2025. január 17-től közvetlenül alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról szóló uniós rendelet (Digital Operational Resilience Act – DORA), jelentős változásokat hozva az EU pénzügyi szolgáltatási szektorában. Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje foglalta össze a rendelettel kapcsolatos főbb tudnivalókat.
Kikre terjed ki a DORA hatálya?
A rendelet alapvetően minden pénzügyi szolgáltatóra vonatkozik, így a hitel-, fizetési és elektronikuspénz-kibocsátó intézményekre, befektetési vállalkozásokra, kriptovaluta-szolgáltatókra, alapkezelőkre, biztosítókra és viszontbiztosítókra, hitelminősítő intézetekre és a crowdfunding-szolgáltatókra.
Emellett a rendelet az IKT-szolgáltatók tekintetében is számos szabályt határoz meg, azokat nemcsak közvetve, hanem bizonyos feltételek mellett közvetlenül is szabályozva. A DORA alapján IKT-szolgáltatók azok, akik folyamatosan digitális szolgáltatásokat és adatszolgáltatásokat, például felhőalapú számítástechnikai szolgáltatásokat, valamint bizonyos hardverrel kapcsolatos szolgáltatásokat nyújtanak.
Hatékonyabb kockázatkezelés
A rendelet elsődleges célja, hogy a pénzügyi szervezetek jobban kezeljék a működési kockázatokat és biztosítsák a kritikus műveletek folytatását zavar esetén.
"A szabályozás fókusza a védekezésről a „reziliencia” biztosítására helyeződött át. Ez egy sokkal tágabb fogalom, amely magában foglalja a zavarok, fenyegetések megelőzését, az incidensek enyhítését, valamint a zavaró események következményeinek kezelését és az azokból való felépülést"
A DORA további célja, hogy a hatálya alá eső pénzügyi szervezetek megfelelően kezeljék az IKT-kockázatokat. Ide tartozik minden olyan, a hálózati és információs rendszerek használata kapcsán észszerűen azonosítható körülmény, amely ha bekövetkezik, veszélyeztetheti a hálózati és információs rendszerek, valamely technológiafüggő eszköz vagy folyamat, egyéb műveletek, illetve a szolgáltatásnyújtás biztonságát azáltal, hogy káros hatásokkal jár a digitális vagy a fizikai környezetre nézve.
A gyakorlatban a DORA megköveteli, hogy a pénzügyi szervezetek átfogó képességeket alakítsanak ki a hatékony IKT-kockázatkezelés érdekében, valamint konkrét mechanizmusokat és szabályzatokat hozzanak létre az információs és kommunikációs technológiákkal kapcsolatos valamennyi incidens kezelésére és az IKT-vonatkozású események illetékes hatóságoknak történő bejelentésére.
Új szerződéses követelmények
Az IKT-szolgáltatások igénybevételére vonatkozó szerződéses megállapodások megkötését megelőzően a pénzügyi szervezeteknek átfogó kockázatelemzést kell végezniük. A pénzügyi szervezetek csak azon harmadik fél IKT-szolgáltatókkal köthetnek szerződéses megállapodást, amelyek megfelelnek a rájuk vonatkozó információbiztonsági szabványoknak. Amennyiben az említett szerződéses megállapodások kritikus vagy fontos funkciókat érintenek, a pénzügyi szervezeteknek a megállapodások megkötése előtt kellően figyelembe kell venniük a legfrissebb és legjobb minőségű információbiztonsági szabványok harmadik fél IKT-szolgáltatók általi alkalmazását.
A DORA új szerződéses tartalmi követelményeket is bevezet, amelyek hatással vannak mind a pénzügyi szervezetekre, mind az IKT-szolgáltatókra. A pénzügyi szervezeteknek át kell tekinteniük és módosítaniuk az IKT-szolgáltatásokra vonatkozó szerződéseiket a DORA előírásainak megfelelően. A szerződéseknek – az IKT-szolgáltatás által támogatott funkció kritikusságától vagy fontosságától is függően – számos előírást kell tartalmazniuk, amelyekben a tartalmi követelmények meglehetősen specifikusak és minimális tartalomként értelmezendők. Ilyen tartalmi elemek például a szerződés megszüntetésére vonatkozó rendelkezések, az alvállalkozók bevonásának megengedhetősége, a teljesítési helyszínek és azok módosítása, vagy a személyes és nem személyes adatok biztonsága és védelme, beleértve a fizetésképtelenség esetén az adatokhoz való hozzáférést.
"A fenti követelmények előírásával az uniós jogalkotó a pénzügyi szektor ellenállóképességének és biztonságának növekedésére számít, ugyanakkor a rendeletnek való teljes körű megfelelés biztosítása jelentős kihívásokat is jelent az érintett szervezetek számára"
Szerző: Almásy Márk
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
Legfrissebb tartalmaink
Distressed M&A: magyarországi szabályozási keret és tranzakciós tapasztalatok
A cikk bemutatja a distressed M&A ügyletek legfontosabb gyakorlati pontjait, a hazai szabályozási kereteket és a tranzakciós tapasztalatokat.
Közel 6 milliárd euró bírság a GDPR óta
2024-ben az uniós adatvédelmi hatóságok összesen 1,2 milliárd euró bírságot szabtak ki, ezzel a büntetések összértéke 5,88 milliárd euróra nőtt a rendelet alkalmazandóvá válása óta – derül ki a DLA Piper legfrissebb, immár hetedik alkalommal megjelenő riportjából.*
W&I biztosítás: a szavatossági biztosítás alapjai I. rész – ismeretlen kockázatok kezelése M&A ügyletekben
Az ismeretlen kockázatok és a W&I biztosítás összefüggéseit mutatjuk be Szkiba Tamás, a DLA Piper szenior M&A ügyvédje és Anton Schnopper, az Aon tranzakciós biztosítási tanácsadója közreműködésével.