A három európai felügyeleti hatóság (az EBA, az EIOPA és az ESMA - az európai felügyeleti hatóságok) 2024. július 17-én közzétette a digitális működési ellenálló képességről szóló rendelet (Digital Operational Resilience Act, DORA) szerinti végleges technikai standardtervezetek és iránymutatások második csomagját.
A második csomag négy szabályozástechnikai standardot (RTS) és két iránymutatást tartalmaz.
A 2024. július 18-ig elkészítendő csomagból egy, a kritikus vagy fontos funkciókat támogató információs és kommunikációs technológia (IKT) szolgáltatások alvállalkozásba adására vonatkozó részletszabályokat tartalmazó szabályozástechnikai standard (RTS) még hiányzik, ezt a későbbiekben fogják publikálni az európai felügyeleti hatóságok.
A második csomag kertében megjelent szabályozástechnikai standardok az IKT események/incidensek jelentési keretrendszerének elemeit (szabályok, határidők, űrlapok) határozzák meg, a fenyegetés alapú behatolási tesztelésre (threat led penetration testing, TLPT) vonatkozó részletszabályokat, valamint a harmadik fél IKT szolgáltatókra vonatkozó felvigyázási keretrendszer létrehozásának szabályait tartalmazzák.
Az iránymutatások pedig a jelentős IKT vonatkozású események által okozott költségekről, és veszteségekről szóló összegzőjelentést, valamint a kritikus harmadik fél IKT szolgáltatók felvigyázása során történőhatósági együttműködés szabályait fogalmazzák meg.
A közös végleges technikai standardokat a következőket tartalmazzák:
- szabályozástechnikai standardok (Regulatory Technical Standards, RTS) a jelentős IKT vonatkozású esemény jelentésekről és a jelentős kiberfenyegetésekről szóló bejelentések tartalmáról és határidejéről,
- végrehajtás-technikai standardok (Implementing Technical Standards, ITS) a jelentős IKT- vonatkozású esemény bejelentésére és a jelentős kiberfenyegetésről szóló értesítésre szolgáló szabványos űrlapokról, sablonokról és eljárásokról,
- szabályozástechnikai standardok (Regulatory Technical Standards, RTS) a közös vizsgálócsoport (JET) összetételének meghatározásáról,
- szabályozástechnikai standardok (Regulatory Technical Standards, RTS) a fenyegetés alapú behatolási tesztek elemeinek meghatározásáról,
- szabályozástechnikai standardok (Regulatory Technical Standards, RTS) a felvigyázási tevékenység végzését lehetővé tevő feltételek összehangolásáról;
- Iránymutatások a felvigyázás során a hatóságok közötti együttműködésről, valamint
- Iránymutatások a jelentős IKT vonatkozású események által okozott költségek és veszteségek összesített éves becslésére vonatkozóan.
Jogalap és háttér
Ezen végleges technikai standardok kidolgozására a DORA rendelet (2022/2554/EU Rendelet). 20.cikkének (a) és (b) bekezdésével, a 26. cikkének 11. bekezdésével, valamint a 41. cikkének 1. bekezdésével összhangban került sor. Az iránymutatások kidolgozására a DORA rendelet (2022/2554/EU Rendelet). 11. cikkének 1. bekezdésével és a 32. cikkének 7. bekezdésével összhangban került sor. A második csomagról szóló nyilvános konzultációt 2023. december 8. és 2024. március 4. közötti időszakban folytatták le. Az európai felügyeleti hatóságok több mint 364 választ kaptak a piaci szereplőktől, többek között az európai felügyeleti hatóságok érdekképviseleti csoportjainak közös válaszát is. A JET -ről szóló RTS társadalmi konzultációjára 2024. április 18-tól május 18-ig került sor. A társadalmi egyeztetés során összesen 9 válasz érkezett a piaci szereplők részéről. A nyilvános konzultáció során kapott visszajelzések alapján a tervezetek pontosításra, módosításra kerültek, többek között a követelmények egyszerűsítésének és ésszerűsítésének biztosítása, a nagyobb arányosság és az ágazatspecifikus aggályok kezelése érdekében.
Következő lépések
Az Iránymutatásokat a három európai felügyeleti hatóság vezető testülete (BoS) elfogadta.
A végleges technikai standardok pedig benyújtásra kerültek az Európai Bizottsághoz, mely most kezdi meg a felülvizsgálatukat annak érdekében, hogy az elkövetkező hónapok során elfogadja azokat.
A második csomagból fennmaradt, az alvállalkozók alkalmazásának részletszabályait tartalmazó RTS publikálása és az Európai Bizottsághoz történő benyújtása a későbbiekben várható.
Dokumentumok
- RTS (tervezet) a jelentős IKT vonatkozású esemény jelentésekről és a jelentős kiberfenyegetésről szóló bejelentések tartalmáról és határ idejéről valamint ITS a jelentős IKT- vonatkozású esemény bejelentésére és a jelentős kiberfenyegetésről szóló értesítésre szolgáló szabványos űrlapokról, sablonokról és eljárásokról
- RTS (tervezet) a közös vizsgálócsoport (JET) összetételének meghatározásáról
- RTS (tervezet) a fenyegetés alapú behatolási tesztek elemeinek meghatározásáról,
- RTS (tervezet) a felvigyázási tevékenység végzését lehetővé tevő feltételek összehangolásáról;
- Iránymutatások a felvigyázás során a hatóságok közötti együttműködésről, valamint
- Iránymutatások a jelentős IKT vonatkozású események által okozott költségek és veszteségek összesített éves becslésére vonatkozóan.