A cégeknek komoly felkészülésre van szükségük, hogy megfeleljenek a DORA-rendelet követelményeinek. Az előírások betartása érdekében érdemes már most megkezdeni az előkészületeket, beleértve az IT-infrastruktúra felmérését, a kockázatkezelési folyamatok fejlesztését, valamint az alkalmazottak képzését és tudatosságának növelését – hangsúlyozták az Economx megkeresésére az Ernst & Young szakértői.
A DORA előírásainak az Európai Unióban működő valamennyi pénzügyi intézménynek, valamint a számukra információ- és kommunikációtechnológia (IKT) szolgáltatásokat nyújtó vállalatoknak is meg kell felelniük. Erre egyre kevesebb idő van, hiszen a kétéves végrehajtási időszakot követően legkésőbb 2025. január 17-ig a Magyarországon működő intézeteknek is eleget kell tenniük a követelményeknek.
Szimulált kibertámadások lesznek
A pénzügyi szervezetek informatikai rendszereinek ellenálló képességét a folyamatos felügyelet mellett átfogó és szigorú ellenőrzésekkel, többek között véletlenszerű, szimulált kibertámadásokkal is próbára teszik majd a hatóságok.
Ezek a szimulált kibertámadások komoly kihívásokat jelenthetnek a pénzügyi szervezetek számára.
A szakértők szerint azonban fontos megérteni, hogy a DORA-rendelet célja éppen az ilyen típusú tesztek és ellenőrzések rendszeresítése annak érdekében, hogy a pénzügyi intézmények informatikai rendszereinek ellenálló képességét folyamatosan javítsák. A jogi keretrendszer erre valóban lehetőséget biztosít.
Elég idő lesz a felkészülésre?
Az Economx kérdésére, hogy elég lesz ennyi idő, a szakértők rámutattak: sok nagyobb pénzügyi intézmény és IKT szolgáltató már most is komoly hangsúlyt fektet a kiberbiztonságra és az IT-rendszerek védelmére. Ezek a cégek már rendelkezhetnek az alapvető infrastruktúrával és folyamatokkal, amelyek segíthetnek a DORA előírásainak való megfelelésben.
Ha a pénzügyi intézmények és az IKT szolgáltatók időben megkezdik a felkészülést, és megfelelően allokálják az erőforrásaikat, akkor a rendelkezésre álló idő elegendő lehet a DORA előírásainak teljesítésére.
A DORA hatékonysága nagymértékben függ attól, hogy az érintett cégek mennyire képesek alkalmazkodni az új követelményekhez és milyen mértékben tudják integrálni azokat a mindennapi működésükbe.
Kihívások és lehetséges akadályok
- Költségek és erőforrások: Az új követelmények teljesítése jelentős erőforrásokat és beruházásokat igényelhet, amelyek különösen a kisebb cégeket állíthatják kihívások elé.
- Szakemberhiány: A kiberbiztonsági szakemberek iránti kereslet folyamatosan nő, és a megfelelő szakértelemmel rendelkező munkaerő hiánya lassíthatja a megfelelési folyamatot.
- Szabályozási komplexitás: Az új szabályok értelmezése és alkalmazása időigényes lehet, különösen akkor, ha a cégek korábban nem találkoztak hasonló szintű szabályozással.
Ezeket ajánlatos megtennie a szektornak
- Átfogó kockázatkezelési keretrendszert kell kialakítani, amely magában foglalja az informatikai rendszereik és hálózataik védelmét, a kibertámadások megelőzését és azok hatásainak minimalizálását.
- Kötelezővé válik az IT-rendszerek folyamatos monitorozása, a kockázatok és incidensek azonosítása és nyomon követése. A cégeknek rendszeresen jelenteniük kell az incidenseket a szabályozó hatóságoknak.
- Biztosítani kell, hogy az igénybe vett külső szolgáltatók is megfeleljenek a DORA előírásainak. Ennek érdekében rendszeresen értékelniük kell a külső szolgáltatók kockázatkezelési gyakorlatát és biztosítaniuk kell a megfelelő szerződéses feltételeket.
- Fokozott figyelmet kell fordítani az adatvédelemre és az adatbiztonságra, beleértve az érzékeny adatok megfelelő védelmét és titkosítását.
- Kulcsfontosságú az alkalmazottak rendszeres képzése és a kiberbiztonsági tudatosság növelése.
- Rendszeresen ellenőrzéseket és teszteket kell végezniük az IT-rendszereik és folyamataik ellenállóképességének felmérése érdekében. Ez magában foglalhatja a stresszteszteket és a sebezhetőségi vizsgálatokat.
- Készenléti és vészhelyzeti terveket kell kidolgozniuk, amelyek biztosítják a gyors és hatékony reagálást kibertámadások és egyéb IT-krízisek esetén.
Ők lesznek a jogosultak a szimulált támadásokra
Az Ernst & Young szakértői az Economxnak kiemelték: a DORA rendelet konkrétan előírja, hogy a pénzügyi intézményeknek rendszeres ellenőrzéseket és teszteket kell végezniük az IT-rendszereik és folyamataik ellenálló képességének felmérése érdekében. Ez magában foglalja a szimulált kibertámadásokat is, amelyeket a hatóságok felügyelhetnek és értékelhetnek.
Az Európai Unióban a szabályozó hatóságok, mint például az Európai Központi Bank (EKB) és a nemzeti pénzügyi felügyeletek rendelkeznek jogi felhatalmazással arra, hogy ellenőrizhessék a pénzügyi intézmények informatikai rendszereinek biztonságát és ellenálló képességét.
Ez a felhatalmazás kiterjedhet a szimulált kibertámadások végrehajtására is, különösen akkor, ha ezek a tesztek az intézmények jobb felkészültségét és biztonságát szolgálják.