CNBC emlékeztet, a rendelet segíteni kívánja a cégeket abban, hogy elkerülhessék a jelentős kieséseket, mint például a múlt hónapban a CrowdStrike kibercég által okozott történelmi IT-összeomlást, amikor a cég által kiadott egyszerű szoftverfrissítés miatt összeomlott a Microsoft Windows operációs rendszere.

Több bank, és befektetési társaság – a JPMorgan Chase- től a Santanderen keresztül, a Visa-ig a kimaradás miatt nem tudott szolgáltatást nyújtani. A cégeknek pedig több órába telt, amíg helyreállították szolgáltatást.

Mike Sleightholme, a Broadridge International fintech cég elnöke szerint a DORA legfontosabb tulajdonsága, hogy nem csak arra összpontosít, amit a bankok tesznek a rugalmasság biztosítása érdekében, hanem alaposan megvizsgálja a cégek technológiai beszállítóit is.

A DORA keretén belül a bankoknak szigorú IT-kockázatkezelést, incidenskezelést, osztályozást és jelentéskészítést, digitális működési rugalmasság tesztelést, információ- és intelligenciamegosztást kell végrehajtaniuk a kiberfenyegetésekkel és sebezhetőségekkel kapcsolatban, valamint intézkedéseket kell tenniük a harmadik felek kockázatainak kezelésére.

A DORA 2023. január 16-án lépett hatályba, de a szabályokat az EU tagállamai csak 2025. január 17-én hajtják végre.

Az EU ezeket a reformokat prioritásként kezeli, mivel a pénzügyi szektor egyre inkább függ a technológiától és a technológiai vállalatoktól a létfontosságú szolgáltatások nyújtása érdekében. Ez a bankokat és más pénzügyi szolgáltatókat sebezhetőbbé tette a kibertámadásokkal és más incidensekkel szemben.

Az EU általános adatvédelmi rendelete vagy a GDPR például előírja a vállalatoknak, hogy a személyazonosításra alkalmas adatok feldolgozása csak beleegyezéssel történjen, és azokat megfelelő védelem mellett kezeljék nehogy nyilvánosságra kerüljenek.

Szankciók is vannak:

Az új szabályokat megsértő pénzügyi cégek esetében az uniós hatóságok éves globális bevételük 2 százalékáig terjedő bírságot szabhatnak ki.

Az egyes vezetők felelősségre vonhatók a jogsértésekért. A személyes szankciók elérhetik az 1 millió eurót.

Az informatikai szolgáltatók számára a szabályozó hatóságok az előző üzleti év átlagos napi globális bevételének akár 1 százalékát is kiszabhatják. A cégek akár naponta bírságolhatók, amíg be nem vezetik a szabályokat.