Januártól hatályba lépett az uniós DORA-rendelet, aminek célja egységesíteni a pénzügyi szektor biztonsági standardjait a digitális kockázatokkal szemben. Az új szabályok nem csak az ágazat szereplőire, hanem sok külső szolgáltatóra, így ránk is vonatkoznak majd. A részletek még kidolgozás alatt állnak, de a felhasználók csak profitálhatnak majd az új rendszerből.

A GDPR már évek óta az életünk része. Az egységes európai adatvédelmi rendszer, ami korábban teljes sc-fi-nek tűnt, összes hiányosságával együtt alapvetően jól vizsgázott. Az Unió pedig azóta újabb területet vett célba, ahol szeretné egységessé tenni a széttöredezett és elavult szabályozást: ez lett a pénzügyi szektor, és ezért született meg az életét átalakító DORA-rendelet.

Mi a DORA célja?

A rendelet, aminek elsődleges célja a kiberfenyegetések megelőzése és enyhítése, éveken át készült, amíg végül idén januárban hatályba lépett. A DORA egységesíti a követelményeket a pénzügyi ágazatban működő vállalkozások és szervezetek számára, kezdve az információs és technológiai (IKT) kockázatok kezelésével, kitérve az informatikai incidensek kezelésére és bejelentésére, és persze foglalkozva a digitális működési ellenállóképesség kérdésével is.

Vagyis röviden: az Unió valamennyi országában egységes kibervédelmi szabályozás vonatkozik majd az összes pénzügyi szereplőre.

Kire vonatkozik a DORA?

Fontos viszont, hogy ez a szabályozás nem csak a pénzintézetek számára jelent új elvárásokat, hanem a nekik különböző szolgáltatásokat nyújtó cégeknek is. Bármilyen cég, ami felhőszolgáltatást, szoftverfejlesztési, support, digitális szolgáltatást vagy adatszolgáltatást végez egy pénzügyi szereplőnek, meg kell hogy feleljen ugyanezeknek a standardoknak.

Mivel mi felhő alapú telekommunikációs szolgáltatásokat nyújtunk, ügyfeleink között pedig többek közt pénzügyi szereplők is vannak, ezért a DORA ránk is vonatkozik. Illetve egészen pontosan vonatkozik majd.

Mikortól érvényesek az új szabályok?

A rendelet hatályba lépése ugyanis nem jelent azonnali változást. Az új szabályok majd csak 2025 januárjától lesznek kötelezőek minden szereplőre, vagyis szűk két évet mindenki kapott a felkészülésre. Ez már csak azért is fontos, mert a rendelet csak az alapvető kereteket határozta meg, a részletszabályokat – például a pontos biztonsági standardokat, amiknek meg kell majd felelni – csak a következő hónapokban hozzák majd meg.

Mit jelenet ez az ügyfeleknek?  

A fontos kérdés, hogy mit érzékelnek majd ebből az ügyfeleink? A részleteket a fent leírtak miatt még senki sem ismeri, de az biztos, hogy a hozzánk hasonló felhőszolgáltatók számára szélesebb körű nyilvántartási és jelentési kötelezettséget fog előírni a szabályozás.

Ez nagyban javítja majd a szolgáltatók számonkérhetőségét és ellenőrizhetőségét, vagyis az ügyfeleink csak profitálhatnak ebből. Ahogy abból is, hogy a DORA egységesíti majd a biztonsági követelményeket és a fenyegetésekhez igazodó védelmi intézkedéseket. Bár úgy gondoljuk, hogy biztonság terén eddig is magas szintű szolgáltatást nyújtottunk, a szigorú uniós követelményeknek való megfelelés ezen csak javíthat, más szolgáltatóknak pedig itt lesz az alkalom a felzárkózásra.

Láthatjuk, hogy a DORA-rendelet csak előnyös lehet a szektor és így az ügyfelek számára is. Az új, egységes szabályozás nagyobb védelmet garantál majd a biztonsági kockázatokkal szemben, ahogy az átláthatóságon is javít. A pontos részletszabályok megismerésével a kép tovább tisztul majd, de addig sem árt, ha a cégek elkezdenek felkészülni az új rendszerre.

András

Felhasznált források: Fintechzone és Portfolio