2025. január 17-től közvetlenül alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról szóló uniós rendelet (Digital Operational Resilience Act – DORA), jelentős változásokat hozva az EU pénzügyi szolgáltatási szektorában. Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje foglalta össze a rendelettel kapcsolatos főbb tudnivalókat.
Kikre terjed ki a DORA hatálya?
A rendelet alapvetően minden pénzügyi szolgáltatóra vonatkozik, így a hitel-, fizetési és elektronikuspénz-kibocsátó intézményekre, befektetési vállalkozásokra, kriptovaluta-szolgáltatókra, alapkezelőkre, biztosítókra és viszontbiztosítókra, hitelminősítő intézetekre és a crowdfunding-szolgáltatókra.
Emellett a rendelet az IKT-szolgáltatók tekintetében is számos szabályt határoz meg, azokat nemcsak közvetve, hanem bizonyos feltételek mellett közvetlenül is szabályozva. A DORA alapján IKT-szolgáltatók azok, akik folyamatosan digitális szolgáltatásokat és adatszolgáltatásokat, például felhőalapú számítástechnikai szolgáltatásokat, valamint bizonyos hardverrel kapcsolatos szolgáltatásokat nyújtanak.
Hatékonyabb kockázatkezelés
A rendelet elsődleges célja, hogy a pénzügyi szervezetek jobban kezeljék a működési kockázatokat és biztosítsák a kritikus műveletek folytatását zavar esetén.
"A szabályozás fókusza a védekezésről a „reziliencia” biztosítására helyeződött át. Ez egy sokkal tágabb fogalom, amely magában foglalja a zavarok, fenyegetések megelőzését, az incidensek enyhítését, valamint a zavaró események következményeinek kezelését és az azokból való felépülést"
A DORA további célja, hogy a hatálya alá eső pénzügyi szervezetek megfelelően kezeljék az IKT-kockázatokat. Ide tartozik minden olyan, a hálózati és információs rendszerek használata kapcsán észszerűen azonosítható körülmény, amely ha bekövetkezik, veszélyeztetheti a hálózati és információs rendszerek, valamely technológiafüggő eszköz vagy folyamat, egyéb műveletek, illetve a szolgáltatásnyújtás biztonságát azáltal, hogy káros hatásokkal jár a digitális vagy a fizikai környezetre nézve.
A gyakorlatban a DORA megköveteli, hogy a pénzügyi szervezetek átfogó képességeket alakítsanak ki a hatékony IKT-kockázatkezelés érdekében, valamint konkrét mechanizmusokat és szabályzatokat hozzanak létre az információs és kommunikációs technológiákkal kapcsolatos valamennyi incidens kezelésére és az IKT-vonatkozású események illetékes hatóságoknak történő bejelentésére.
Új szerződéses követelmények
Az IKT-szolgáltatások igénybevételére vonatkozó szerződéses megállapodások megkötését megelőzően a pénzügyi szervezeteknek átfogó kockázatelemzést kell végezniük. A pénzügyi szervezetek csak azon harmadik fél IKT-szolgáltatókkal köthetnek szerződéses megállapodást, amelyek megfelelnek a rájuk vonatkozó információbiztonsági szabványoknak. Amennyiben az említett szerződéses megállapodások kritikus vagy fontos funkciókat érintenek, a pénzügyi szervezeteknek a megállapodások megkötése előtt kellően figyelembe kell venniük a legfrissebb és legjobb minőségű információbiztonsági szabványok harmadik fél IKT-szolgáltatók általi alkalmazását.
A DORA új szerződéses tartalmi követelményeket is bevezet, amelyek hatással vannak mind a pénzügyi szervezetekre, mind az IKT-szolgáltatókra. A pénzügyi szervezeteknek át kell tekinteniük és módosítaniuk az IKT-szolgáltatásokra vonatkozó szerződéseiket a DORA előírásainak megfelelően. A szerződéseknek – az IKT-szolgáltatás által támogatott funkció kritikusságától vagy fontosságától is függően – számos előírást kell tartalmazniuk, amelyekben a tartalmi követelmények meglehetősen specifikusak és minimális tartalomként értelmezendők. Ilyen tartalmi elemek például a szerződés megszüntetésére vonatkozó rendelkezések, az alvállalkozók bevonásának megengedhetősége, a teljesítési helyszínek és azok módosítása, vagy a személyes és nem személyes adatok biztonsága és védelme, beleértve a fizetésképtelenség esetén az adatokhoz való hozzáférést.
"A fenti követelmények előírásával az uniós jogalkotó a pénzügyi szektor ellenállóképességének és biztonságának növekedésére számít, ugyanakkor a rendeletnek való teljes körű megfelelés biztosítása jelentős kihívásokat is jelent az érintett szervezetek számára"
Szerző: Almásy Márk
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
Legfrissebb tartalmaink
Hungary: From IPOs to Mid-Cap Growth – Key Trends in the Country’s Equity Capital Markets
The Hungarian equity capital markets experienced a dynamic period in 2025, building on the renewed issuance momentum that began in 2024. Hungary distinguished itself by the depth of domestic investor participation and the successful execution of large-scale transactions on the Budapest Stock Exchange.
From Compliance to Courtroom: Emerging Landscape of AI litigation in Hungary
This article explores how AI‑related litigation is taking shape in Hungary and across the EU: the role of ex ante safety rules under the AI Act and how growing regulatory scrutiny of these rules will trigger early disputes, as well as ex post liability mechanisms.
Átláthatóbbá válnak a kötvények módosítására vonatkozó szabályok
Február 14-én lép életbe az a jogszabálymódosítás, amely egyértelmű kereteket ad a kötvények módosítására vonatkozóan. A még a tavalyi év végén elfogadott törvényjavaslat több ponton is lényegesen bővíti a Tpt. kötvényekre vonatkozó rendelkezéseit. Jelen cikkben a kötvények módosítására vonatkozóan bevezetett ezen új szabályokat ismertetjük.