2025. január 17-től közvetlenül alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról szóló uniós rendelet (Digital Operational Resilience Act – DORA), jelentős változásokat hozva az EU pénzügyi szolgáltatási szektorában. Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje foglalta össze a rendelettel kapcsolatos főbb tudnivalókat.
Kikre terjed ki a DORA hatálya?
A rendelet alapvetően minden pénzügyi szolgáltatóra vonatkozik, így a hitel-, fizetési és elektronikuspénz-kibocsátó intézményekre, befektetési vállalkozásokra, kriptovaluta-szolgáltatókra, alapkezelőkre, biztosítókra és viszontbiztosítókra, hitelminősítő intézetekre és a crowdfunding-szolgáltatókra.
Emellett a rendelet az IKT-szolgáltatók tekintetében is számos szabályt határoz meg, azokat nemcsak közvetve, hanem bizonyos feltételek mellett közvetlenül is szabályozva. A DORA alapján IKT-szolgáltatók azok, akik folyamatosan digitális szolgáltatásokat és adatszolgáltatásokat, például felhőalapú számítástechnikai szolgáltatásokat, valamint bizonyos hardverrel kapcsolatos szolgáltatásokat nyújtanak.
Hatékonyabb kockázatkezelés
A rendelet elsődleges célja, hogy a pénzügyi szervezetek jobban kezeljék a működési kockázatokat és biztosítsák a kritikus műveletek folytatását zavar esetén.
"A szabályozás fókusza a védekezésről a „reziliencia” biztosítására helyeződött át. Ez egy sokkal tágabb fogalom, amely magában foglalja a zavarok, fenyegetések megelőzését, az incidensek enyhítését, valamint a zavaró események következményeinek kezelését és az azokból való felépülést"
A DORA további célja, hogy a hatálya alá eső pénzügyi szervezetek megfelelően kezeljék az IKT-kockázatokat. Ide tartozik minden olyan, a hálózati és információs rendszerek használata kapcsán észszerűen azonosítható körülmény, amely ha bekövetkezik, veszélyeztetheti a hálózati és információs rendszerek, valamely technológiafüggő eszköz vagy folyamat, egyéb műveletek, illetve a szolgáltatásnyújtás biztonságát azáltal, hogy káros hatásokkal jár a digitális vagy a fizikai környezetre nézve.
A gyakorlatban a DORA megköveteli, hogy a pénzügyi szervezetek átfogó képességeket alakítsanak ki a hatékony IKT-kockázatkezelés érdekében, valamint konkrét mechanizmusokat és szabályzatokat hozzanak létre az információs és kommunikációs technológiákkal kapcsolatos valamennyi incidens kezelésére és az IKT-vonatkozású események illetékes hatóságoknak történő bejelentésére.
Új szerződéses követelmények
Az IKT-szolgáltatások igénybevételére vonatkozó szerződéses megállapodások megkötését megelőzően a pénzügyi szervezeteknek átfogó kockázatelemzést kell végezniük. A pénzügyi szervezetek csak azon harmadik fél IKT-szolgáltatókkal köthetnek szerződéses megállapodást, amelyek megfelelnek a rájuk vonatkozó információbiztonsági szabványoknak. Amennyiben az említett szerződéses megállapodások kritikus vagy fontos funkciókat érintenek, a pénzügyi szervezeteknek a megállapodások megkötése előtt kellően figyelembe kell venniük a legfrissebb és legjobb minőségű információbiztonsági szabványok harmadik fél IKT-szolgáltatók általi alkalmazását.
A DORA új szerződéses tartalmi követelményeket is bevezet, amelyek hatással vannak mind a pénzügyi szervezetekre, mind az IKT-szolgáltatókra. A pénzügyi szervezeteknek át kell tekinteniük és módosítaniuk az IKT-szolgáltatásokra vonatkozó szerződéseiket a DORA előírásainak megfelelően. A szerződéseknek – az IKT-szolgáltatás által támogatott funkció kritikusságától vagy fontosságától is függően – számos előírást kell tartalmazniuk, amelyekben a tartalmi követelmények meglehetősen specifikusak és minimális tartalomként értelmezendők. Ilyen tartalmi elemek például a szerződés megszüntetésére vonatkozó rendelkezések, az alvállalkozók bevonásának megengedhetősége, a teljesítési helyszínek és azok módosítása, vagy a személyes és nem személyes adatok biztonsága és védelme, beleértve a fizetésképtelenség esetén az adatokhoz való hozzáférést.
"A fenti követelmények előírásával az uniós jogalkotó a pénzügyi szektor ellenállóképességének és biztonságának növekedésére számít, ugyanakkor a rendeletnek való teljes körű megfelelés biztosítása jelentős kihívásokat is jelent az érintett szervezetek számára"
Szerző: Almásy Márk
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
Legfrissebb tartalmaink
Újabb könnyítések a cégek fenntarthatósági jelentéstételi kötelezettségeiben – elfogadták az ESG törvény és a számviteli törvény módosítását
Megjelent a 2023. évi CVIII. törvény, azaz az ESG törvény és a számviteli törvény újabb módosítása, ami újabb könnyítéseket hoz a hazai vállalkozások fenntarthatósági és
Multifunctional spaces, customer experience and green technologies: How the real estate market is responding to challenges
Diverse trends, selective focuses and energy-efficient solutions will define the real estate market in 2025, according to DLA Piper Hungary’s annual real estate intelligence report.
A „zsugorodó termékek” nyomában – Magyarország élen jár a shrinkflation szabályozásban
A DLA Piper legfrissebb jelentése, az International Shrinkflation Guide, átfogó képet nyújt arról, hogy miképpen reagálnak a világ különböző országai a „shrinkflation” jelenségére.