A szaporodó kibertámadások ellen információs és kommunikációs technológiai követelményeket fogalmazott meg az EU a pénzintézetek és a velük kapcsolatban álló szervezetek számára. A cél a digitális ellenállóképesség egységes fejlesztése és a működési kockázat csökkentése.
A felhasználói igények alaposan megváltoztak az elmúlt évek során, a trend pedig a piac minden szereplője számára egyértelmű: a bankfiókok és a személyes ügyintézés csökkenő jelentőségével szemben rohamosan nő az internetes pénzmogások száma. A legnagyobb pénzügyi szervezetek legkisebb ügyfelei is már inkább online, mobiltelefonjuk segítségével intézik banki ügyeiket ahelyett, hogy személyesen fáradjanak be a közeli bankfiókba. Ez a növekvő, akár országhatárokat is átívelő digitális pénzmozgás mindeddig nem látott kihívásokat jelentett a pénzintézetek számára, akiknek online szolgáltatásaik teljes kiépítésével és 0-24 történő biztosításával kellett válaszolni ügyfeleik igényeire. A pénzintézetek által üzemeltetett vagy külsős partnereik által szolgáltatott digitális rendszerek szövevényes hálózata elsődleges kiberbiztonsági kérdés lett, azok információbiztonsága és működési stabilitása ugyanis legalább annyira társadalmi, mint gazdasági érdekünk.
A DORA vagyis a Digitális Működési Ellenálló Képességről szóló rendelet (Digital Operational Resilience Act) egy kulcsfontosságú lépés a pénzügyi szektor kibervédelmének biztosítása felé.
A DORA rendelet célja, hogy a digitális ellenállóképesség növelésével felkészítse az EU pénzügyi szervezeteit az adathalász kísérletek és kibertámadások ellen. A DORA kockázatkezelési előírásain keresztül egy egységes és megerősített digitális biztonsági keretrendszert kíván biztosítani, melynek fő célja, hogy a pénzügyi szervezetek ellenállóbbá váljanak az egyre szaporább számban érkező kiberfenyegetésekkel szemben. Magában foglalja a kiberbiztonsági kockázatok kezelését, az üzletmenet-folytonosság biztosítását, és az operációs ellenállóképesség növelését.
A DORA információbiztonsági előírások és követelmények nemcsak a legnagyobb pénzügyi szervezetekre vonatkoznak, hanem széles körben érintik a pénzügyi szektor többi szereplőjét is. Ide tartoznak a bankokon és hitelintézeteken túl a biztosító társaságok, a pénzügyi tranzakciók végrehajtását támogató tőzsdék és fizetési rendszerek, továbbá azok a külsősnek, harmadik félnek is mondható, digitális felhőszolgáltatást nyújtó cégek is, akik kulcsfontosságú online infrastruktúrát biztosítanak a pénzügyi szektor vállalatai számára.
Bár a DORA rendelet elsődleges célja, hogy a pénzintézetek ellenállóképességét erősítse, ahhoz, hogy ez megvalósulhasson, egy átfogó keretrendszert kell hogy biztosítson a pénzügyi intézményekhez kapcsolódó digitális szolgáltatók számára is. A pénzintézetek és beszállítóik így közösen kell, hogy megfeleljenek a szabályozókban foglaltaknak, ezzel jelentősen kiszélesítve azok körét, akikre az előírások vonatkoznak.
Egyelőre az alábbi 5 fő követelménycsoportot nevezi meg a DORA olyan területekként, amelyek fejlesztése elengedhetetlen ahhoz, hogy ne csak online és okosan, de a jövőben is biztonságosan kezelhessük pénzügyeinket:
A DORA rendelet előírja, hogy a pénzügyi intézményeknek rendelkezniük kell egy integrált információs és kommunikációs technológiai (IKT) kockázatkezelési keretrendszerrel, amely magában foglalja:
A pénzügyi intézményeknek ki kell alakítani eljárásokat a kiberbiztonsági incidensek azonosítására, jelentésére és kezelésére, beleértve:
A DORA követelményei szerint a pénzügyi intézményeknek rendszeresen végezniük kell teszteket, kiberbiztonsági szimulációkat, hogy értékeljék digitális rendszereik és folyamataik állapotát.
A pénzügyi intézmények kötelesek megbizonyosodni arról, hogy külsős partnereik, különösen a kritikus szolgáltatásokat nyújtók, mint például a felhőszolgáltatók, szintén megfelelnek a DORA szabályoknak:
Hazánkban a Magyar Nemzeti Bank (MNB) mint felügyeleti Hatóság alá tartozik a DORA szabályozási elemeknek való megfelelés ellenőrzése. A pénzügyi szervezeteknek a 2024-es év áll rendelkezésre ahhoz, hogy maradéktalanul megfeleljenek a DORA elvárásainak. A Kürt Zrt. a megbízó partnereit a saját fejlesztésű SeCube GRC szoftverének segítségével képes támogatni az előírásokban foglaltak betartásában.
A Kürt Zrt. által fejlesztett SeCube GRC kockázatmenedzsment keretrendszer szoftver célja hogy megkönnyítse és átláthatóvá tegye a DORA-hoz hasonló kockázatkezelési követelmények kezelését és riportálását. A szoftver egy egységes keretrendszerben kínál megoldást a biztonságirányítási, kockázatkezelési, megfelelőségi, auditálási és üzletmenet-folytonossági folyamatok moduláris integrálására. A SeCube GRC célja, hogy összehangolt támogatást nyújtson a vállalat különböző területeit érintő biztonsági elemzési, tervezési és karbantartási tevékenységeihez, ezáltal elősegítve a vállalati IT biztonság átlátható és dokumentálható kezelését.
Ennek eredményeképpen, a Kürt Zrt. képes lehetővé tenni a szervezetek számára, hogy hatékonyan és egységesen kezeljék a DORA keretében előírt tevékenységeket, többek között:
