Az európai felügyeleti hatóságok közzétették a DORA rendelet első csomagjába tartozó, az IKT- és harmadik fél kockázatkezelésre és az incidensek osztályozására vonatkozó részletszabályokat

2024. január 17.

A három európai felügyeleti hatóság (az EBA, az EIOPA és az ESMA - az európai felügyeleti hatóságok) közzétette a digitális működési ellenálló képességről szóló rendelet (Digital Operational Resilience Act, DORA) szerinti végleges technikai standardtervezetek első csoportját. Ezeknek célja az Európai Unió pénzügyi szektorán belüli digitális ellenállóképesség növelése a pénzügyi szervezetek információs és kommunikációs technológiai (Information and Communication Technology, IKT) és harmadik fél kockázatkezelési és eseményjelentési kereteinek megerősítése révén.

A közös végleges technikai standardokat a következőket tartalmazzák:

• szabályozástechnikai standardok (Regulatory Technical Standards, RTS) az IKT kockázatkezelési keretrendszerre vonatkozóan és az egyszerűsített IKT kockázatkezelési keretrendszerre vonatkozóan;
• RTS az IKT-vonatkozású események osztályozási kritériumairól;
• RTS a kritikus vagy fontos funkciókat támogató, az IKT harmadik fél szolgáltatók (third-party service providers, TPPs) által nyújtott IKT-szolgáltatásokra vonatkozó szabályzat meghatározására; és
• végrehajtás-technikai standardok (Implementing Technical Standards, ITS) az információ-nyilvántartás mintadokumentumainak meghatározása érdekében.

RTS az IKT kockázatkezelési keretrendszerről és az egyszerűsített IKT kockázatkezelési keretrendszerről

Az IKT kockázatkezelési keretrendszerről szóló RTS-tervezet további, az IKT kockázatkezeléssel kapcsolatos elemeket határoz meg az eszközök, módszerek, folyamatok és szabályzatok harmonizálása céljából. Ezek kiegészítik a DORA-ban meghatározott előírásokat. Az RTS meghatározza az egyszerűsített keretrendszer hatálya alá tartozó, kisebb léptékű, kockázatú, méretű és összetettségű pénzügyi intézmények esetében is a kulcsfontosságú tényezőket, követelményeket. Az RTS biztosítja az IKT kockázatkezelési követelményeknek a különböző pénzügyi szektorok közötti harmonizációját.

RTS az IKT-vonatkozású incidensek osztályozási kritériumairól

Ezek az RTS-ek határozzák meg az IKT-vonatkozású jelentős incidensek osztályozásának kritériumait, a jelentős incidensek osztályozásával kapcsolatos megközelítést, az egyes osztályozási kritériumok lényegességi küszöbértékeit, jelentős kiberfenyegetések meghatározására vonatkozó kritériumokat, illetve lényegességi küszöbértékeit, továbbá annak kritériumait, hogy az illetékes hatóságok hogyan értékeljék az incidensek relevanciáját más tagállamok illetékes hatóságaira vonatkozóan,, továbbá az e tekintetben megosztandó incidensek részleteit. Az RTS biztosítja az incidensjelentések osztályozásának a pénzügyi ágazaton belüli harmonizált és egyszerű folyamatát.

RTS az IKT TPP szabályzatról

Ezek az RTS-ek határozzák meg az irányítási intézkedések, a kockázatkezelés és a belső ellenőrzési keretrendszer azon részeit, amelyeket a pénzügyi intézményeknek az harmadik fél IKT-szolgáltatók igénybevételével kapcsolatban alkalmazniuk kell. Céljuk annak biztosítása, hogy a pénzügyi intézmények ellenőrzésük alatt tartsák a működési kockázatokat, az információbiztonságot és az üzletmenet folytonosságot az ilyen harmadik fél IKT-szolgáltatókkal kötött szerződéses megállapodások teljes életciklusa alatt.

ITS az információ-nyilvántartásáról

Végezetül az ITS meghatározza azokat a mintadokumentumokat, amelyeket a pénzügyi intézményeknek kötelezően fenn kell tartaniuk és aktualizálniuk kell a harmadik fél IKT-szolgáltatók kötött szerződéses megállapodásaikkal kapcsolatban. Az információ-nyilvántartás döntő szerepet játszik majd a pénzügyi intézmények harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatkezelési keretrendszerében. Ezt az illetékes hatóságok és az európai felügyeleti hatóságok a pénzügyi szervezetek DORA-nak való megfelelésének felügyelete, valamint a DORA-felügyeleti rendszer hatálya alá tartozó kritikus IKT-harmadik fél szolgáltatók kijelölése során fogják felhasználni.

Jogalap és háttér

Ezen a végleges technikai standardok kidolgozására a DORA 15. cikkével, 16. cikkének 3. bekezdésével, 18. cikkének 3. bekezdésével, 28. cikkének 9. bekezdésével és 28. cikkének 10. bekezdésével összhangban került sor (2022/2554/EU Rendelet). A technikai standardokról szóló nyilvános konzultációt 2023. június 19. és szeptember 11. közötti időszakban folytatták le. Az európai felügyeleti hatóságok több mint 420 választ kaptak a piaci szereplőktől, többek között az európai felügyeleti hatóságok érdekképviseleti csoportjainak közös válaszát is. A nyilvános konzultáció során kapott visszajelzések alapján a technikai standardok konkrét módosításra kerültek, többek között a követelmények egyszerűsítésének és ésszerűsítésének biztosítása, a nagyobb arányosság és az ágazatspecifikus aggályok kezelése érdekében.

Következő lépések

A végleges technikai standardok benyújtásra kerültek az Európai Bizottsághoz, melymost kezdi meg a felülvizsgálatukat annak érdekében, hogy az elkövetkező hónapok során elfogadja ezeket az első standardokat.

Dokumentumok

• Az IKT kockázatkezelési keretrendszerről és az egyszerűsített IKT kockázatkezelési keretrendszerről szóló RTS-tervezetek
• RTS-tervezet a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokra vonatkozó politika pontosítása érdekében
• RTS-tervezet a súlyos incidensek és jelentős kiberfenyegetések besorolásáról
• ITS-tervezet az információ nyilvántartásáról
• Az EBA angol nyelvű közleménye