Gyorsan ketyeg az \u00f3ra, hamarosan \u00e9letbe l\u00e9p az EU p\u00e9nzint\u00e9zetekre vonatkoz\u00f3 digit\u00e1lis ellen\u00e1ll\u00f3 k\u00e9pess\u00e9get szab\u00e1lyoz\u00f3 t\u00f6rv\u00e9nye, a DORA. J\u00f6v\u0151 janu\u00e1rt\u00f3l a p\u00e9nz\u00fcgyi szolg\u00e1ltat\u00f3knak \u00e9s bizonyos tech v\u00e1llalatoknak szigor\u00fa, a digit\u00e1lis infrastrukt\u00fara sebezhet\u0151s\u00e9g\u00e9t cs\u00f6kkent\u0151 el\u0151\u00edr\u00e1soknak kell megfelelni\u00fck. A rendelet c\u00e9lja a p\u00e9nz\u00fcgyi rendszer stabilit\u00e1s\u00e1nak biztos\u00edt\u00e1sa, \u00e9s a j\u00faliusi glob\u00e1lis IT \u00f6sszeoml\u00e1shoz hasonl\u00f3 incidens megel\u0151z\u00e9se.<\/p>\n\n\n\n
A s\u00e9r\u00fcl\u00e9keny digit\u00e1lis \u00f6kosziszt\u00e9ma<\/strong> Az eset amellett, hogy \u00f3ri\u00e1si k\u00e1rokat okozott, r\u00e1mutatott a digitaliz\u00e1lt vil\u00e1gunk s\u00e9r\u00fcl\u00e9kenys\u00e9g\u00e9re. Az elm\u00falt \u00e9vtizedekben a digit\u00e1lis transzform\u00e1ci\u00f3 jelent\u0151sen n\u00f6velte a termel\u00e9kenys\u00e9get, hat\u00e9konyabb\u00e1 t\u00e9ve a glob\u00e1lis gazdas\u00e1g m\u0171k\u00f6d\u00e9s\u00e9t. Egy\u00fattal azonban komoly rendszerkock\u00e1zatot \u00e9p\u00edtett fel, mivel a k\u00fcl\u00f6nb\u00f6z\u0151 informatikai rendszerek \u00f6sszefon\u00f3d\u00e1sa miatt egyetlen hiba a j\u00falius 19-i le\u00e1ll\u00e1sban tapasztalt tovagy\u0171r\u0171z\u0151 hat\u00e1ssal j\u00e1r.<\/p>\n\n\n\n A CrowdStrike elbalt\u00e1zott l\u00e9p\u00e9se miatt kialakult k\u00e1osz d\u00f6nt\u0151 r\u00e9sz\u00e9t a legt\u00f6bb ipar\u00e1gban 1 napon bel\u00fcl felsz\u00e1molt\u00e1k. Ez r\u00e9szben a hiba gyors azonos\u00edt\u00e1s\u00e1nak, r\u00e9szben pedig a kiberbiztons\u00e1gi c\u00e9g \u00e1ltal kiadott friss\u00edt\u00e9s jav\u00edt\u00e1s\u00e1nak volt k\u00f6sz\u00f6nhet\u0151. Egy kibert\u00e1mad\u00e1s eset\u00e9ben enn\u00e9l minden bizonnyal t\u00f6bb id\u0151re lett volna sz\u00fcks\u00e9g a szolg\u00e1ltat\u00f3k rendszereinek helyre\u00e1ll\u00edt\u00e1s\u00e1hoz, \u00edgy az okozott k\u00e1r a sokszoros\u00e1ra r\u00fagott volna.<\/p>\n\n\n\n Hamarosan \u00e9letbe l\u00e9p a DORA<\/strong> Az Eur\u00f3pai Uni\u00f3 a fentiek tudat\u00e1ban 2020 szeptember\u00e9ben adta ki a DORA n\u00e9vre keresztelt rendelet els\u0151 tervezet\u00e9t, ami a p\u00e9nz\u00fcgyi szektor digit\u00e1lis ellen\u00e1ll\u00f3 k\u00e9pess\u00e9g\u00e9t hivatott el\u0151mozd\u00edtani. Az angolul Digital Operational Resilience Act (DORA) kifejezetten a p\u00e9nzint\u00e9zetek digit\u00e1lis m\u0171k\u00f6d\u00e9s\u00e9nek ellen\u00e1ll\u00f3 k\u00e9pess\u00e9g\u00e9t szab\u00e1lyozza. A t\u00f6rv\u00e9nyt 2022-ben fogadta el az Eur\u00f3pai Tan\u00e1cs, a Parlament \u00e9s a Bizotts\u00e1g, 2023 janu\u00e1r 16-\u00e1n pedig hat\u00e1lyba is l\u00e9pett. Az \u00e9rintettek sz\u00e1m\u00e1ra tov\u00e1bbi 2 \u00e9v \u00e1llt rendelkez\u00e9sre, hogy a k\u00f6vetelm\u00e9nyeknek megfeleljenek. Emiatt a DORA a j\u00faliusi \u00f6sszeoml\u00e1sban m\u00e9g nem volt k\u00e9pes \u00e9reztetni j\u00f3t\u00e9kony hat\u00e1s\u00e1t, azonban j\u00f6v\u0151 janu\u00e1r 17-t\u0151l komoly b\u00fcntet\u00e9sre sz\u00e1m\u00edthatnak azok a v\u00e1llalatok, amelyek nem felelnek meg a t\u00f6rv\u00e9ny bet\u0171j\u00e9nek.<\/p>\n\n\n\n Az \u00e9rintettek k\u00f6re eg\u00e9szen sz\u00e9les sk\u00e1l\u00e1n mozog. A t\u00f6rv\u00e9nyalkot\u00f3k ugyanis figyelembe vett\u00e9k, hogy a p\u00e9nz\u00fcgyi szektor szerepl\u0151inek IT infrastrukt\u00far\u00e1j\u00e1t gyakran k\u00fcls\u0151 szolg\u00e1ltat\u00f3k biztos\u00edtj\u00e1k. A p\u00e9nz\u00fcgyi v\u00e1llalatok sok esetben csak r\u00e9szben diszpon\u00e1lnak a rendszereik felett, \u00f3ri\u00e1si kitetts\u00e9g\u00fck van technol\u00f3giai v\u00e1llalatoknak. Ez\u00e9rt hitelint\u00e9zetek, p\u00e9nzforgalmi szolg\u00e1ltat\u00f3k, fizet\u00e9si szolg\u00e1ltat\u00f3k, elektronikusp\u00e9nz-kibocs\u00e1t\u00f3 int\u00e9zm\u00e9nyek, biztos\u00edt\u00f3k, kriptoeszk\u00f6z kibocs\u00e1tok mellett felh\u0151szolg\u00e1ltat\u00f3k, szoftverfejleszt\u0151 \u00e9s adatelemz\u0151 c\u00e9gek is a t\u00f6rv\u00e9ny c\u00e9lkeresztj\u00e9ben vannak.<\/p>\n\n\n\n Szab\u00e1lyok \u00e9s el\u0151\u00edr\u00e1sok a DORA-ban<\/strong> inform\u00e1ci\u00f3s \u00e9s kommunik\u00e1ci\u00f3s technol\u00f3giai (IKT) kock\u00e1zatkezel\u00e9sr\u0151l, A DORA k\u00f6vetelm\u00e9nyeket fogalmaz meg a p\u00e9nz\u00fcgyi int\u00e9zm\u00e9nyek \u00e9s az IT besz\u00e1ll\u00edt\u00f3k k\u00f6z\u00f6tt megk\u00f6t\u00f6tt szerz\u0151d\u00e9sekre vonatkoz\u00f3an is. L\u00e9trehoz egy fel\u00fcgyeleti keretrendszert azokra a kritikus technol\u00f3giai v\u00e1llalatokra illet\u0151leg, amelyek p\u00e9nz\u00fcgyi v\u00e1llalatoknak ny\u00fajtanak szolg\u00e1ltat\u00e1sokat. Tov\u00e1bb\u00e1 meghat\u00e1rozza az illet\u00e9kes hat\u00f3s\u00e1gok k\u00f6z\u00f6tti egy\u00fcttm\u0171k\u00f6d\u00e9s kereteit, valamint a fel\u00fcgyelet \u00e9s v\u00e9grehajt\u00e1s szab\u00e1lyair\u00f3l is rendelkezik.<\/p>\n\n\n\n S\u00falyos b\u00edrs\u00e1gok \u00e9s b\u00fcntet\u00e9sek szabhat\u00f3ak ki<\/strong> A p\u00e9nz\u00fcgyi v\u00e1llalatokat az \u00e9ves glob\u00e1lis bev\u00e9tel\u00fck 2 sz\u00e1zal\u00e9k\u00e1ra lehet majd j\u00f6v\u0151re megb\u00edrs\u00e1golni. Az \u00e9rintett IT szolg\u00e1ltat\u00f3k az el\u0151z\u0151 \u00e9vi 1 napra es\u0151 \u00e1tlagos bev\u00e9tel\u00fck 1 sz\u00e1zal\u00e9k\u00e1ra b\u00fcntethet\u0151ek, viszont ezt napi rendszeress\u00e9ggel szabhatj\u00e1k ki 6 h\u00f3napon kereszt\u00fcl. Az \u00edgy kiszabott b\u00fcntet\u00e9s maximum 5 milli\u00f3 eur\u00f3 lehet. A v\u00e1llalatok mellett azonban az egy\u00e9ni felel\u0151ss\u00e9gre von\u00e1s is a fel\u00fcgyeletek eszk\u00f6zt\u00e1r\u00e1ba ker\u00fclt. A p\u00e9nzint\u00e9zetek relev\u00e1ns menedzsereit 1 milli\u00f3 eur\u00f3ra, m\u00edg az IT szolg\u00e1ltat\u00f3kn\u00e1l dolgoz\u00f3 menedzsereket 500 ezer eur\u00f3ra lehet megb\u00edrs\u00e1golni.<\/p>\n\n\n\n
Egy b\u0151 h\u00f3napja, j\u00falius 19-\u00e9n reggel egy glob\u00e1lis digit\u00e1lis katasztr\u00f3f\u00e1ra \u00e9bredt az emberis\u00e9g. Sz\u00e1mos orsz\u00e1gban le\u00e1llt a l\u00e9gi- \u00e9s vas\u00fati k\u00f6zleked\u00e9s, t\u00e9v\u00e9csatorn\u00e1k n\u00e9multak el, keresked\u0151k maradtak z\u00e1rva, bankok \u00e9s fizet\u00e9si szolg\u00e1ltat\u00f3k v\u00e1ltak el\u00e9rhetetlenn\u00e9. Eleinte nem lehetett tudni, hogy egy s\u00falyos kibert\u00e1mad\u00e1s b\u00e9n\u00edtotta meg a f\u00e9l vil\u00e1got, vagy valami m\u00e1s ok \u00e1ll a h\u00e1tt\u00e9rben. Szerencs\u00e9re hamar kider\u00fclt, hogy egy kiberbiztons\u00e1gi c\u00e9g, a CrowdStrike biztons\u00e1gi friss\u00edt\u00e9se \u00fct\u00f6tt ki vil\u00e1gszerte t\u00f6bb milli\u00f3 Windows-eszk\u00f6zt, \u00edgy a rendszerek vissza\u00e1ll\u00edt\u00e1sa viszonylag hamar megval\u00f3sulhatott.<\/p>\n\n\n\n
A digit\u00e1lis \u00e1t\u00e1ll\u00e1s miatt kialakult kock\u00e1zatok egy r\u00e9sze a k\u00f6ztudatba is be\u00e9p\u00fclt. Hackerekr\u0151l, csal\u00f3kr\u00f3l, v\u00edrusokr\u00f3l m\u00e9g \u00e1ltal\u00e1ban azok az emberek is tudnak valamit, akik egy\u00e9bk\u00e9nt nem haszn\u00e1lnak digit\u00e1lis szolg\u00e1ltat\u00e1sokat. Az viszont m\u00e1r kev\u00e9sb\u00e9 ismert, \u00e9s aki nem ebben \u00e9l minden nap joggal nem is gondol arra, hogy az informatikai infrastrukt\u00fara \u00f6sszeoml\u00e1sa teljes ipar\u00e1gak egy\u00fcttes le\u00e1ll\u00e1s\u00e1hoz is vezethet.<\/p>\n\n\n\n
A DORA c\u00e9lja, hogy egy magas szint\u0171 \u00e9s egys\u00e9ges digit\u00e1lis ellen\u00e1ll\u00f3k\u00e9pess\u00e9get hozzon l\u00e9tre a p\u00e9nz\u00fcgyi szektorban az Uni\u00f3n bel\u00fcl. A legt\u00f6bb el\u0151\u00edr\u00e1s term\u00e9szetesen a szab\u00e1lyozott p\u00e9nz\u00fcgyi szolg\u00e1ltat\u00f3kra vonatkozik. Sz\u00e1mukra 5 ter\u00fcleten fogalmaztak meg szigor\u00fa szab\u00e1lyokat:<\/p>\n\n\n\n
IKT incidensekkel kapcsolatos riport\u00e1l\u00e1si k\u00f6telezetts\u00e9gr\u0151l,
digit\u00e1lis m\u0171k\u00f6d\u00e9s ellen\u00e1ll\u00f3s\u00e1g\u00e1nak tesztel\u00e9s\u00e9r\u0151l,
k\u00f6telez\u0151 inform\u00e1ci\u00f3 megoszt\u00e1s kiberfenyegetetts\u00e9ggel \u00e9s sebezhet\u0151s\u00e9ggel kapcsolatban,
k\u00fcls\u0151 szolg\u00e1ltat\u00f3k IKT kock\u00e1zatainak megfelel\u0151 kezel\u00e9s\u00e9vel \u00f6sszef\u00fcgg\u00e9sben.
Az \u00faj szab\u00e1lyok a j\u00f6v\u0151ben megk\u00f6vetelik, hogy minden \u00e9rintett v\u00e1llalat kifinomult kock\u00e1zatkezel\u00e9si gyakorlatnak vesse al\u00e1 saj\u00e1t IT rendszereit. Legyen sz\u00f3 ak\u00e1r bels\u0151 rendszerr\u0151l, ak\u00e1r k\u00fcls\u0151 szolg\u00e1ltat\u00f3 \u00e1ltal k\u00edn\u00e1lt informatikai megold\u00e1sr\u00f3l, a rendszerek monitoroz\u00e1sa, a kock\u00e1zatok felt\u00e1s\u00e1ra \u00e9s \u00e9rt\u00e9kel\u00e9se k\u00f6telez\u0151 lesz minden szolg\u00e1ltat\u00f3nak. Tov\u00e1bb\u00e1 a rendszereket folyamatosan tesztelni is kell majd, ami seg\u00edt megtal\u00e1lni az esetleges gyengepontokat \u00e9s sebezhet\u0151s\u00e9geket. A fentiek ellen\u00e9re kialakult incidensekr\u0151l a szolg\u00e1ltat\u00f3knak r\u00e9szletesen jelenteni\u00fck kell a megfelel\u0151 hat\u00f3s\u00e1gokhoz, ak\u00e1r kibert\u00e1mad\u00e1sr\u00f3l, ak\u00e1r csak egy hib\u00e1r\u00f3l legyen sz\u00f3.<\/p>\n\n\n\n
A jogalkot\u00f3k mind az el\u0151\u00edrt tev\u00e9kenys\u00e9gekkel, mint pedig a kiszabhat\u00f3 b\u00fcntet\u00e9sekkel kapcsolatban az ar\u00e1nyoss\u00e1g elv\u00e9t k\u00f6vett\u00e9k. Nem egyforma m\u00e9lys\u00e9gben \u00e9s alaposs\u00e1ggal kell k\u00fcl\u00f6nb\u00f6z\u0151 s\u00faly\u00fa \u00e9s szolg\u00e1ltat\u00e1sokat ny\u00fajt\u00f3 p\u00e9nz\u00fcgyi v\u00e1llalatoknak elv\u00e9gezni p\u00e9ld\u00e1ul a rendszereik monitoroz\u00e1s\u00e1t, tesztel\u00e9s\u00e9t, vagy riport\u00e1lni a hat\u00f3s\u00e1goknak. A nagyobb s\u00faly\u00fa, kritikusabb szolg\u00e1ltat\u00f3knak szigor\u00fabb felt\u00e9teleknek kell megfelelni\u00fck \u00e9s szab\u00e1lyszeg\u00e9s eset\u00e9n nagyobb b\u00fcntet\u00e9sekre is sz\u00e1m\u00edthatnak.<\/p>\n\n\n\n