A pénzügyi szervezetek ellen egyre fokozódó kibertámadások miatt és az ellenük folytatott védekezés összehangolása érdekében egységes törvényi szabályozást készít elő az Európai Bizottság. Ez módosítja majd a fintech cégekkel szembeni elvárásokat is.
Ahány tagország, annyiféle törvény szabályozza az Európai Unióban a pénzügyi szektorral összefüggő informatikai kockázatok kezelését. Ráadásul ezek sok esetben nehezen egyeztethetők össze, miközben egyre több pénzintézet kerül a kiberbűnözők célkeresztjébe. Sikeres támadás esetén nagy mennyiségű érzékeny pénzügyi és személyes adat kerülhet illetéktelenek kezébe.
A pénzintézeteknek tesztelniük kell majd az ellenállóképességüket
Brüsszel emiatt a jövőben közösségi szinten szeretné szabályozni az informatikai kockázatok és fenyegetettségek kezelését szolgáló szabályokat, illetve az azok elleni fellépést. Ebben játszhat fontos szerepet DORA, a digitális működési ellenállóképesség törvénye(Digital Operational Resilience Act), amely azt mutatja meg, hogy az egyes szervezetek mennyire képesek kivédeni a kibertérből érkező fenyegetettségeket.
Az új törvénytől átláthatóbb szabályozást és a törvényi megfeleléshez kapcsolódó adminisztrációs és pénzügyi terhek mérséklődését várják a törvényhozók. A DORA új informatikai biztonsági elvárásokat is megfogalmaz ugyanakkor.
A pénzintézeteknek szoftveres megoldásokkal kell rendszeresen tesztelniük a kiberbűnözőkkel szembeni ellenállóképességüket. Egyben ők maguk lesznek a felelősek a számukra technológiai megoldásokat vagy szolgáltatásokat biztosító harmadik felek – közérthetőbben a pénzügyi startupok, vagy más néven fintech cégek kockázatkezelésének a monitorozásáért is.
Jövőre fogadhatják el a törvényt
A végleges szabályozást várhatóan 2022-ben fogadhatják el, majd a tervek szerint egy tizenkét hónapos átmeneti időszak jön, hogy az érintettek felkészülhessenek a szabályok alkalmazására.
„A DORA két különálló részből állna. Az első a pénzügyi intézményekre, míg a második a pénzügyi intézmények számára harmadik félként technológiai szolgáltatásokat biztosító vállalatokra fókuszál. Figyelembe veszi egy pénzügyi intézmény méretét, tevékenységeit, valamint üzleti profilját, és ezeknek megfelelően határozza meg, milyen informatikai kockázatkezelés elvárásoknak kell megfelelni” – mondta el Szöllősi Zoltán, Deloitte IT kockázati tanácsadási csoportjának igazgatója.
A szabályozás a tagállamok felügyeleti szerveiből létrehoz egy közös EU-s szintű felügyeleti bizottságot, ennek lesz joga kinevezni egy-egy tagállami hatóságot. A pénzügyi intézményeknek technológiai szolgáltatásokat nyújtó harmadik feleknek hozzáférést kell majd biztosítaniuk a tagállami hatóság számára a megfelelőségi vizsgálat elvégzéséhez szükséges információkhoz.
Fintech cégek a DORA-ban
Mivel a fintech vállalatok száma és fontossága gyorsuló ütemben bővül, egyre inkább növekszik a klasszikus pénzintézetek kitettsége a nekik szolgáltatásokat nyújtó vállalatokat érintő fenyegetettségekkel szemben, ami magyarra lefordítva azt jelenti, hogy egyre gyakrabban éri kibertámadás a pénzintézeteket valamilyen külső szolgáltatón keresztül.
“A DORA jelentősen módosítani fogja a törvényhozói elvárásokat a fintech cégekkel szemben. A rájuk jellemző gyors növekedés miatt fontos lesz a DORA arányossági elve, amely a megfelelési elvárások rendszeres felülvizsgálatát teszi szükségessé” – tette hozzá Szöllősi Zoltán.
