Gyorsan ketyeg az óra, hamarosan életbe lép az EU pénzintézetekre vonatkozó digitális ellenálló képességet szabályozó törvénye, a DORA. Jövő januártól a pénzügyi szolgáltatóknak és bizonyos tech vállalatoknak szigorú, a digitális infrastruktúra sebezhetőségét csökkentő előírásoknak kell megfelelniük. A rendelet célja a pénzügyi rendszer stabilitásának biztosítása, és a júliusi globális IT összeomláshoz hasonló incidens megelőzése.
A sérülékeny digitális ökoszisztéma
Egy bő hónapja, július 19-én reggel egy globális digitális katasztrófára ébredt az emberiség. Számos országban leállt a légi- és vasúti közlekedés, tévécsatornák némultak el, kereskedők maradtak zárva, bankok és fizetési szolgáltatók váltak elérhetetlenné. Eleinte nem lehetett tudni, hogy egy súlyos kibertámadás bénította meg a fél világot, vagy valami más ok áll a háttérben. Szerencsére hamar kiderült, hogy egy kiberbiztonsági cég, a CrowdStrike biztonsági frissítése ütött ki világszerte több millió Windows-eszközt, így a rendszerek visszaállítása viszonylag hamar megvalósulhatott.
Az eset amellett, hogy óriási károkat okozott, rámutatott a digitalizált világunk sérülékenységére. Az elmúlt évtizedekben a digitális transzformáció jelentősen növelte a termelékenységet, hatékonyabbá téve a globális gazdaság működését. Egyúttal azonban komoly rendszerkockázatot épített fel, mivel a különböző informatikai rendszerek összefonódása miatt egyetlen hiba a július 19-i leállásban tapasztalt tovagyűrűző hatással jár.
A CrowdStrike elbaltázott lépése miatt kialakult káosz döntő részét a legtöbb iparágban 1 napon belül felszámolták. Ez részben a hiba gyors azonosításának, részben pedig a kiberbiztonsági cég által kiadott frissítés javításának volt köszönhető. Egy kibertámadás esetében ennél minden bizonnyal több időre lett volna szükség a szolgáltatók rendszereinek helyreállításához, így az okozott kár a sokszorosára rúgott volna.
Hamarosan életbe lép a DORA
A digitális átállás miatt kialakult kockázatok egy része a köztudatba is beépült. Hackerekről, csalókról, vírusokról még általában azok az emberek is tudnak valamit, akik egyébként nem használnak digitális szolgáltatásokat. Az viszont már kevésbé ismert, és aki nem ebben él minden nap joggal nem is gondol arra, hogy az informatikai infrastruktúra összeomlása teljes iparágak együttes leállásához is vezethet.
Az Európai Unió a fentiek tudatában 2020 szeptemberében adta ki a DORA névre keresztelt rendelet első tervezetét, ami a pénzügyi szektor digitális ellenálló képességét hivatott előmozdítani. Az angolul Digital Operational Resilience Act (DORA) kifejezetten a pénzintézetek digitális működésének ellenálló képességét szabályozza. A törvényt 2022-ben fogadta el az Európai Tanács, a Parlament és a Bizottság, 2023 január 16-án pedig hatályba is lépett. Az érintettek számára további 2 év állt rendelkezésre, hogy a követelményeknek megfeleljenek. Emiatt a DORA a júliusi összeomlásban még nem volt képes éreztetni jótékony hatását, azonban jövő január 17-től komoly büntetésre számíthatnak azok a vállalatok, amelyek nem felelnek meg a törvény betűjének.
Az érintettek köre egészen széles skálán mozog. A törvényalkotók ugyanis figyelembe vették, hogy a pénzügyi szektor szereplőinek IT infrastruktúráját gyakran külső szolgáltatók biztosítják. A pénzügyi vállalatok sok esetben csak részben diszponálnak a rendszereik felett, óriási kitettségük van technológiai vállalatoknak. Ezért hitelintézetek, pénzforgalmi szolgáltatók, fizetési szolgáltatók, elektronikuspénz-kibocsátó intézmények, biztosítók, kriptoeszköz kibocsátok mellett felhőszolgáltatók, szoftverfejlesztő és adatelemző cégek is a törvény célkeresztjében vannak.
Szabályok és előírások a DORA-ban
A DORA célja, hogy egy magas szintű és egységes digitális ellenállóképességet hozzon létre a pénzügyi szektorban az Unión belül. A legtöbb előírás természetesen a szabályozott pénzügyi szolgáltatókra vonatkozik. Számukra 5 területen fogalmaztak meg szigorú szabályokat:
információs és kommunikációs technológiai (IKT) kockázatkezelésről,
IKT incidensekkel kapcsolatos riportálási kötelezettségről,
digitális működés ellenállóságának teszteléséről,
kötelező információ megosztás kiberfenyegetettséggel és sebezhetőséggel kapcsolatban,
külső szolgáltatók IKT kockázatainak megfelelő kezelésével összefüggésben.
Az új szabályok a jövőben megkövetelik, hogy minden érintett vállalat kifinomult kockázatkezelési gyakorlatnak vesse alá saját IT rendszereit. Legyen szó akár belső rendszerről, akár külső szolgáltató által kínált informatikai megoldásról, a rendszerek monitorozása, a kockázatok feltására és értékelése kötelező lesz minden szolgáltatónak. Továbbá a rendszereket folyamatosan tesztelni is kell majd, ami segít megtalálni az esetleges gyengepontokat és sebezhetőségeket. A fentiek ellenére kialakult incidensekről a szolgáltatóknak részletesen jelenteniük kell a megfelelő hatóságokhoz, akár kibertámadásról, akár csak egy hibáról legyen szó.
A DORA követelményeket fogalmaz meg a pénzügyi intézmények és az IT beszállítók között megkötött szerződésekre vonatkozóan is. Létrehoz egy felügyeleti keretrendszert azokra a kritikus technológiai vállalatokra illetőleg, amelyek pénzügyi vállalatoknak nyújtanak szolgáltatásokat. Továbbá meghatározza az illetékes hatóságok közötti együttműködés kereteit, valamint a felügyelet és végrehajtás szabályairól is rendelkezik.
Súlyos bírságok és büntetések szabhatóak ki
A jogalkotók mind az előírt tevékenységekkel, mint pedig a kiszabható büntetésekkel kapcsolatban az arányosság elvét követték. Nem egyforma mélységben és alapossággal kell különböző súlyú és szolgáltatásokat nyújtó pénzügyi vállalatoknak elvégezni például a rendszereik monitorozását, tesztelését, vagy riportálni a hatóságoknak. A nagyobb súlyú, kritikusabb szolgáltatóknak szigorúbb feltételeknek kell megfelelniük és szabályszegés esetén nagyobb büntetésekre is számíthatnak.
A pénzügyi vállalatokat az éves globális bevételük 2 százalékára lehet majd jövőre megbírságolni. Az érintett IT szolgáltatók az előző évi 1 napra eső átlagos bevételük 1 százalékára büntethetőek, viszont ezt napi rendszerességgel szabhatják ki 6 hónapon keresztül. Az így kiszabott büntetés maximum 5 millió euró lehet. A vállalatok mellett azonban az egyéni felelősségre vonás is a felügyeletek eszköztárába került. A pénzintézetek releváns menedzsereit 1 millió euróra, míg az IT szolgáltatóknál dolgozó menedzsereket 500 ezer euróra lehet megbírságolni.