Élesedett az új uniós kiberbiztonsági rendelet
Mától közvetlenül alkalmazandó, egyelőre azonban még nem mindenki felel meg a DORA rendeletben meghatározott előírásoknak, melynek célja megerősíteni a pénzügyi szervezetek digitális ellenállóképességét.
Január 17-én pénteken hivatalosan is hatályba lépett a digitális működési rezilienciáról szóló rendelet (DORA), amely azt szeretné biztosítani, hogy az európai pénzügyi ágazat súlyos működési zavarok esetén is reziliens maradhasson. Az uniós pénzügyi szolgáltatók közül sokan még nem készültek fel teljesen: a francia Orange telekommunikációs cég alá tartozó Orange Cyberdefense kiberbiztonsági cég felmérése szerint a brit pénzügyi intézmények 43 százaléka egyelőre még nem teljesen felel meg a DORA előírásainak. Ugyan az Egyesült Királyság nem az Európai Unió része, így a DORA-nak nincs jogi hatóköre, mégis minden uniós joghatóságon belül működő pénzügyi szervezetre vonatkoznak a szabályok akkor is, ha azok székhelye a blokkon kívül található.
Harvey Jang, a Cisco vezérigazgató-helyettese szerint eddig vegyes a térkép, ami az új követelmények betartásának arányát illeti a pénzügyi szolgáltatók között. Sok pénzintézet számára a legnagyobb kihívást a kritikus, külsős informatikai szolgáltatók kezelése jelentheti. A pénzügyi szervezeteknek ugyanis a külső IKT-szolgáltatások igénybevétele előtt átfogó kockázatelemzést kell végezniük, és csak olyan szolgáltatókkal köthetnek szerződést, amelyek megfelelnek az információbiztonsági előírásoknak.
A pénzügyi intézmények egy többrétegű és rendkívül összetett digitális ökoszisztémán belül működnek, és további erőforrásokat igényel annak nyomon követése és biztosítása, hogy ennek a rendszernek minden része nyilvánvalóan megfeleljen a DORA vonatkozó elemeinek. Az Orange Cyberdefense egyébként szerint hosszabb távon fennáll annak a kockázata, hogy a pénzügyi szolgáltató cégek végül házon belül helyezik át kritikus biztonsági funkcióikat és szolgáltatásaikat.
A szétszteroidozott diversity alkonya Évtizedekben mérhető folyamatokat nem lehet profitorientált cégek asszisztálásával pár év alatt lezavarni, DEI csomagolásban.
A kihívások ellenére a szakértők úgy vélik, hogy nem telik majd sok időbe, amíg a bankok és más pénzintézetek is teljesítik a megfelelést. Az európai bankok már most is megfelelnek azoknak a jelentős szabályozásoknak, amelyek a DORA hatálya alá tartozó területek többségét lefedik.
A rendelet létrehozza a digitális működési reziliencia szabályozási keretét, amelynek értelmében minden pénzügyi szervezetnek gondoskodnia kell arról, hogy az IKT-hez kapcsolódó zavarok és fenyegetések valamennyi típusának ellen tudjon állni, ezekre reagálni tudjon, és az okozott károkat helyre tudja állítani. A szabályozó hatóságok szerint ugyanis ha a nagy felhőszolgáltató cégek közül valamelyiknél fellép egy hiba, az számos pénzügyi cégnél potenciálisan leállíthatja a szolgáltatásokat.
A DORA-rendelet egységes követelményeket határoz meg a pénzügyi ágazatban működő vállalkozások és szervezetek (bankok, biztosítók, befektetési cégek, fintech vállalkozások) valamint az olyan kritikus jelentőségű harmadik felek hálózati és információs rendszereinek biztonságát illetően, amelyek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó szolgáltatásokat (például felhőplatformokat, adatelemzési szolgáltatásokat) nyújtanak a vállalkozások és szervezetek számára. Tehát ezzel új feladatokat oszt az olyan nagy IT nagy külföldi szolgáltatóknak is, mint az Amazon, a Microsoft vagy a Google. A rendelet azonban nem terjed ki a hardverbeszállítókra és az elektronikus hírközlési szolgáltatókra (telefon, internetszolgáltatók).