megfelelnek a rájuk vonatkozó információbiztonsági szabványoknak. Amennyiben az említett szerződéses megállapodások kritikus vagy fontos funkciókat érintenek, a pénzügyi szervezeteknek a megállapodások megkötése előtt kellően figyelembe kell venniük a legfrissebb és legjobb minőségű információbiztonsági szabványok harmadik fél IKT-szolgáltatók általi alkalmazását.
A DORA új szerződéses tartalmi követelményeket is bevezet, amelyek hatással vannak mind a pénzügyi szervezetekre, mind az IKT-szolgáltatókra. A pénzügyi szervezeteknek át kell tekinteniük és módosítaniuk az IKT-szolgáltatásokra vonatkozó szerződéseiket a DORA előírásainak megfelelően. A szerződéseknek – az IKT-szolgáltatás által támogatott funkció kritikusságától vagy fontosságától is függően – számos előírást kell tartalmazniuk, amelyekben a tartalmi követelmények meglehetősen specifikusak és minimális tartalomként értelmezendők. Ilyen tartalmi elemek például a szerződés megszüntetésére vonatkozó rendelkezések, az alvállalkozók bevonásának megengedhetősége, a teljesítési helyszínek és azok módosítása, vagy a személyes és nem személyes adatok biztonsága és védelme, beleértve a fizetésképtelenség esetén az adatokhoz való hozzáférést.
"A fenti követelmények előírásával az uniós jogalkotó a pénzügyi szektor ellenállóképességének és biztonságának növekedésére számít, ugyanakkor a rendeletnek való teljes körű megfelelés biztosítása jelentős kihívásokat is jelent az érintett szervezetek számára"
Szerző: Almásy Márk
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
Legfrissebb tartalmaink
Biztosítékok alapítása a kezdetektől az üzemeltetés végéig – Napelemparkok létesítésével kapcsolatos ingatlanjogi kérdések – 4. rész
A cikkben napelemparkok esetén a termőföldön történő beruházás megvalósításának idejére, valamint az üzemeltetés időszakára alapítandó biztosítékokról számol be Szűcs Anikó Edit, a DLA Piper Hungary Ingatlanjogi csoportjának szenior ügyvédje.
Omnibusz javaslat: szükséges egyszerűsítés vagy visszalépés a fenntarthatósági törekvésekben?!
Hivatalosan is elérhetővé vált a fenntarthatósági jelentéstételi kötelezettségek egyszerűsítését célzó ún. Omnibusz javaslat, amellyel az Európai Bizottság célja az európai versenyképesség javítása.
Változatos év az M&A piacon: az AI a vállalatfelvásárlásokat is átalakítja
Az M&A piacot érintő trendekről Posztl András, a DLA Piper Hungary irodavezető partnere és Kovaloczy Áron, a DLA Piper Business Advisory ügyvezető igazgatója készített összefoglalót.