Egységes szabályokat állapít meg a pénzügyi szervezetek, például bankok, biztosítótársaságok és befektetési vállalkozások hálózati és információs rendszereinek biztonságára vonatkozóan.

A rendelet az Európai Unió (EU) által szabályozott pénzügyi szervezetek széles körére vonatkozik, és megköveteli tőlük, hogy bírják el az információs és kommunikációs technológiákat (IKT) érintő zavarokat vagy fenyegetéseket, reagáljanak azokra, valamint álljanak helyre azokból.

FŐBB PONTOK

Hatály

A rendelet a következőkre terjed ki:

hitelintézetek, pénzforgalmi vagy elektronikuspénz-kibocsátó intézmények, foglalkoztatói nyugellátást szolgáltató intézmények;
számlainformációkat, kriptoeszközöket, adatszolgáltatást, közösségi finanszírozást és IKT-t kínáló szolgáltatók;
befektetési társaságok, alternatív befektetési alapok, alapkezelő társaságok, hitelminősítő intézetek és kritikus referenciamutatók kezelői;
kereskedési és értékpapírosítási adattárak, központi értéktárak, központi szerződő felek és kereskedési helyszínek;
biztosítók, biztosításközvetítők és viszontbiztosítás-közvetítők;

IKT-kockázatkezelés

A mikrovállalkozásnak nem minősülő pénzügyi szervezetek kötelesek:

olyan belső irányítási és kontrollintézkedéseket foganatosítani, amely biztosítja az IKT-kockázat eredményes és prudens kezelését;
gondoskodni arról, hogy vezető testületük meghatározza, jóváhagyja és felvigyázza a releváns intézkedéseket, és viseli a felelősséget azokért;
megbízható, átfogó és jól dokumentált IKT-kockázatkezelési keretrendszerrel rendelkezni, amely magában foglalja azon stratégiákat, szabályzatokat, eljárásokat, protokollokat és eszközöket, amelyek a gyors és eredményes reakcióhoz szükségesek;
olyan naprakész IKT-rendszereket, -protokollokat és -eszközöket alkalmazni és fenntartani, amelyek megfelelőek, megbízhatóak, technológiai szempontból reziliensek és elegendő kapacitással rendelkeznek;
azonosítani, osztályozni és megfelelően dokumentálni valamennyi, az IKT-ra támaszkodó üzleti funkciót, feladat- és felelősségi kört, valamint felülvizsgálni a kockázati forgatókönyveket;
az IKT-rendszerek és -eszközök biztonságát és működését folyamatos nyomon követni az IKT-kockázatok hatásának minimalizálása érdekében;
azonnal észlelni a rendellenes tevékenységeket és azonosítani a potenciális meghibásodási pontokat;
átfogó IKT-üzletmenetfolytonossági politikát bevezetni, amely magában foglalja a megfelelő terveket, eljárásokat és mechanizmusokat;
biztonsági mentési szabályzatokat, valamint visszaállítási és helyreállítási eljárásokat kidolgozni és dokumentálni;
rendelkezni forrásokkal és személyzettel ahhoz, hogy értékeljék a sérülékenységeket és kiberfenyegetéseket, valamint az IKT-vonatkozású eseményeket – különösen a kibertámadásokat –, és elemezzék azok valószínű hatását a szervezet digitális működési rezilienciájára;
válsághelyzeti kommunikációs tervet kidolgozni, amely legalább a jelentős IKT-vonatkozású események és sérülékenységek kapcsán lehetővé teszi az ügyfelek, partnerek és a nyilvánosság tájékoztatását.

Az IKT-vonatkozású események kezelése, osztályozása és bejelentése

A pénzügyi szervezeteknek:

meg kell határozniuk, ki kell alakítaniuk és végre kell hajtaniuk az IKT-vonatkozású események észlelésére, kezelésére és bejelentésére szolgáló intézkedéseket;
az eseményeket osztályozniuk kell és azok hatásait meg kell határozniuk olyan kritériumok alapján, mint az érintett ügyfelek és felek száma, az időtartam, a földrajzi kiterjedés és az adatveszteség;
a jelentős IKT-vonatkozású eseményeket be kell jelenteniük a kijelölt illetékes hatóságnak, amely azokat magasabb szintre, például az Európai Központi Bank vagy az Európai Bankhatóság részére továbbítja;

A digitális működési reziliencia tesztelése

A mikrovállalkozásnak nem minősülő pénzügyi szervezetek kötelesek:

a szükséges értékeléseket, teszteket, módszereket, gyakorlatokat és eszközöket magában foglaló, megbízható és átfogó digitális működési tesztelési programot létrehozni, fenntartani és felülvizsgálni;
legalább háromévente a kockázati profiljuk alapján és az üzemeltetési körülmények figyelembevételével fenyegetésalapú behatolási tesztelést végezni, és ennek során csak olyan, tanúsítással rendelkező tesztelőket alkalmazni, akik rendelkeznek a szükséges szakértelemmel és alkalmassággal, valamint szakmai felelősségbiztosítással.

A harmadik féltől eredő IKT-kockázat kezelése

A pénzügyi szervezeteknek:

a harmadik féltől eredő IKT-kockázatot saját átfogó IKT-kockázatuk integráns összetevőjeként kell kezelniük;
az IKT-szolgáltatásokra vonatkozó szerződéses megállapodásokkal kell rendelkezniük, hogy üzleti tevékenységüket a vonatkozó jogszabályoknak teljes mértékben megfelelve végezhessék;
figyelembe kell venniük az IKT-vonatkozású függőségek jellegét, nagyságrendjét, összetettségét és fontosságát;
a lehetséges kockázatok azonosítása és értékelése során mérlegelniük kell az alternatív megoldások előnyeit és költségeit;
a szerződésbe bele kell foglalniuk a felek jogait és kötelezettségeit, valamint a szolgáltatási megállapodást.

A kritikus harmadik fél IKT-szolgáltatókra vonatkozó felvigyázási keretrendszer

A keretrendszer:

az európai felügyeleti hatóságokat (EFH) megbízza a következőkkel:
- egyértelmű kritériumok alapján jelöljék ki a pénzügyi szervezetek szempontjából kritikus harmadik fél IKT-szolgáltatókat,
- a kritikus harmadik fél IKT-szolgáltatók mindegyikére vonatkozóan nevezzék ki az EFH-t vezető felvigyázóként;
felvigyázási fórumot hoz létre, amely:
- megvitatja az IKT-kockázattal és -sérülékenységgel kapcsolatos releváns fejleményeket, és következetes uniós nyomonkövetési megközelítést szorgalmaz,
- évente értékeli a felügyeleti tevékenységeket, előmozdítja a digitális működési ellenálló képesség növelését célzó lépéseket és támogatja a bevált gyakorlatokat,
- a kritikus harmadik fél IKT-szolgáltatókra vonatkozó átfogó referenciamutatókat terjeszt elő;
megbízza a a vezető felvigyázót azzal, hogy:
- elsődleges kapcsolattartóként álljon a kritikus harmadik fél IKT-szolgáltatók rendelkezésére,
- értékelje, hogy a kritikus szolgáltatók mindegyike rendelkezik-e átfogó, megbízható és hatékony szabályokkal, eljárásokkal, mechanizmusokkal és intézkedésekkel,
- bekérjen minden releváns információt és dokumentumot, vizsgálatokat és ellenőrzéseket tartson (ideértve a nem uniós országokat is), határozzon meg korrekciós intézkedéseket és adjon ki ajánlásokat;
felhatalmazza az Európai Bankhatóságot, az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóságot és az Európai Értékpapír-piaci Hatóságot arra, hogy együttműködjön nem uniós szabályozó és felügyeleti hatóságokkal a harmadik fél IKT-szolgáltatók kapcsán felmerülő kockázatok vonatkozásában;
kötelezi az EFH-kat arra, hogy ötévenként bizalmas jelentést nyújtsanak be az Európai Parlamentnek, az Európai Unió Tanácsának és az Európai Bizottságnak, amelyben összefoglalják a nem uniós hatóságokkal folytatott egyeztetések megállapításait.

Információmegosztásra vonatkozó megállapodások

A pénzügyi szervezetek kiberfenyegetésekkel kapcsolatban információkat oszthatnak meg egymással, amennyiben az:

arra irányul, hogy a pénzügyi szervezetek javíthassák digitális működési rezilienciájukat;
pénzügyi szervezetek megbízható közösségein belül történik;
védi az üzleti titkokat és a személyes adatokat, és tiszteletben tartja a versenypolitikai szabályokat.

Szankciók és korrekciós intézkedések

Az illetékes hatóságok:

rendelkeznek minden olyan felügyeleti, vizsgálati és szankcionálási hatáskörrel, amely feladataik ellátásához szükséges;
kiszabják és a honlapjukon közzéteszik a nemzeti jog által előírt közigazgatási szankciókat és korrekciós intézkedéseket.

Az EFH-k szabályozástechnikai standardtervezeteket dolgoznak ki az IKT- kockázatkezelési eszközökre, az IKT-val kapcsolatos incidensek osztályozására és bejelentésére, valamint a felügyeleti tevékenységek végzésére vonatkozóan.

A Bizottság:

hatáskörrel rendelkezik felhatalmazáson alapuló jogi aktusok elfogadására;
2028. január 17-ig – az EFH-kkal és az Európai Rendszerkockázati Testülettel folytatott konzultációt követően – felülvizsgálatot végez, és jelentést nyújt be arról a Parlamentnek és a Tanácsnak.

A rendelet módosítja az 1060/2009/EK, a 648/2012/EU, a 909/2014/EU, a 600/2014/EU és az 2016/1011/EU rendeletet.

MIKORTÓL ALKALMAZANDÓ A RENDELET?

A rendelet 2025. január 17. óta hatályos.

HÁTTÉR

A 2008-as pénzügyi válságot követően végrehajtott reformok elsősorban az ágazat pénzügyi stabilitását erősítették. Ezek az IKT-kockázatokat csak közvetve kezelték néhány területen, és továbbra is kihívást jelentenek az EU pénzügyi rendszerének működési rezilienciája, teljesítménye és stabilitása szempontjából.

A DORA néven ismert rendelet egy nagyobb digitális pénzügyi csomag része, amelynek célja a technológiai fejlődés előmozdítása, valamint a pénzügyi stabilitás és a fogyasztóvédelem biztosítása. Kiterjed a digitális pénzügyi stratégiára, a kriptoeszközök piacaira és a megosztott könyvelési technológiára.

További információk:

Digitális pénzügyi csomag (Európai Bizottság)

FŐ DOKUMENTUM

Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333., 2022.12.27., 1–79. o.)

KAPCSOLÓDÓ DOKUMENTUMOK

A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának az európai egyetemi stratégiáról (COM(2020)591 final, 2020.9.24.).

Az Európai Parlament és a Tanács (EU) 2016/1011 rendelete (2016. június 8.) a pénzügyi eszközökben és pénzügyi ügyletekben referenciamutatóként vagy a befektetési alapok teljesítményének méréséhez felhasznált indexekről, valamint a 2008/48/EK és a 2014/17/EU irányelv, továbbá az 596/2014/EU rendelet módosításáról (HL L 171., 2016.6.29., 1–65. o.)

Az (EU) 2016/1011 rendelet későbbi módosításait belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

Az Európai Parlament és a Tanács 909/2014/EU rendelete (2014. július 23.) az Európai Unión belüli értékpapír-kiegyenlítés javításáról és a központi értéktárakról, valamint 98/26/EK és a 2014/65/EU irányelv, valamint a 236/2012/EU rendelet módosításáról (HL L 257., 2014.8.28., 1–72. o.).

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 600/2014/EU rendelete (2014. május 15.) a pénzügyi eszközök piacairól és a 648/2012/EU rendelet módosításáról (HL L 173., 2014.6.12., 84–148. o.).

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 648/2012/EU rendelete (2012. július 4.) a tőzsdén kívüli származtatott ügyletekről, a központi szerződő felekről és a kereskedési adattárakról (HL L 201., 2012.7.27., 1–59. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 1060/2009/EK rendelete (2009. szeptember 16.) a hitelminősítő intézetekről (HL L 302., 2009.11.17., 1–31. o.)

Lásd az egységes szerkezetbe foglalt változatot.

utolsó frissítés 10.01.2024

Top