Január 17-dikén hatályba lép az Európai Unió által megalkotott DORA rendelet, mely egységesíti és korszerűsíti a digitális tér használatával járó kockázatok elleni hatékony védelemmel kapcsolatos követelményeket. Az új jogszabály a pénzügyi szektor szereplőit, így a bankokat és biztosítókat fogja kötelezni arra vonatkozóan, hogy megfelelően észleljék a fellépő kiberfenyegetéseket, rendelkezzenek megfelelő helyreállítási tervvel, illetve adott esetben a megfelelő fórumokon megtegyék a szükséges bejelentéseket. Az uniós jogszabály közvetlenül lesz alkalmazandó a magyar jogban. – Cikkünkben Veress Dominika, az act legal Hungary szakértője részletezi a rendelettel kapcsolatos legfontosabb tudnivalókat!
A DORA rendelet célja, hogy a pénzügyi szervezetek hatékonyabban lépjenek fel a digitális térben fenyegető veszélyekkel szemben, megfelelő mechanizmusokat kialakítva a védelemre, illetőleg megfelelő követelményrendszert felállítva a részükre digitális – és adatszolgáltatást, valamint hardverszolgáltatást nyújtókkal – vagyis az IKT-szolgáltatókkal szemben. Utóbbi fontosságát indokolja, hogy az IKT-szolgáltatók meghatározó szerepet játszanak a pénzügyi szervezetek mindennapi működésében, így az IKT-szolgáltatónál fennálló digitális fenyegetés komolyan kihathat a pénzügyi szervezet működésére.
A DORA meghatározza azon garanciákat, melyeket bele kell foglalni a pénzügyi szervezet és az IKT-szolgáltató közötti szerződésbe.
A rendelet az alapján, hogy a szolgáltatlás megszűnése milyen mértékű fennakadást vagy zavart okozna a pénzügyi szervezet működésében, különbséget tesz kritikus vagy fontos funkciót támogató IKT-szolgáltatók között.
A rendelet hatályba lépését követően az IKT-szolgáltatóknak számítaniuk kell tehát arra, hogy a pénzügyi szervezetek ellenőrzni fogják a már megkötött szerződések DORA rendeletnek való megfelelőéségét, és hiányosság észlelése esetén kezdeményezni fogják a szerződésmódosítást.
Gyakorlati tapasztalatok
“A gyakorlatban azt látjuk, hogy a pénzügyi szervezetek sokszor kérnek csak kritikus vagy fontos funkciót támogató IKT-szolgáltatónál kötelező kritériumokat olyan szolgáltatóknál is, akiknél az a DORA alapján nem lenne kötelező. Így például, hogy az IKT-szolgáltató rendelkezzen a rendszerében fellépő digitális veszély kiküszöbölésére alkalmas belső mechanizmussal” – emeli ki ki Veress Dominika, a Dr. Bán Gergely Ügyvédi Iroda szakértője. “Érdemes tehát minden IKT-szolgáltatónak felkészülni a megfelelő protokollal, illetve tervvel.”
“Van olyan pénzügyi szervezet, amely az IKT-szolgáltató ellenőrzését, monitorozását is ki kívánja kötni a szerződésben attól függetlenül, hogy az támogat-e kritikus vagy fontos funkciót, pedig a DORA rendelet ezt kifejezetten csak kritikus vagy fontos funkciót támogató szolgáltatók esetében írja elő” – folytatja a szakértő. “Ez azért kockázatos kikötés, mivel ennek eredményeként a pénzügyi szervezet korlátlanul betekinthet az IKT-szolgáltató belső dokumentumaiba, és azokról másolatot is készíthet, akár az IKT-szolgáltató székhelyén is” – hívja fel a figyelmet Veress Dominika,
A DORA rendelet alapján meg kell határozni a szolgáltatás alvállalkozásba adásával kapcsolatos feltételeket. “Ennek kapcsán merülhetnek fel érdekellentétek a felek között, ha a pénzügyi szervezet előzetes jóváhagyáshoz kívánja kötni az alvállalkozásba adást, az alvállalkozói szerződés tartalmát (ami üzleti titkot is tartalmazhat) meg akarja ismerni, vagy megszabja a további alvállalkozásba adás feltételeit” – mondja Veress Dominika.
“A pénzügyi szervezetek általában kikötik, hogy a DORA függeléket kell elsősorban alkalmazni a felek jogviszonyában, ami azt eredményezi, hogy a DORA függelék felülírhatja az IKT-szolgáltató ÁSZF-ét is. Erra is kell számítania az IKT-szolgáltatóknak” – emeli ki a szakértő.
A rendelet szerint abban is meg kell állapodni, hogy, ha digitális rendellenesség esetén az IKT-szolgáltató a pénzügyi szervezetnek ingyen vagy díj felszámításával nyújt segítséget. “A pénzügyi szervezetek általában azt írják elő, hogy ingyen történjen a segítségnyújtás. Ezen felül arra kell figyelni, hogy a pénzügyi szervezetek szűk határidőt, így 24 órás, vagy akár 2 órás határidőt is ki szoktak a kötni az ezzel kapcsolatos bejelentés megtételére” – hívja fel a figyelmet Veress Dominika.
“Összességében javasolt tehát az IKT-szolgáltatónak tisztában lennie a a DORA rendelet által meghatározott kötelező tartalmi elemekkel, hogy felismerje, mely tartalmi elemeket kell kötelezően elfogadnia, és melyek azok a rendelkezések, amelyeket a pénzügyi szervezet többletkövetelményként fogalmaz meg. A gyakorlatban azt látjuk, hogy bár a pénzügyi szervezetek általában nem engednek eltérést az általuk megküldött verzióhoz képest, azonban bizonyos szerződéses rendelkezések esetében, főleg azoknál, ahol a rendelkezés kikényszeríthetőség kétséges, megfelelően felállított érvrendszer segítségével kiküszöbölhető a pénzügyi szervezet által előírni kívánt többletkövetelmény” – hangsúlyozza az act legal Hungary szakértője.
