A hazai pénzintézeti jogalkalmazók számára az MNB vonatkozó ajánlásai jelölik ki a betartandó követelményeket az információbiztonság területén is, ezért az MNB az ajánlásait a DORA-hoz igazítja. Ennek során az várható, hogy az MNB nem lazít a korábbi szabályokon, csak összehangolja az eddigi elvárásait az új DORA szabályozással – ahogy ezt láthatjuk az év elején megújult két ajánlás esetében is.
A Magyar Nemzeti Bank információ biztonsági felügyelete eddig is szigorú eljárással tartatta be a vonatkozó MNB ajánlásokat a felügyelt intézményekkel (bankok, biztosítók, befektetési szolgáltatók, alapkezelők stb.). Számukra a DORA megjelenése nem hozott drámai változást, ezért most inkább azzal foglalkozunk, hogy mit jelent a „Kritikus IKT szolgáltatók” kifejezés, akikre rajtuk kívül kiterjed a rendelet hatálya, és őket milyen kötelezettségek terhelik. Ők gyakran alapos hátrányból indulnak és komoly lemaradást kell behozniuk. Számukra kihívást jelent felvenni a lépést és szintet lépni az információs rendszerek biztonsága terén.
Ezután megkapja az Economx.hu Hírleveleit reggel és este.
Már maga a „Kritikus IKT szolgáltatók” fogalom is újdonság, és a jogalkotó radikálisan kiterjeszti a védelmi feladatokat arra a szállítói körre, amelyik kiszolgálja a pénzintézetek informatikai infrastruktúráját. Fájdalmas tapasztalatok világítottak rá, hogy a pénzügyi rendszerek stabilitásában ez az szféra is komoly kockázatoknak van kitéve.
A kritikus IKT szolgáltatókra vonatkozó szabályozás szerint a hatóság azonosítani fogja a közös szállítónál koncentrálódó kockázatokat is, amelyet csak egy egységes azonosító (az ún. Legal Entity Identifier) használatával tud megoldani.
Praktikusan, a szállítót minden megbízó pénzügyi intézmény egységesen csak a LEI-vel azonosíthat, vagyis, amelyik szállítóknak eddig nem volt LEI kódja, azoknak most ezt a regisztrációt is végre kell hajtani. Az ilyen kockázat koncentráció észlelés nemzetközi vállalatcsoportok számára is érték, sőt, feladat is egyben, mert a csoporton belüli szolgáltatót is harmadik félnek tekinti a jogszabály.
Részletes szabályozottsága miatt figyelmet érdemel az IKT kockázatok kezeléséről kiadott sztenderd, amely részletesen tartalmazza, hogy az egyes kontroll részterületekről milyen szintű belső szabályzatokkal kell rendelkezniük a pénzügyi szervezeteknek. A könnyebb áttekinthetőség kedvéért alábbi táblázatunkban kigyűjtöttük mind a 20 témakört olyan sorrendben, ahogy a jogszabály a tartalmi elvárásokat is tárgyalja.
Másik alaposan szabályozott témakör az incidens kezelés. Az események osztályozása meglehetősen bonyolult, de az alábbi diagram segít megérteni, melyik eseteket kell „jelentősnek” tekinteni és a hatóságnak bejelenteni.
Az események bejelentésére adott határidők meglehetősen szigorúak, a három előírt jelentés típusra vonatkozó határidőket a grafikonunk szemlélteti.
Fontos újítás a tesztelési elvárások szabályozása. Az IKT-rendszerek tesztelésére megbízható és átfogó, kockázat-alapú programot kell készítenie a szervezeteknek a mikrovállalkozások kivételével. Ezeket a teszteket független belső vagy külső félnek kell végrehajtania legalább évente, minden kritikus vagy fontos funkciót kiszolgáló IKT rendszeren. Csupán ennek a megvalósítása már kihívás lehet nagy szervezetek esetén, mind erőforrás, mind munkaszervezés szempontjából. Ráadásul ezen felül a kisebb szolgáltatók kivételével kötelező legalább 3 évente fejlett tesztelést végezni (Threat-led Penetration Testing vagy röviden TLPT) a kritikus vagy fontos funkciókat támogató éles rendszereken, kiterjesztve azt a harmadik feles IKT szolgáltatókra is, ha szükséges. Ehhez a harmadik feles IKT-szolgáltató együttműködését a szolgáltatónak kell biztosítania, tipikusan ezt szerződéses kötelezettségévé téve. A kötelezettség végrehajtásakor egy a témának szentelt külön rendelettel is meg kell ismerkednie a szervezeteknek is és a tesztelési szolgáltatást nyújtóknak is.
Feltételezhető, hogy a megfelelést nagyon szorosan monitorozni tervezi a felügyeleti hatóság, így erre is kellő gondossággal érdemes készülni.
A Magyar Nemzeti Bank IKT kockázatok kezelésére vonatkozó elvárásai elég szigorúak, ezért aki eddig is eleget tudott tenni ezen elvárásoknak, azon vélhetően a DORA szabályozás-csomag sem fog ki. Akinek azonban lemaradásai voltak már a DORA hatálybalépése előtt is, attól valószínűleg komoly munkát és erőforrást fog igényelni a megfelelés biztosítsa, és ezen belül a szerződés áttekintése, nyilvántartásba vétele és újrakötése. Ráadásul a DORA hatálybalépése időben egybeesik több más szakterületi szabályozás érvénybe lépésével, gondoljunk csak a kiberbiztonsági törvény és végrehajtási rendeletének megjelenésére. Ez a szabályozás cunami fokozott terhet ró a szakmában dolgozókra, akár alkalmazói, akár ellenőrzői az új szabályoknak, ezért növekvő szakemberhiányra lehet számítani, ami tovább drágíthatja a megfelelés költségeit.
(A cikk szerzője Gerencsér Miklós a KPMG vezető tanácsadója, valamint Glózer-Say Viktória, a KPMG menedzsere)
Kövesse az Economx.hu-t!
Értesüljön időben a legfontosabb gazdasági és pénzügyi hírekről! Kövessen minket Facebookon, Instagramon vagy iratkozzon fel Google News és YouTube-csatornánkra!
Economx.hu hírlevél
Ezután megkapja az Economx.hu Hírleveleit reggel és este.
Legolvasottabb
Putyin tombolhat, nagy bajban aranytojást tojó tyúkja
Orbán Viktorék nagyon hittek benne, de csak bukdácsol a magyar ipar reménysége
Itt az Orbán-kormány döntésének ára: 191 milliárd forintnyi büntetés
Gulyás Gergely fontos bejelentést tett, ennyi pluszpénzt kapnak a nyugdíjasok az idén
Gyerekrablók tartják rettegésben az országot, kitört a pánik
Jönnek az új automaták, eltűnik a készpénz a bankokból
Elképesztő újítást vetett be a Windows: szó szerint elképesztő
Nem bánja Orbán Viktor, hogy nélküle tanácskozik a tettrekészek koalíciója
Kína rettenetes új fegyvere átírhatja a partraszállás szabályait
