Az Országgyűlés 2024. április 15-én fogadta el a DORA rendelet (Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról – DORA) végrehajtásának részletes szabályairól szóló új törvényt (törvény). Az alábbiakban összefoglaljuk a DORA és a törvény hatálya közötti főbb különbségeket.

A DORA hatálya általánosságban

A DORA egységes követelményeket állapít meg a pénzügyi szervezetek üzleti folyamatait támogató hálózati és információs rendszerek biztonságára vonatkozóan.

A pénzügyi szervezetek kötelesek az információs és kommunikációs technológiákhoz (IKT) kapcsolódó kockázatokat belső irányítási és kontrollkerettel kezelni; az IKT-vonatkozású eseményeket és kiberfenyegetéseket osztályozni és bejelenteni; a digitális működési reziliencia tesztelésére megbízható és átfogó programot kialakítani, fenntartani és felülvizsgálni; valamint a harmadik féltől eredő IKT-kockázatokat kezelni.

Összesen 20 típusú pénzügyi intézmény tartozik a DORA hatálya alá. Ezek közé tartoznak a hitelintézetek, pénzforgalmi intézmények, számlainformációkat összesítő szolgáltatók, elektronikuspénz-kibocsátó intézmények, befektetési vállalkozások, kriptoeszköz-szolgáltatók és eszközalapú tokenek kibocsátói, alternatívbefektetésialap-kezelők, alapkezelő társaságok, biztosítók és viszontbiztosítók, biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek, foglalkoztatói nyugellátást szolgáltató intézmények és hitelminősítő intézetek.

A törvény hatálya

A törvény kiterjeszti a DORA rendelet hatályát a fent felsorolt pénzügyi szervezeteken kívül az alábbi szervezetekre is:

  • valamennyi pénzügyi vállalkozás;
  • valamennyi tőzsde;
  • valamennyi biztosító és viszontbiztosító, függetlenül azok méretétől.

A pénzügyi vállalkozás egy vagy több pénzügyi szolgáltatást nyújt (pl. hitel és pénzkölcsön nyújtása, pénzügyi lízing, kezesség és garancia vállalása, pénzügyi szolgáltatás közvetítése, letéti szolgáltatás, széfszolgáltatás és követelésvásárlási tevékenység), fizetési rendszer működtetését végzi vagy pénzügyi holding társaságnak minősül. A legtöbb pénzügyi vállalkozásnak csak a DORA 16. cikkében előírt egyszerűsített IKT-kockázatkezelési keretrendszernek (azaz a Mini DORA-nak) kell megfelelnie. Azonban a fizetési rendszert működtető pénzügyi vállalkozásnak, a hitelintézettel egyenértékű prudenciális szabályozásnak megfelelő pénzügyi vállalkozásnak, valamint az olyan pénzügyi vállalkozásnak, amelyre az összevont alapú felügyelet kiterjed, meg kell felelniük a DORA 6. cikkében előírt teljes IKT kockázatkezelési-keretrendszernek.

A törvény további magyar sajátossága, hogy a DORA nem terjed ki az Magyar Fejlesztési Bankra (MFB) és a Magyar Export-Import Bankra (Eximbank).

A DORA és a NIS2 közötti összefüggés Magyarországon

A DORA 19. cikkében biztosított lehetőség alapján a törvény előírja, hogy a jelentős IKT-vonatkozású incidensnek a DORA szerinti illetékes hatóságnak történő bejelentésén túl a pénzügyi szervezetek kötelesek a NIS2 szerinti számítógép-biztonsági eseményekre reagáló csoportnál (computer security incident response team – CSIRT) is bejelentést tenni. A törvény azt is előírja pénzügyi szervezetek számára, hogy a jelentős kiberfenyegetések DORA szerinti illetékes hatóság részére történő önkéntes bejelentésekor értesítsék a CSIRT-et is a jelentős kiberfenyegetésekről. A gyakorlatban a magyar CSIRT a Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Központ.

Magyar Nemzeti Bank, DORA és TLPT Hatóság

A törvény a Magyar Nemzeti Bankot (MNB) jelöli ki a pénzügyi szervezetek DORA és a törvény szerinti megfelelésének, valamint a jelentős IKT-vonatkozású események és a jelentős kiberfenyegetések bejelentésének felügyeletére illetékes hatóságként. A jövőben az MNB várhatóan együttműködési megállapodást köt a CSIRT-tel és a NIS2 irányelv szerinti illetékes hatósággal (Szabályozott Tevékenységek Felügyeleti Hatósága – SZTFH) az információmegosztás megkönnyítése érdekében. Várhatóan az MNB kerül kijelölésre a DORA szerinti TLPT (fenyegetés alapú behatolási tesztelés – threat-led penetration testing) hatóságként is.

Következő lépések

A hivatalos kihirdetését követően a törvény 2025. január 17-én lép hatályba, a DORA alkalmazandóvá válásának időpontjához igazodva. A törvény elfogadott szövege ITT érhető el magyarul.

A törvényről, vagy vállalkozására gyakorolt lehetséges hatásairól további információkért forduljon a szerzőkhöz, Horváth Katalinhoz és Bálint Jánoshoz.