2025 januárja óta a digitális működési rezilienciáról szóló rendelet (DORA) teljes egészében hatályos. A bankok, biztosítók és befektetési vállalkozások számára ez új kötelezettségeket jelent a digitális reziliencia terén. A változások azonban nem csak a pénzügyi intézményeket érintik, hanem közvetlenül minden IT-beszállítót is, amely a pénzügyi szektort szolgálja ki. És ez nem valamiféle elvont, jövőbeli fenyegetés, hanem éppen most zajlik.
Mi az a DORA, és miért fontos ez Önnek
A DORA egy uniós rendelet, amely egységes keretrendszert vezet be az IKT-kockázatok kezelésére a pénzügyi szektorban. A korábbi irányelvekkel ellentétben a DORA kifejezetten a harmadik feleket is célba veszi (IT-beszállítók, felhőszolgáltatók és szoftverfejlesztők).
Ha az Ön cége bank vagy biztosító számára fejleszt szoftvert, a DORA Önre is vonatkozik. Egészen közvetlenül és konkrétan.
A tenderekben megjelenő követelmények
1. IKT-kockázatkezelés
A pénzügyi intézményeknek igazolniuk kell, hogy beszállítóik kialakították az IKT-kockázatkezelési folyamataikat. A gyakorlatban a tenderek immár olyan kérdéseket tartalmaznak, mint:
- Rendelkezik ISMS-sel (Information Security Management System)?
- Hogyan kezeli a patch managementet?
- Milyen folyamatai vannak a sérülékenységek kezelésére?
2. A digitális reziliencia tesztelése
A DORA megköveteli az IT-rendszerek rezilienciájának rendszeres tesztelését. A beszállítóknak fel kell készülniük a következőkre:
- Penetrációs tesztelés, beleértve a TLPT-t (Threat-Led Penetration Testing)
- Üzletmenet-folytonossági tesztelés
- Katasztrófa-helyreállítási forgatókönyvek
3. Incidensek jelentése
Az új IKT-incidensbejelentési rendszer azt jelenti, hogy a beszállítóknak világos folyamatokkal kell rendelkezniük a következőkhöz:
- Incidensek észlelése és osztályozása
- Az ügyfél eszkalálása és értesítése meghatározott határidőn belül
- Gyökérok-elemzések biztosítása
4. Harmadik felek kezelése
A pénzügyi intézményeknek nyilvántartást kell vezetniük az összes IKT-beszállítóról, és kritikusság szerint kell besorolniuk őket. Számítson a következőkre:
- Kiterjesztett átvilágítási (due diligence) kérdőívek
- Tanúsítási követelmények (ISO 27001, SOC 2)
- Az Ön rendszereinek és folyamatainak auditálásához való jog
- A beszállító teljesítményének rendszeres értékelése
5. Szerződéses követelmények
A DORA pontosan meghatározza, mit kell tartalmazniuk az IKT-beszállítókkal kötött szerződéseknek:
- SLA-k mérhető KPI-kkal
- Kilépési stratégiák és migrációs tervek
- Az együttműködés megszűnésekor fennálló kötelezettségek
Mit jelent ez a szlovák IT-cégek számára
Sok szlovák IT-cég szállít szoftvert pénzügyi intézményeknek, akár közvetlenül, akár nagyobb integrátorok alvállalkozójaként. A DORA mindenki számára magasabbra teszi a lécet az ellátási láncban.
Azok a cégek, amelyek időben felkészülnek a DORA-ra, gördülékenyebben tárgyalnak majd a bankokkal. Amelyek figyelmen kívül hagyják, azok akár egy tenderből tudhatják meg, hogy ajánlatuk nem felelt meg a feltételeknek.
Hogyan kezeljük ezt mi
A Rise.sk-nél szabályozott iparágakban működő ügyfeleknek fejlesztünk szoftvert, köztük a pénzügyi szektornak is. Tavaly segítettünk egy ügyfélnek végigmenni egy DORA-megfelelőségi auditon. A legnagyobb kihívás nem technikai jellegű volt. A folyamatok dokumentációja csak az emberek fejében létezett. Azóta a biztonsági dokumentáció nálunk minden projekt szokásos része.
Hogyan kezdjen hozzá
Ha IT-szolgáltatásokat nyújt a pénzügyi szektornak, és fel szeretne készülni a DORA-ra:
- Mérje fel a követelményeket, és azonosítsa, hogy a DORA mely részei vonatkoznak Önre
- Vezessen be ISMS-t. Ha még nincs, kezdje az ISO 27001-gyel
- Készítsen dokumentációt az incidenskezeléshez, a BCP-hez és a katasztrófa-helyreállításhoz
- Teszteljen rendszeresen penetrációs tesztekkel és rezilienciatesztekkel
Segítségre van szüksége DORA-követelményeknek megfelelő szoftver fejlesztéséhez? Lépjen kapcsolatba velünk, segítünk a biztonsági dokumentációban és a folyamatokban.