Cookie
Kedves Látogató! Tájékoztatjuk, hogy honlapunk a felhasználói élmény fokozásának érdekében cookie-kat alkalmazunk. A honlapunk használatával ön a tájékoztatásunkat tudomásul veszi.
Elfogadom

Új világ jön az EU-ban, hatalmas feladat előtt állnak a bankok Magyarországon

Kevesebb mint egy év múlva élesedik az Európai Unió digitális működési rezilienciáról szóló új szabálya, a DORA, mely fontos új feladatokat ró a bankokra elsősorban a  kibervédelem terén. Bár a részletszabályok második csomagját várhatóan 2024. július 17-én fogják csak véglegesíteni, már most mintegy 400 elvárás szerepel a DORA-listán.

Jön a DORA

A kibertámadások kivédése érdekében a JP Morgan Chase több technológiai szakembert alkalmaz, mint a Google vagy az Amazon – mondta el az idei Világgazdasági Fórumon Davosban Mary Erdoes, a pénzintézet egyik felsővezetője. Szavai szerint rákényszerülnek erre, mert a csalók „egyre ügyesebbek, rafináltabbak, gyorsabbak, fondorlatosabbak és gonoszabbak”.

Pénzügyi szakembereket aligha lep meg ez a kijelentés. A szektor ellenállóképességének növelése a kiberfenyegetésekkel és az üzleti zavarokkal szemben elengedhetetlen, hiszen a pénzügyi szolgáltatások növekvő digitalizációja új kihívásokat és kockázatokat hoz magával.  A kiberfenyegetések mellett ide tartozik az üzletmenet megszakadása és a harmadik féltől származó szolgáltatásoktól való függés is.

Az Európai Unió (EU) is felismerte, hogy a korábbi szabályozások nem voltak elégségesek, ráadásul nem is hangolták össze őket az európai közösségen belül. Ezért született meg a DORA (Digital Operational Resilience Act) irányelv, amely szabványosított szabályozási keretként szolgál. Javítja a pénzügyi intézmények működési ellenállóképességét, és ezáltal elősegíti a kockázatkezelést az EU-ban. A dokumentumot 2023. január 16-án tették közzé és 2025. január 17-től már élesben alkalmazzák.

Sok feladat, sok szervezetnek

Bár a részletszabályok második csomagját várhatóan 2024. július 17-én fogják csak véglegesíteni, már most mintegy 400 elvárás szerepel a DORA-listán. Rengeteg olyan feladat van, amelyet el lehet, és el is kell kezdeni megoldani. Az új részletszabályok megjelenése után pedig lehet bővíteni a feladatlistát.

A DORA az Európai Unióban működő valamennyi pénzügyi intézményre - bankok, hitelintézetek, pénzforgalmi intézmények, biztosítótársaságok, tőzsdék és kereskedési platformok, digitális szolgáltatók – vonatkozik. Ez nagyon sok szervezetet – és szakembert – jelent, hiszen ide tartozik például a Google, az Amazon, a Microsoft és számtalan kisebb szolgáltató.

Sokat kockáztat az az intézmény, amelyik nem tartja be a DORA-t. És itt nem csak a szabályozó által meghozott szankciókra kell gondolni, hiszen a mulasztás miatt a pénzintézet jó híre is sérül, adatokat veszthet, beperelhetik stb. Az Európai Bizottság javaslatai szerint egyébként a szankciók lehetnek pénzügyi vagy nem pénzügyi jellegűek. Azok mértéke a szabályszegés súlyosságától függ, az erre vonatkozó szabályozás még nem készült el.

A DORA öt pillére

A DORA öt pillérre épül, ezek a következők: kockázatmenedzsment, incidensmenedzsment, harmadik fél kockázatmenedzsmentje (Third-party risk management, TPRM), penetrációs tesztelés és információmegosztás.

Tapasztalataink szerint a fentiekkel nagyon sok magyar pénzintézetnél vannak problémák. Így például gyakran még az alapjai is hiányoznak annak, hogy az információs és kommunikációs technológiai (IKT) kockázatkezelést és annak nyilvántartását jól megoldják. Csak egy példa: minden informatikai eszközről kell lennie nyilvántartásnak, és ezeket kockázati szempontból is értékelni kell. Ám sokszor már azzal is gond van, hogy aktuális, hiteles, egy helyen lévő nyilvántartás legyen minden informatikai eszközről. Pedig, ha ez nincs meg, a teljes kockázatkezelés alapjai megkérdőjelezhetőek.

Talán a legtöbb új elvárást a harmadik felektől eredő kockázatok kezelésével kapcsolatban támasztja a DORA-rendelet. Nagyon pontosan kell tudni azt, hogy hogyan szerződünk harmadik feles szolgáltatókkal, a szerződésekben milyen elvárásokat kell rögzíteni, ezt hogyan monitorozzuk, az esetleges auditokba hogyan vonjuk be őket. Márpedig egy-egy nagyobb intézménynek több száz, több ezer ilyen szerződése is van. Ezen a téren is sokszor előfordul, hogy már a nyilvántartás sem megfelelő. További nehézség, hogy nem egyedül az adott pénzintézeten múlik a megoldás, hiszen meg kell állapodnia a partnerével, át kell írni meglévő szerződéseket.

Számos területet érint a szervezeten belül

Egyértelmű, hogy a felkészülési programban részt kell vennie a felsővezetésnek. Már csak azért is, mert a megfelelésért való felelősséget a DORA kifejezetten a felsővezetéshez rendeli, nem delegálható módon. Rendszeresen, tevékenyen, bizonyítható módon a legfelső vezetők dolga ez.

Természetesen az információbiztonság, az IT-irányítás, a kockázatkezelés területeket is be kell vonni. Nagyon fontos, hogy a beszerzés, a szállítómenedzsment, a HR is érintett egy ilyen projektben. Nélkülük nem lehet ledolgozni egy ekkora feladathalmazt, amely az összes beszállítói szerződés átdolgozását jelenti.

Az elvégzendő munka tehát hatalmas, és sokszor az alapok is hiányoznak. Ha egy pénzintézet nem kezd el már most foglalkozni a DORA-megfeleléssel, akkor biztosan ki fog csúszni a határidőből.

Forrás: Új világ jön az EU-ban, hatalmas feladat előtt állnak a bankok Magyarországon - Portfolio.hu