Életbe lépett a DORA

A hazai pénzintézeti jogalkalmazók számára az MNB vonatkozó ajánlásai jelölik ki a betartandó követelményeket az információbiztonság területén is, ezért az MNB az ajánlásait a DORA-hoz igazítja. Ennek során az várható, hogy az MNB nem lazít a korábbi szabályokon, csak összehangolja az eddigi elvárásait az új DORA szabályozással – ahogy ezt láthatjuk az év elején megújult két ajánlás esetében is.

Milyen változásokat hoz a DORA

A Magyar Nemzeti Bank információ biztonsági felügyelete eddig is szigorú eljárással tartatta be a vonatkozó MNB-ajánlásokat a felügyelt intézményekkel (bankok, biztosítók, befektetési szolgáltatók, alapkezelők stb.). Számukra a DORA megjelenése nem hozott drámai változást, ezért most inkább azzal foglalkozunk, hogy mit jelent a „Kritikus IKT szolgáltatók” kifejezés, akikre rajtuk kívül kiterjed a rendelet hatálya, és őket milyen kötelezettségek terhelik. Ők gyakran alapos hátrányból indulnak és komoly lemaradást kell behozniuk. Számukra kihívást jelent felvenni a lépést és szintet lépni az információs rendszerek biztonsága terén. 

Már maga a „Kritikus IKT-szolgáltatók” fogalom is újdonság, és a jogalkotó radikálisan kiterjeszti a védelmi feladatokat arra a szállítói körre, amelyik kiszolgálja a pénzintézetek informatikai infrastruktúráját. Fájdalmas tapasztalatok világítottak rá, hogy a pénzügyi rendszerek stabilitásában ez az szféra is komoly kockázatoknak van kitéve. 

A kritikus IKT-szolgáltatókra vonatkozó szabályozás szerint a hatóság azonosítani fogja a közös szállítónál koncentrálódó kockázatokat is, amelyet csak egy egységes azonosító (az ún. Legal Entity Identifier) használatával tud megoldani. Praktikusan, a szállítót minden megbízó pénzügyi intézmény egységesen csak a LEI-vel azonosíthat, vagyis, amelyik szállítóknak eddig nem volt LEI-kódja, azoknak most ezt a regisztrációt is végre kell hajtani. 

Részletes szabályozottsága miatt figyelmet érdemel az IKT-kockázatok kezeléséről kiadott sztenderd, amely részletesen tartalmazza, hogy az egyes kontroll részterületekről milyen szintű belső szabályzatokkal kell rendelkezniük a pénzügyi szervezeteknek. A könnyebb áttekinthetőség kedvéért alábbi táblázatunkban kigyűjtöttük mind a 20 témakört olyan sorrendben, ahogy a jogszabály a tartalmi elvárásokat is tárgyalja.

Másik alaposan szabályozott témakör az incidenskezelés 

Az események osztályozása meglehetősen bonyolult, de az alábbi diagram segít megérteni, melyik eseteket kell „jelentősnek” tekinteni és a hatóságnak bejelenteni. 

Az események bejelentésére adott határidők meglehetősen szigorúak, a három előírt jelentés típusra vonatkozó határidőket a grafikonunk szemlélteti.

Fontos újítás a tesztelési elvárások szabályozása 

Az IKT-rendszerek tesztelésére megbízható és átfogó, kockázatalapú programot kell készítenie a szervezeteknek a mikrovállalkozások kivételével. Ezeket a teszteket független belső vagy külső félnek kell végrehajtania legalább évente, minden kritikus vagy fontos funkciót kiszolgáló IKT-rendszeren. Csupán ennek a megvalósítása már kihívás lehet nagy szervezetek esetén, mind erőforrás, mind munkaszervezés szempontjából. Ráadásul ezen felül a kisebb szolgáltatók kivételével kötelező legalább 3 évente fejlett tesztelést végezni (Threat-led Penetration Testing vagy röviden TLPT) a kritikus vagy fontos funkciókat támogató éles rendszereken, kiterjesztve azt a harmadik feles IKT-szolgáltatókra is, ha szükséges. Ehhez a harmadik feles IKT-szolgáltató együttműködését a szolgáltatónak kell biztosítania, tipikusan ezt szerződéses kötelezettségévé téve. A kötelezettség végrehajtásakor egy a témának szentelt külön rendelettel is meg kell ismerkednie a szervezeteknek is és a tesztelési szolgáltatást nyújtóknak is. Feltételezhető, hogy a megfelelést nagyon szorosan monitorozni tervezi a felügyeleti hatóság, így erre is kellő gondossággal érdemes készülni.

A Magyar Nemzeti Bank IKT-kockázatok kezelésére vonatkozó elvárásai elég szigorúak, ezért aki eddig is eleget tudott tenni ezen elvárásoknak, azon vélhetően a DORA szabályozáscsomag sem fog ki. Akinek azonban lemaradásai voltak már a DORA hatályba lépése előtt is, attól valószínűleg komoly munkát és erőforrást fog igényelni a megfelelés biztosítsa, és ezen belül a szerződés áttekintése, nyilvántartásba vétele és újrakötése. Ráadásul a DORA hatályba lépése időben egybeesik több más szakterületi szabályozás érvénybe lépésével , gondoljunk csak a kiberbiztonsági törvény és végrehajtási rendeletének megjelenésére. Ez a szabályozáscunami fokozott terhet ró a szakmában dolgozókra, akár alkalmazói, akár ellenőrzői az új szabályoknak, ezért növekvő szakemberhiányra lehet számítani, ami tovább drágíthatja a megfelelés költségeit.