Mini-DORA: az egyszerűsített IKT-kockázatkezelési keretrendszer részletszabályai a pénzügyi szektorban

A pénzügyi ágazat digitális működési rezilienciájáról szóló 2022/2554(EU) rendelet („DORA Rendelet”) fokozott kiberbiztonsági fenyegetések kezelésére és digitális ellenállóképességük javítására készteti a pénzügyi szervezeteket és a kritikus IKT-szolgáltatókat. A szabályozás ugyanakkor nem minden szervezetre alkalmaz egyforma szabályokat, hanem az arányosság elvét követve lehetővé teszi, hogy bizonyos tevékenységet ellátó, illetve kisebb és kevésbé összetett szervezetek bizonyos esetekben egyszerűsített követelmények révén feleljenek meg a szabályozásnak. Ezt az ún. egyszerűsített IKT-kockázatkezelési keretrendszert („simplified ICT risk management framework”, „sRMF”), amely a DORA Rendelet gyakorlatban „mini-DORA”-nak keresztelt 16. cikke, és az annak alapján elfogadott, DORA Rendelet IKT-kockázatkezelési eszközöket, módszereket, folyamatokat és szabályzatokat, valamint az egyszerűsített IKT-kockázatkezelési keretrendszert meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről szóló 2024/1774(EU) felhatalmazáson alapuló bizottsági rendelet („RMF RTS”) határozza meg.

Az egyszerűsített IKT-kockázati keretrendszer alkalmazására jogosult szervezetek

A DORA Rendelet 16. cikk (1) bekezdése szerint a mini-DORA alkalmazására jogosult szervezetekre nem terjednek ki a DORA Rendelet 5-15. cikkében, 26. cikk (1) bekezdésben, illetve 28. cikk (2) bekezdésben foglalt kötelezettségek. A mentesített szervezetek az alábbiak:

A belső piaci pénzforgalmi szolgáltatásokról szóló (EU) 2015/2366 irányelv (PSD2 Irányelv) alapján mentesített kis méretű és össze nem kapcsolt befektetési vállalkozások, pénzforgalmi intézmények,
a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézmények,
a kis méretű foglalkoztatói nyugellátást szolgáltató intézmények, és
a Magyar Fejlesztési Bank és a Magyar Export-Import Bank.

Az egyszerűsített IKT-kockázati keretrendszer tartalma

A fenti szervezeteknek a teljes DORA-kötelezettségrendszer implementálása helyett magasabb szintű, általánosabb szabályoknak kell megfelelniük. Ezeket a szabályokat és egyszerűsített követelményeket a DORA Rendelet 16. cikke és az EU Bizottság által elfogadott RMF RTS tartalmazza.

I. A mini-DORA alapján fennálló kötelezettségek

Az érintett szervezetek a DORA Rendelet 16. cikke alapján a mini-DORA keretén belül kötelesek az alábbiakra:

IKT-kockázatkezelési keretrendszert kialakítása: megbízható és dokumentált IKT-kockázatkezelési keretrendszer létrehozása és fenntartása.
IKT-rendszerek biztonságának és működésének folyamatos nyomon követése: IKT-rendszerek biztonságának és működésük folyamatosságának monitorozása.
Az IKT-kockázatok hatásának minimalizálása: megbízható, reziliens (megfelelő ellenállóképességű) és naprakész IKT-rendszerek, protokollok és eszközök alkalmazása, amelyek alkalmasak a szervezetek a tevékenységének és szolgáltatások nyújtásának támogatására, valamint a hálózati és információs rendszerekben tárolt adatok rendelkezésre állásának, hitelességének, integritásának és bizalmasságának fenntartására.
IKT-kockázatok és rendellenességek azonnali azonosítása: az IKT-rendszerekben jelentkező kockázatok és rendellenességek forrásainak azonnali felderítése, valamint az IKT-vonatkozású események gyors kezelése.
Harmadik fél IKT-szolgáltatóktól való függőségek azonosítása: annak feltérképezése, hogy mely harmadik fél IKT-szolgáltatók nyújtanak a szervezet számára kritikus szolgáltatásokat, és ezekre a függőségekre megfelelő kockázatkezelési intézkedések kialakítása.
Kritikus vagy lényeges funkciók folytonosságának biztosítása: olyan üzletmenet-folytonossági tervek, valamint reagálási és helyreállítási intézkedések kidolgozása és végrehajtása, amelyek tartalmazzák legalább a biztonsági mentésre és helyreállításra vonatkozó intézkedéseket.
Üzletmenet-folytonossági tervek rendszeres tesztelése: az üzletmenet-folytonossági tervek és az azokhoz kapcsolódó intézkedések, valamint az IKT-kockázatkezelési keretrendszerhez kapcsolódó kontrollok hatékonyságának rendszeres tesztelés
Operatív következtetések integrálása az IKT-kockázatkezelési folyamatba: az IKT-kockázatkezelési folyamat kiegészítése a tesztekből és a biztonsági események utólagos elemzéséből származó releváns operatív következtetésekkel, valamint IKT-biztonsági tudatosságnövelő programok, és digitális működési reziliencia-képzéseket kidolgozni a személyzet és a vezetés számára az az IKT-kockázati profilnak megfelelően.

II. Az RMF RTS alapján fennálló kötelezettségek

Az RMF RTS 28-41. cikkei összesen 14 kategóriába rendezve fogalmaznak meg a DORA Rendelet 16. cikkét kiegészítő és konkretizáló további részletszabályokat, amelyeknek a mini-DORA alkalmazására jogosult pénzügyi szervezetek kötelesek megfelelni:

1. Irányítás és szervezet: a szervezetek kötelesek meghatározni a vezető testületek feladat- és hatáskörét (pl. szükséges szabályzatok megalkotása, IKT-eszközök és információs vagyonelemek osztályba sorolásának elfogadása, BC/DR tervek kidolgozása), és ezekre tekintettel szabályozni az IT-biztonságért való felelősségi köröket, valamint a megfelelő éves szintű költségvetést biztosítani. A szervezetek a kiszervezés szabályainak betartásával dönthetnek a DORA-megfelelés ellenőrzésének kiszervezése mellett is, és ezt belső ellenőrzés körében is elvégezhetik, amely esetben kockázatarányos gyakorisággal kötelesek nyomon követni az alkalmazott IT-biztonsági intézkedéseiket.
2. Információbiztonsági szabályzat alkotás: olyan IT-biztonsági szabályzat alkotása, amely magas szinten tartalmazza a védelmi intézkedéseket (bizalmasság, sértetlenség, rendelkezésre állás és hitelesség tekintetében), valamint kiterjed a kockázatcsökkentő intézkedésekre, beleértve a harmadik fél IKT-szolgáltatóik kockázatait, és az RMF RTS 30-31. cikkében foglaltakat (információs vagyonelemek és IKT-eszközök osztályozása és IKT-kockázatkezelés szabályai).
3. Információs vagyonelemek és IKT-eszközök osztályozása: dokumentált eljárás szerint, az üzleti funkciókat, feladat- és felelősségi köröket támogató információs vagyonelemek (pl. hálózati infrastruktúra, üzleti szoftverek) és IKT-eszközök (pl. fizikai adathordozók) azonosítása és osztályba sorolása, beleértve a kritikus vagy fontos funkciót támogató harmadik fél IKT-szolgáltatásokat is.
4. IKT-kockázatkezelés: ennek körében különösen a szervezetben a kockázati tolerancia küszöbök meghatározása, releváns kockázatok és azokra reflektáló kockázatcsökkentő intézkedések azonosítása, a biztonsági tesztelésből vagy incidensből származó kockázatok értékelése, ezek alapján incidenskezelési eljárás megindítása peremfeltételinek meghatározása, és folyamatos kockázati monitorozás tekintettel a lehetséges fenyegetésekre és esetleges sérülékenységekre.
5. Fizikai és környezeti biztonság: a szervezetre és adatközpontjaira kockázatarányos védelmi intézkedések bevezetése (pl. jogosulatlan hozzáféréssel, támadással, környezeti károkkal szemben), figyelemmel az alkalmazott IKT-eszközök által kiszolgált funkciók kritikussági szintjére.
6. Hozzáférési kontrollok: az IKT-rendszerekhez való hozzáférés, a hozzáféréssel rendelkező felhasználók elszámoltathatósága és privilegizált vagy technikai felhasználók indokolt esetben egyedi létrehozása „need-to-know”, „need-to-use” (azaz, „ha szükséges”) alapon.
7. Az IKT-üzemeltetés biztonsága: magában foglalja az informatikai rendszerek, folyamatok és infrastruktúrák védelmét a zavartalan működés érdekében, ideértve nem támogatott rendszerek kockázatainak kezelését, életciklus nyomon követést, megfelelő naplózást.
8. Adatok, rendszerek és hálózatok biztonsága: kifejezetten az adatok védelme használat és tárolás közben, általános adatbiztonsági intézkedések bevezetése, adatátvitel bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása.
9. IT-biztonsági tesztelés: a felmerült sérülékenységekre és fenyegetésekre kiterjedően.
10. IKT-rendszerek beszerzése, fejlesztése és karbantartása: eszközbeszerzés követelményeinek pontos meghatározása, és annak biztosítása, hogy kizárólag tesztelt és jóváhagyott változások kerüljenek az éles üzembe / első felhasználásra.
11. IKT-projekt és változáskezelés: megfelelő projektmenedzsment módszertan kidolgozása, amely képes lekezelni az IT-környezet változásait (pl. tesztelés, értékelés, jóváhagyás).
12. Az IKT-üzletmenet folytonossági tervek komponenseinek meghatározása: figyelembe véve az üzletmenetben okozott súlyos zavaroknak való kitettségükre és azok lehetséges hatására vonatkozó elemzés eredményeit, valamint azokat a forgatókönyveket, amelyeknek a kritikus vagy fontos funkciókat támogató IKT-eszközeik ki lehetnek téve.
13. Az előző pontban említett üzletmenet-folytonossági tervek tesztelése: legalább évente.
14. Az sRMF felülvizsgálata az RMF RTS 41.cikkében megadott tartalommal és formátumban.

A mini-DORA megfelelésre kötelezett pénzügyi entitásoknak tehát nem kell például TLPT-t (thread led penetration testing) végezniük, IKT beszállítókkal kapcsolatos kockázatokra vonatkozó stratégiát elfogadniuk, és a DORA rendelet több rendelkezése alól is felmentést vagy könnyítést kapnak. A harmadik fél IKT szolgáltatókkal kapcsolatos szabályok azonban rájuk is vonatkoznak, és ugyanúgy szerződniük kell az IKT beszállítóikkal a DORA rendeletnek megfelelő tartalommal.

A mini-DORA hatálya alá tartozó entitásoknak is ugyanúgy 2025. január 17. a megfelelési határidejük, ahogy a más DORA entitásoknak is.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Mini-DORA: az egyszerűsített IKT-kockázatkezelési keretrendszer részletszabályai a pénzügyi szektorban

Kapcsolódó tartalmak

Módosítási javaslatok a Mesterséges Intelligencia Felelősségi Irányelvhez – újra lendületben a jogalkotás?

Hogyan kerüljük el a mesterséges intelligencia működésével kapcsolatos megtévesztő állításokat? – Tanulságok egy egészségügyi szolgáltató ügyéből

A Német Szövetségi Bíróság tisztázza az AI feltalálói megnevezésének lehetőségét a szabadalmi jogban

A digitális jegybankpénz átalakítja a pénzügyi környezetet

Az EU Mesterséges Intelligenciával Foglalkozó Hivatala

Az uniós parlament megszavazta a pénzügyi adatokhoz való hozzáférés rendeletét módosító javaslatát

A Parlament új törvényt fogadott el a DORA rendelet hatálya alá tartozó pénzügyi szervezetek körének kiterjesztéséről

Az AI szabályozási iránya az USA-ban: Mi történt az elmúlt időszakban?

A JavaScript használatának adatvédelmi kérdései