Finisben az új uniós kiberbiztonsági rendelet
Az EU-ban működő pénzügyi szervezeteknek be kell bizonyítaniuk, hogy egy nagyobb kibertámadás után is képesek talpraállni, lévén erősen kitettek olyan óriáscégek felhőszolgáltatásainak, mint az Amazon, a Google és az IBM. Jóváhagyást kapott a digitális működési rezilienciáról szóló DORA-rendelet.
Az unió 27 tagállamát képviselő tanács elfogadta a digitális működési rezilienciáról szóló rendeletet (DORA-rendelet), amely azt szeretné biztosítani, hogy az európai pénzügyi ágazat súlyos működési zavarok esetén is reziliens maradhasson. A javaslatot még 2020-ban terjesztette elő az EU bizottsága egy tágabb pénzügyi digitális csomag részeként, az elfogadott rendelet már a jogalkotási folyamat utolsó lépése, melynek eredményeként a törvény 2024 végén léphet életbe.
A rendelet létrehozza a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden pénzügyi szervezetnek gondoskodnia kell arról, hogy az IKT-hez kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani. A szabályozó hatóságok szerint ugyanis ha a nagy felhőszolgáltató cégek közül valamelyiknél fellép egy hiba, az számos pénzügyi cégnél potenciálisan leállíthatja a szolgáltatásokat.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek(bankok, biztosítók, befektetési cégek, fintech vállalkozások) valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat (például felhőplatformokat, adatelemzési szolgáltatásokat) nyújtanak a vállalkozások és szervezetek számára.
Tehát ezzel új feladatokat oszt az olyan nagy IT nagy külföldi szolgáltatóknak is, mint az Amazon, a Microsoft vagy a Google. A rendelet azonban nem terjed ki a hardverbeszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internetszolgáltatók).
Zbynek Stanjura, Csehország pénzügyi minisztere, EU-elnök szerint ugyan a bankoknak és pénzügyi cégeknek vannak saját IT-biztonsági terveik, ennél többre van szükség, hogy a súlyos fennakadások során is ellenállóak maradjanak, az elfogadott, harmonizált jogi követelményeknek köszönhetően a pénzügyi szektor ütésállóbb lesz – abban az esetben is, ha netán egy nagyszabású, összehangoltabb kibertámadás érné valamikor a jövőben.
Következő lépésként az érintett európai felügyeleti hatóságok, például az Európai Bankhatóság (EBH), az Európai Értékpapírpiaci Hatóság (ESMA), valamint az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság (EIOPA) kidolgozza azokat a technikai standardokat, amelyeket minden pénzügyi szolgáltatónak be kell tartania, a bankoktól a biztosítókon át a vagyonkezelőkig. Az MNB elvárásainak eddig megfelelt magyar szervezetek valószínűleg nem fognak különösebb nehézségek elé nézni a DORA-nak való megfelelésben.
A rendelet az adott pénzügyi szervezet méretét, tevékenységeit, valamint üzleti profilját figyelembevéve határozza meg, hogy milyen informatikai kockázatkezelési elvárásoknak kell megfelelnie. A reziliencia tesztelésére új szabályok jönnek: az ICT eszközöket és rendszereket legalább évente egyszer szükséges lesz tesztelni, és kötelezővé válik a fenyegetettségi alapú penetrációs tesztek végzése egy erre akkreditált független tesztelővel, méghozzá három évente.