A 2025. január 17-től alkalmazandó DORA (Digital Operational Resilience Act) az Európai Unió digitális pénzügyi szabályozási keretrendszer része, amely 2022 decemberében lépett hatályba. Az alábbi cikkben azt gyűjtöttük össze, hogy a Digitális Működési Ellenálló Képességről Szóló Törvény hogyan érinti a hazai független biztosításközvetítőket.

 DORA célja, hogy biztosítsa a pénzügyi szektor ellenállóképességét a digitális fenyegetésekkel és kockázatokkal szemben. A rendelet a pénzügyi szektor széles körére vonatkozik: pénzügyi intézményekre, pénzügyi közvetítőkre és tanácsadókra – köztük a nem mikro-, illetve kis- vagy középvállalkozásnak minősülő független biztosításközvetítő alkuszokra és többes ügynökökre –, pénzügyi technológiai (FinTech) szolgáltatókra, pénzügyi intézményeknek szolgáltatást nyújtó külső információs és kommunikációs technológiai, vagyis IKT-szolgáltatókra, kibocsátókra és befektetési alapkezelőkre.

 

Miért fontos a DORA?

A DORA kötelezővé teszi a szervezetek számára – egyébként saját érdekükben is kulcsfontosságú – digitális kockázatok azonosítását, értékelését és kezelését; a rendszeres ellenállóképességi tesztek végrehajtását (pl.: stressztesztek); a kiberincidensek jelentését az illetékes hatóságoknak; valamint az üzletmenet-folytonossági és helyreállítási tervek fenntartását. A rendelet lehetőséget ad arra, hogy a DORA által érintett intézmények kiszervezzék az incidens és fenyegetés bejelentési kötelezettségüket egy külső szolgáltatónak.

Az illetékes hatóságok felügyelik és ellenőrzik a DORA előírásainak betartását. Az MNB feladatai elsősorban a szabályozás végrehajtásának felügyeletére, a pénzügyi piacok digitális ellenállóképességének biztosítására, valamint a jogszabályi előírások betartatására összpontosulnak. Az MNB január 15-i közleményében jelezte, hogy technikai jellegű (tehát nem tartalmi) módosításokat hajtott végre az informatikai rendszer védelméről, illetve a
felhőszolgáltatásokról szóló informatikai ajánlásain. A DORA miatt megszűnő korábbi hazai
jogszabályi utalások kikerültek az ajánlásokból, ugyanakkor bekerült azokba a DORA-rendelet alkalmazásának elsőbbségére vonatkozó hivatkozás. A részletszabályok ismeretében majd tartalmi módosítások is várhatóak.

Az Ernst & Young kibervédelmi üzletágának vezetője szerint a hatóságok részéről folyamatos felügyelet, szigorú ellenőrzések, sőt akár véletlenszerű, szimulált kibertámadások is várhatók. Következményként pedig korrekciós intézkedések meghozatala, a rossz gyakorlatok megszüntetése, a további jogsértés megakadályozása, de akár az adatforgalmi nyilvántartások bekérése, vagy jelentős összegű pénzügyi bírság is elképzelhető.

 

Milyen teendői vannak az alkuszoknak és többes ügynököknek?

Egy biztosítási alkusz vagy többes ügynök vállalkozás számára a DORA kapcsán az alábbi lépések elvégzése szükséges a megfelelőség érdekében:

1. Digitális kockázatkezelési keretrendszer kiépítése
Digitális kockázatkezelési szabályzat létrehozása:

dokumentálni szükséges az informatikai rendszerek és digitális szolgáltatások védelmére vonatkozó szabályokat és eljárásokat.
Kockázatelemzés: azonosítani kell a digitális fenyegetéseket (pl. kibertámadások, adatvesztés) és értékelni azok hatásait az üzleti működésre.
Kockázatkezelési folyamatok kialakítása: rendszeresen értékelni kell a kockázatokat, és intézkedési terveket készíteni a megelőzésükre és kezelésükre.

2. IT rendszerek és digitális infrastruktúra védelme

Biztonsági ellenőrzések: ellenőrizni kell, hogy az IT rendszerek megfelelnek-e a DORA által megkövetelt biztonsági szinteknek.
Adatvédelem: meg kell erősíteni az ügyféladatok védelmét szolgáló technikai és szervezeti intézkedéseket.
Hozzáférés-kezelés: biztosítani kell, hogy csak a megfelelő jogosultsággal rendelkező személyek férjenek hozzá az IT rendszerekhez.

3. Üzletmenet-folytonossági és helyreállítási tervek kidolgozása

Üzletmenet-folytonossági terv (BCP): részletes tervet kell készíteni arra az esetre, ha egy digitális támadás vagy üzemzavar bekövetkezik.
Helyreállítási terv: Meg kell határozni a helyreállítási eljárásokat, hogy egy incidens után az üzleti tevékenység minél gyorsabban folytatható legyen.

4. Kibertámadások és incidensek kezelése

Incidenskezelési eljárás: ki kell alakítani a digitális incidensek észlelésének, kezelésének és jelentésének folyamatát.
Hatósági jelentési kötelezettség: kibertámadások esetén értesíteni kell a felügyeleti hatóságot. Az MNB a DORA rendelet szerinti esemény és fenyegetés bejelentéséhez az ERA rendszeren belül egy új, tanúsítvány alapú adatszolgáltató felületet hozott létre, melynek neve: „DORA Incidens bejelentés”. Az új ERA szolgáltatásra a regisztráció 2025. január 2-től érhető el.

5. Rendszeres ellenállóképességi tesztek végrehajtása

IKT-stressztesztek: évente legalább egyszer tesztelni kell az IT rendszerek ellenállóképességét (pl. sérülékenységi vizsgálatok).
Teszteredmények dokumentálása: az eredményeket meg kell osztani a vezetőséggel, és szükség esetén korrekciós intézkedéseket kell tenni.

6. Külső IKT-szolgáltatók kezelése

Szerződéses megfelelőség: a külső szolgáltatókkal kötött szerződéseknek tartalmazniuk kell a DORA által előírt követelményeket, különös tekintettel az IT-biztonságra és adatvédelemre.
Szolgáltatók auditálása: rendszeresen ellenőrizni kell a szolgáltatók teljesítményét és megfelelőségét.

7. Oktatás és tudatosság növelése

Munkavállalók képzése: a munkatársakat rendszeresen oktatni kell a digitális kockázatokról, és tudatosítani kell bennük a DORA követelményeit.
Vezetőség bevonása: a cég vezetésének támogatnia kell a DORA megfelelőséghez szükséges kezdeményezéseket és erőforrásokat.

8. DORA megfelelési program kialakítása

Felelős kijelölése: ki kell jelölni egy vagy több felelőst a DORA-megfelelés felügyeletére.
Kapcsolattartás az MNB-vel: biztosítani kell a megfelelő kommunikációt a felügyeleti hatósággal a DORA-val kapcsolatos kérdésekben.

Jótanács

A DORÁ-val kapcsolatos teendők elvégzése kapcsán mindenképp érdemes külső szakértőkkel konzultálni, legyen az például IT szolgáltató, kiberbiztonsági szakértő, jogi tanácsadó –, hogy a megfelelőségi folyamat zökkenőmentes legyen. A Solidium ezen a területen is segíti tagjait. Keress bennünket!

További hasznos információkért iratkozz fel hírlevelünkre >>