Az Európai Unió Hivatalos Lapjában közzétették a Digitális Működési Reziliencia Rendelet (DORA) végrehajtási szabályozásait (RTS és ITS), amelyek a pénzügyi szektor számára határozzák meg a jelentős információs és kommunikációs technológiai (IKT) események és kiberfenyegetések bejelentésének módját.
DORA szerinti bejelentési kötelezettségek
A DORA rendelet alapján a pénzügyi intézmények kötelesek jelenteni a jelentős IKT-eseményeket a hatóságoknak. A bejelentés módja és határideje a most publikált RTS és ITS előírásoknak megfelelően alakul. Ezek az új szabályok kiegészítik az uniós pénzügyi piac szabályozási keretét, amelynek célja a digitális reziliencia növelése és a kockázatok gyorsabb kezelése.
2024. évi LXIX. törvény szerinti bejelentés
Ezzel párhuzamosan a 2024. évi LXIX. törvény is előírja a jelentési kötelezettségeket, így a pénzügyi szervezeteknek és más érintett szereplőknek egyértelműen meg kell érteniük, hogy milyen esetekben és milyen hatóságokhoz kell bejelentést tenniük.
Több hatóságnak többféle jelentési kötelezettség
A helyzet bonyolódik, mivel egy adott esemény többféle jelentési kötelezettséget is maga után vonhat. Ha az adott incidens személyes adatokat is érint, akkor a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé is kötelező bejelentést tenni. Ez azt eredményezi, hogy egyetlen incidens kapcsán akár több különböző hatóság felé is jelentést kell tenni eltérő előírások szerint.
Mit jelent ez a pénzügyi szektor szereplői számára?
A pénzügyi intézmények számára kulcsfontosságú, hogy időben felkészüljenek az új jelentési kötelezettségekre. Érdemes:
Áttekinteni a DORA szerinti bejelentési követelményeket,
Felülvizsgálni a meglévő incidenskezelési és jelentési folyamataikat,
Kidolgozni egy hatékony belső rendszert a hatóságoknak történő bejelentések kezelésére,
Biztosítani az alkalmazottak megfelelő képzését a bejelentési kötelezettségekkel kapcsolatban.
Konklúzió
A DORA rendelet és a nemzeti szabályozások párhuzamos létezése komoly kihívást jelent a pénzügyi szektor számára, hiszen egy incidens esetén több hatóság felé is eltérő formátumban és határidővel kell bejelentéseket tenni. Az intézményeknek ezért proaktívan kell eljárniuk a megfelelés érdekében, hogy elkerüljék az esetleges jogi és pénzügyi következményeket.
További részletek a DORA rendelet jelentési kötelezettségeiről elérhetők az MNB hivatalos közleményében: MNB közlemény
Comments