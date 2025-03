A hazai pénzintézeti jogalkalmazók számára az MNB vonatkozó ajánlásai jelölik ki a betartandó követelményeket az információbiztonság területén is, ezért az MNB az ajánlásait a DORA-hoz igazítja. Ennek során az várható, hogy az MNB nem lazít a korábbi szabályokon, csak összehangolja az eddigi elvárásait az új DORA szabályozással – ahogy ezt láthatjuk az év elején megújult két ajánlás esetében is.

A Magyar Nemzeti Bank információ biztonsági felügyelete eddig is szigorú eljárással tartatta be a vonatkozó MNB ajánlásokat a felügyelt intézményekkel (bankok, biztosítók, befektetési szolgáltatók, alapkezelők stb.). Számukra a DORA megjelenése nem hozott drámai változást, ezért most inkább azzal foglalkozunk, hogy mit jelent a „Kritikus IKT szolgáltatók” kifejezés, akikre rajtuk kívül kiterjed a rendelet hatálya, és őket milyen kötelezettségek terhelik. Ők gyakran alapos hátrányból indulnak és komoly lemaradást kell behozniuk. Számukra kihívást jelent felvenni a lépést és szintet lépni az információs rendszerek biztonsága terén.

Már maga a „Kritikus IKT szolgáltatók” fogalom is újdonság, és a jogalkotó radikálisan kiterjeszti a védelmi feladatokat arra a szállítói körre, amelyik kiszolgálja a pénzintézetek informatikai infrastruktúráját. Fájdalmas tapasztalatok világítottak rá, hogy a pénzügyi rendszerek stabilitásában ez az szféra is komoly kockázatoknak van kitéve.

A kritikus IKT szolgáltatókra vonatkozó szabályozás szerint a hatóság azonosítani fogja a közös szállítónál koncentrálódó kockázatokat is, amelyet csak egy egységes azonosító (az ún. Legal Entity Identifier) használatával tud megoldani.

Praktikusan, a szállítót minden megbízó pénzügyi intézmény egységesen csak a LEI-vel azonosíthat, vagyis, amelyik szállítóknak eddig nem volt LEI kódja, azoknak most ezt a regisztrációt is végre kell hajtani. Az ilyen kockázat koncentráció észlelés nemzetközi vállalatcsoportok számára is érték, sőt, feladat is egyben, mert a csoporton belüli szolgáltatót is harmadik félnek tekinti a jogszabály.

Részletes szabályozottsága miatt figyelmet érdemel az IKT kockázatok kezeléséről kiadott sztenderd, amely részletesen tartalmazza, hogy az egyes kontroll részterületekről milyen szintű belső szabályzatokkal kell rendelkezniük a pénzügyi szervezeteknek. A könnyebb áttekinthetőség kedvéért alábbi táblázatunkban kigyűjtöttük mind a 20 témakört olyan sorrendben, ahogy a jogszabály a tartalmi elvárásokat is tárgyalja.

A DORA-ban előírt vállalati szabályzatok Kép: Economx

Másik alaposan szabályozott témakör az incidens kezelés. Az események osztályozása meglehetősen bonyolult, de az alábbi diagram segít megérteni, melyik eseteket kell „jelentősnek” tekinteni és a hatóságnak bejelenteni.

Incidens osztályozás a DORA szerint Kép: Economx

Az események bejelentésére adott határidők meglehetősen szigorúak, a három előírt jelentés típusra vonatkozó határidőket a grafikonunk szemlélteti.

Jelentős IKT-vonatkozású eseményekre vonatkozó bejelentési határidők Kép: Economx

Fontos újítás a tesztelési elvárások szabályozása. Az IKT-rendszerek tesztelésére megbízható és átfogó, kockázat-alapú programot kell készítenie a szervezeteknek a mikrovállalkozások kivételével. Ezeket a teszteket független belső vagy külső félnek kell végrehajtania legalább évente, minden kritikus vagy fontos funkciót kiszolgáló IKT rendszeren. Csupán ennek a megvalósítása már kihívás lehet nagy szervezetek esetén, mind erőforrás, mind munkaszervezés szempontjából. Ráadásul ezen felül a kisebb szolgáltatók kivételével kötelező legalább 3 évente fejlett tesztelést végezni (Threat-led Penetration Testing vagy röviden TLPT) a kritikus vagy fontos funkciókat támogató éles rendszereken, kiterjesztve azt a harmadik feles IKT szolgáltatókra is, ha szükséges. Ehhez a harmadik feles IKT-szolgáltató együttműködését a szolgáltatónak kell biztosítania, tipikusan ezt szerződéses kötelezettségévé téve. A kötelezettség végrehajtásakor egy a témának szentelt külön rendelettel is meg kell ismerkednie a szervezeteknek is és a tesztelési szolgáltatást nyújtóknak is.

Feltételezhető, hogy a megfelelést nagyon szorosan monitorozni tervezi a felügyeleti hatóság, így erre is kellő gondossággal érdemes készülni.

A Magyar Nemzeti Bank IKT kockázatok kezelésére vonatkozó elvárásai elég szigorúak, ezért aki eddig is eleget tudott tenni ezen elvárásoknak, azon vélhetően a DORA szabályozás-csomag sem fog ki. Akinek azonban lemaradásai voltak már a DORA hatálybalépése előtt is, attól valószínűleg komoly munkát és erőforrást fog igényelni a megfelelés biztosítsa, és ezen belül a szerződés áttekintése, nyilvántartásba vétele és újrakötése. Ráadásul a DORA hatálybalépése időben egybeesik több más szakterületi szabályozás érvénybe lépésével, gondoljunk csak a kiberbiztonsági törvény és végrehajtási rendeletének megjelenésére. Ez a szabályozás cunami fokozott terhet ró a szakmában dolgozókra, akár alkalmazói, akár ellenőrzői az új szabályoknak, ezért növekvő szakemberhiányra lehet számítani, ami tovább drágíthatja a megfelelés költségeit.

(A cikk szerzője Gerencsér Miklós a KPMG vezető tanácsadója, valamint Glózer-Say Viktória, a KPMG menedzsere)