DORA

Az Európai Unió Tanácsa hivatalosan elfogadta a digitális működési ellenálló képességről szóló jogi aktust (DORA), egy olyan rendeletet, amelyet annak biztosítása érdekében vezettek be, hogy a digitális infrastruktúra - beleértve a pénzügyi ágazat kritikus szolgáltatásait alátámasztó rendszereket és hálózatokat - biztonságos és ellenálló legyen a lehetséges fenyegetésekkel szemben.

A DORA célkitűzései

A DORA célja, hogy javítsa valamennyi szabályozott európai pénzügyi intézmény és az ezen intézményeknek IKT-alapú szolgáltatásokat nyújtó kulcsfontosságú harmadik felek kiberbiztonságát és működési rugalmasságát. Bár a kibertámadásokat nem lehet elkerülni, az európai pénzügyi stabilitás mégis elérhető, ha a szervezetek mérséklik a kiberfenyegetések információs és kommunikációs technológiára (IKT) gyakorolt hatását.

Ki a felelős?

A keretrendszerért, valamint a DORA által előírt egyéb irányítási kötelezettségekért az általános felelősség a cég vezetőségét terheli, amely a kockázatkezelési keretrendszer felülvizsgálatáért, jóváhagyásáért, végrehajtásáért és frissítéséért felel. Ez megköveteli, hogy a vezetés teljes mértékben tisztában legyen a pénzügyi intézmény IKT-használatával, szolgáltatásaival és kockázati profiljával.

A cégeknek érdemes lehet felülvizsgálni, hogy az IKT-csapatoktól a felső vezetésig terjedő jelentéstételi vonalak a gyakorlatban hogyan működnek. A DORA hatálya alá tartozó pénzügyi intézményeknek ki kell jelölniük egy, a digitális működési ellenálló képességért felelős felsővezetőt, és jelenteniük kell az incidenseket a megfelelő hatóságoknak.

A DORA hatása

Bár 2024 vége távolinak tűnik, a megfelelés kihívást jelenthet és időigényes lehet e szervezetek számára. A megfelelést a szervezet illetékes hatósága fogja biztosítani. Az uniós tagállamoknak joguk lesz szankciókat kiszabni a kötelezettségek megszegése esetén.

A DORA-nak való megfelelés elérése

A DORA-kötelezettségeknek való megfelelés elérése az előírt határidőn belül kihívást jelent és időigényes lesz. Bár a DORA 2025. január 17-ig átmeneti időszakot biztosít, javasoljuk, hogy a hatálya alá tartozó szervezetek azonnal kezdjék meg a felkészülést.

Javasoljuk egy olyan szakaszos megközelítés elfogadását, amelynek keretében az érintett szervezetek DORA-megfelelőségi programot készítenek, azzal a céllal, hogy az átmeneti időszak végére elérjék a DORA-nak való megfelelést. A megfelelés elmulasztása 2025 januárjától súlyos bírságokat vonhat maga után.

NIS2

A kibertámadások száma minden évben rohamosan növekszik az EU valamennyi tagállamában. A támadók tevékenységét felerősíti a digitális átalakulás egyre gyorsuló üteme és az új fejlett technológiák folyamatos fejlődése. A támadások jelentős növekedését a Covid-19 világjárvány vagy az orosz-ukrán konfliktus idején tapasztaltuk. Ezért az Európai Unió a kiberbiztonság általános szintjének valamennyi tagállamban történő megerősítése érdekében a már alkalmazott NIS-törvény módosításával állt elő a NIS2 utódjának formájában.

Mi az a NIS2?

A NIS2-rendelet az Európai Unió válaszaként jött létre a meglévő, 2016-ban elfogadott hálózat- és információbiztonsági (NIS) keretrendszer elmélyítésére. A NIS2 jelentősen kibővíti a meglévő jogszabályok hatályát, és új megoldást jelent az európai kibertér megerősítésére és biztonságára.

A BDO megközelítése

A BDO segítséget nyújt szervezetének a NIS2 rendelet szerinti intézkedések végrehajtásában. Elkészítjük az Ön meglévő intézkedéseinek és a NIS2 követelményeinek GAP hiányelemzését, megtervezzük a végrehajtáshoz szükséges projekttervet, beleértve az egyes intézkedések rangsorolását. Nem biztos benne, hogy a NIS2 vonatkozik-e Önre? Tanácsadást nyújtunk Önnek.