Az Európai Unióban jelenleg több olyan jogszabály előkészítése vagy éppen elfogadása is terítéken van, amelyek az adatvédelemhez, az információbiztonsághoz, illetve a mesterséges intelligenciához kapcsolódnak, egy-egy jól megfogalmazott stratégia részeként. Ebben a rendszerben kiemelt szerepet kap a kiberbiztonság. Az Európai Bizottság megfogalmazása szerint ugyanis a 2020–2030 közötti időszak „Európa digitális évtizede”. Az egységes, uniós szabályozás megteremtését több állásfoglalás, irányelv és rendelet fogja segíteni. Az egyik a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA-rendelet), amelynek célja, hogy a pénzügyi szervezetek számára az információs és kommunikációs technológiák (IKT) használatára vonatkozóan közös szabályokat írjon elő.  A Tanács most november 28-án elfogadta a rendeletet, amely biztosítani fogja, hogy az európai pénzügyi ágazat súlyos működési zavarok esetén is képes legyen a reziliens (rugalmas ellenállás) működésre.

Eu,Flag,And,Shadows,Of,People,Concept,Picture
Fotó: Shutterstock

Talán a legfontosabb kérdés, hogy kiket érint ez a rendelet? Alapvetően az új szabályozás a pénzügyi szervezetekre vonatkozik, de a jogszabályt kiterjesztik a harmadik félnek minősülő IKT szolgáltatókra is, vagyis a digitális és adatszolgáltatást nyújtó vállalkozásokra (pl. felhőszolgáltatók, szoftverszolgáltatók, adatközpontok). Ők ugyanis szerződéses kapcsolatban állnak a pénzügyi szervezetekkel, így az ő biztonságukat is védeni kell. Fontos tehát, hogy egy jóval nagyobb kört érint ez a rendelet. Ide tartoznak például a bankok mellett a hitelintézetek, a lakástakarék pénztárak vagy éppen Magyarországon a Magyar Posta. A teljesség igénye nélkül érinti a rendelet majd az elektronikus pénzt kibocsátókat, a befektetési vállalkozásokat, a kriptoeszközöket kibocsátó és forgalmazó cégeket, a tokenek kibocsátóit és a központi értéktárakat is. Vagyis a DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek, valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek ehhez kapcsolódó szolgáltatásokat – például felhőplatformokat vagy adatelemzési szolgáltatásokat – nyújtanak e vállalkozások és szervezetek számára. 

A rendelet részletesen szabályozza, hogy minden vállalkozásnak gondoskodnia kell arról, hogy az információs és kommunikációs technológiákhoz kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani. 

Ezek a követelmények valamennyi uniós tagállamban egységesek. A fő cél a kiberfenyegetések megelőzése és enyhítése. A rendelet alapján ezek az új szabályok nagyon szilárd keretet alkotnak majd, jelentősen megerősítve a pénzügyi ágazat információs rendszereinek biztonságát. A pénzügyi szervezetektől elvárt erőfeszítések arányosak lesznek a potenciális kockázatokkal. Azoknak a kritikus jelentőségű IKT-szolgáltatóknak, amelyek harmadik országokból nyújtanak szolgáltatásokat uniós pénzügyi szervezetek számára, leányvállalatot kell létrehozniuk az EU-ban.

A DORA-rendelet az egyes uniós tagállamokban is közvetlenül alkalmazandó jogszabály.

Az érintett európai felügyeleti hatóságok, például az Európai Bankhatóság (EBH), az Európai Értékpapírpiaci Hatóság (ESMA), valamint az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság (EIOPA) ezt követően kidolgozza azokat a technikai standardokat, amelyeket minden pénzügyi szolgáltatónak be kell tartania – a bankoktól a biztosítókon át a vagyonkezelőkig. A standardoknak való megfelelést az illetékes nemzeti hatóságok (idehaza az MNB) fogják ellenőrizni, és szükség szerint alkalmazzák a rendeletet. Az Európai Bizottság két évvel ezelőtt terjesztette elő a DORA-javaslatot, amely egy tágabb digitális pénzügyi csomag része. Célja egy olyan európai megközelítés kidolgozása, amely előmozdítja a technológiai fejlődést, ugyanakkor gondoskodik a pénzügyi stabilitásról és a fogyasztók védelméről is. 

hálózati és információs rendszer
Fotó: Shutterstock

A DORA-rendeleten kívül a csomag a digitális pénzügyi stratégiát, a kriptoeszközök piacairól szóló rendelettervezetet, valamint a megosztott főkönyvi technológiáról szóló javaslatot is tartalmazta. A digitális pénzügyi csomag biztosítja, hogy a jelenlegi jogi keret ne akadályozza az új digitális pénzügyi eszközök használatát, és ezáltal orvosolja a meglévő uniós jogszabályok hiányosságait, ugyanakkor arról is gondoskodik, hogy ezek az új technológiák és termékek az EU-ban működő vállalkozások pénzügyi szabályozásának és működésikockázat-kezelési szabályainak hatálya alá tartozzanak. Így tehát a csomag célja az innovációnak és az új pénzügyi technológiák elterjedésének a támogatása, a megfelelő szintű fogyasztó- és befektetővédelem egyidejű biztosítása mellett. A DORA elfogadását követően még mind az unió, mind a hazai szabályozás szintjén sok feladat lesz.