Digitális működési reziliencia rendelet

Innen: Hungaropédia
Ugrás a navigációhozUgrás a kereséshez

A digitális működési rezilienciáról szóló rendelet (angolul Digital Operational Resilience Act, rövidítve DORA), hivatalos nevén (EU) 2022/2554 rendelet egy európai uniós rendelet[1][2], amely arra kötelezi a pénzügyi szervezeteket, hogy javítsák digitális működési ellenálló képességüket.

Célja

A DORA célja, hogy javítsa az Európai Unióban működő pénzügyi szervezetek és IKT-beszállítóik digitális működési ellenálló képességét, és egységes szabályozási keretet hozzon létre az egész Európai Unióban annak érdekében, hogy a pénzügyi ágazat teljes értékláncában csökkentse a kiberfenyegetésekkel szembeni érzékenységet. A DORA emellett harmonizálni kívánja a pénzügyi ágazat informatikai rendszereinek biztonságára vonatkozó nemzeti szabályozásokat, ezáltal az európai pénzügyi piac egészét erősítve a kiberkockázatokkal és az információs és kommunikációs technológiai incidensekkel szemben.

Hatálya

A rendelet a pénzügyi szervezetekre és az IKT-szolgáltatások harmadik féltől származó szolgáltatóira vonatkozik. A 2. cikk a következőképpen határozza meg a pénzügyi szervezeteket:

  • hitelintézetek
  • pénzforgalmi intézmények
  • számlainformációkat összesítő szolgáltatók
  • elektronikuspénz-kibocsátó intézmények
  • befektetési vállalkozások
  • kriptoeszköz-szolgáltatók, valamint az eszközalapú tokenek kibocsátói
  • központi értéktárak
  • központi szerződő felek
  • kereskedési helyszínek
  • kereskedési adattárak
  • alternatívbefektetésialap-kezelők
  • alapkezelő társaságok
  • adatszolgáltatók
  • biztosítók és viszontbiztosítók
  • biztosításközvetítők, viszontbiztosítás-közvetítők és a kiegészítő biztosításközvetítői tevékenységet végző személyek
  • foglalkoztatói nyugellátást szolgáltató intézmények
  • hitelminősítő intézetek
  • kritikus referenciamutatók kezelői
  • közösségi finanszírozási szolgáltatók
  • értékpapírosítási adattárak
  • harmadik fél IKT-szolgáltatók

A rendelet kifejezetten nem alkalmazható a következőkre:

  • a 2011/61/EU irányelv 3. cikkének (2) bekezdésében említett alternatívbefektetésialap-kezelők
  • a 2009/138/EK irányelv 4. cikkében említett biztosítók és viszontbiztosítók
  • olyan nyugdíjkonstrukciókat működtető foglalkoztatói nyugellátást szolgáltató intézmények, amely nyugdíjkonstrukciók összesen nem rendelkeznek tizenötnél több taggal
  • a 2014/65/EU irányelv 2. és 3. cikke alapján mentességet élvező természetes vagy jogi személyek
  • mikrovállalkozásnak vagy kis- vagy középvállalkozásnak minősülő biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek
  • a 2013/36/EU irányelv 2. cikke (5) bekezdésének 3. pontjában említett postai elszámolóközpontok

Arányossági elv

A 4. cikk meghatározza az arányosság elvét, ami néhány kivételt eredményez a kisebb vállalkozások számára, amelyek méretük ellenére a rendelet hatálya alá tartoznak. Ez lehetővé teszi egyes követelmények egyszerűsített végrehajtását a vállalkozás általános kockázati profiljának megfelelően. Erre példa a 16. cikk szerinti egyszerűsített IKT kockázatkezelési keretrendszer egy szabályozástechnikai standarddal (RTS) kombinálva.

Szerkezete

A rendelet 64 cikkből áll, amelyek 9 fejezetre oszlanak:

  • Általános rendelkezések (1–4. cikk)
  • IKT-kockázatkezelés (5–16. cikk)
  • Az IKT-vonatkozású események kezelése, osztályozása és bejelentése (17–23. cikk)
  • A digitális működési reziliencia tesztelése (24–27. cikk)
  • A harmadik féltől eredő IKT-kockázat kezelése (28–44. cikk)
  • Információmegosztásra vonatkozó megállapodások (45. cikk)
  • Illetékes hatóságok (46–56. cikk)
  • Felhatalmazáson alapuló jogi aktusok (57. cikk)
  • Átmeneti és záró rendelkezések (58–64. cikk)

Ezenkívül az Európai Felügyeleti Hatóságok szabályozástechnikai standardokat (regulatory technical standard, rövidítve RTS) és végrehajtás-technikai standardokat (implementing technical standard, rövidítve ITS) dolgoznak ki, amelyek az Európai Unió Hivatalos Lapjában való közzétételükkel jogilag is kötelező erejűvé válnak:

Típus Tárgy DORA-hivatkozás Bevezetve Állapot
RTS IKT-kockázatkezelési keretrendszer 15. cikk A Bizottság (EU) 2024/1774 felhatalmazáson alapuló rendelete Hatályos
RTS Egyszerűsített IKT-kockázatkezelési keretrendszer 16. cikk (3) A Bizottság (EU) 2024/1774 felhatalmazáson alapuló rendelete Hatályos
RTS Az IKT-vonatkozású események és a kiberfenyegetések osztályozása 18. cikk (3) A Bizottság (EU) 2024/1772 felhatalmazáson alapuló rendelete Hatályos
RTS Jelentős IKT-vonatkozású eseményekre vonatkozó jelentések tartalma 20. cikk (a) Elfogadva 2024. október 23-án, a Hivatalos Lapban való közzétételre vár
ITS Pénzügyi szervezetek számára létrehozott, jelentős IKT-vonatkozású esemény bejelentésére szolgáló szabványos űrlapok, sablonok és eljárások 20. cikk (b) 2024. július 17-én közzétett végleges tervezet
RTS Fenyegetés alapú behatolási tesztelés 26. cikk (11) 2024. július 17-én közzétett végleges tervezet
ITS Információ-nyilvántartás céljából létrehozott mintadokumentumok 28. cikk (9) A Bizottság által 2024. szeptember 3-án elutasított tervezet
RTS Harmadik fél IKT-szolgáltatók által nyújtott, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételére vonatkozó szabályzat (harmadik fél szabályzat) 28. cikk (10) A Bizottság (EU) 2024/1773 felhatalmazáson alapuló rendelete Hatályos
RTS Kritikus vagy fontos funkciókat támogató IKT-szolgáltatások alvállalkozásba adásakor meghatározandó elemek 30. cikk (5) 2024. július 26-án közzétett végleges tervezet
Iránymutatások Az EFH-k és az illetékes hatóságok között folytatandó együttműködés a felügyeleti keretrendszer felépítésére vonatkozóan 32. cikk (7) Közzétéve 2024 november 6-án
RTS A felvigyázási tevékenységek végzését lehetővé tevő előfeltételek harmonizálása 41. cikk Elfogadva 2024. október 24-én, a Hivatalos Lapban való közzétételre vár

Hatása

A DORA hatással lesz a nyugdíjrendszerekre is. A 15-nél több, de 100-nál kevesebb taggal rendelkező nyugdíjrendszerekre egyszerűsített IKT-kockázatkezelési keretrendszer vonatkozik majd.[3]

Jegyzetek

  1. Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 9781787784536 
  2. Rodenburg-Luitse, Willemijn: EU neemt met Dora baanbrekende it-wetgeving aan (nl-NL nyelven). Computable.nl , 2023. január 25. (Hozzáférés: 2024. május 21.)
  3. Exploring DORA's Impact on Pension Schemes (English nyelven). Mason Hayes Curran . (Hozzáférés: 2024. december 12.)

Fordítás

Ez a szócikk részben vagy egészben a Digital Operational Resilience Act című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Külső hivatkozások

A lap eredeti címe: „https://hungaropedia.org/index.php?title=Digitális_működési_reziliencia_rendelet&oldid=125491