Megjelent a DORA első négy végleges RTS-e az EU Hivatalos Lapjában

2024. június 25-én megjelent az EU Hivatalos Lapjában a DORA rendelet első négy szabályozástechnikai standardja (Regulatory Technical Standards, RTS).

Az alábbi végleges szabályozástechnikai standardokat tartalmazza az EU Hivatalos Lapja:

- A BIZOTTSÁG (EU) 2024/1774 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek az IKT-kockázatkezelési eszközöket, módszereket, folyamatokat és szabályzatokat, valamint az egyszerűsített IKT-kockázatkezelési keretrendszert meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről,

- A BIZOTTSÁG (EU) 2024/1772 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek az IKT-vonatkozású események és kiberfenyegetések osztályozására vonatkozó kritériumokat, a lényegességi küszöbértékeket és a jelentős eseményekkel kapcsolatos bejelentések részleteit meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről,

- BIZOTTSÁG (EU) 2024/1773 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a harmadik fél IKT-szolgáltatók által nyújtott, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokra vonatkozó szabályzat tartalmi elemeit meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről.

A BIZOTTSÁG (EU) 2024/1774 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek az IKT-kockázatkezelési eszközöket, módszereket, folyamatokat és szabályzatokat, valamint az egyszerűsített IKT-kockázatkezelési keretrendszert meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről:

· Az IKT kockázatkezelési keretrendszerről szóló RTS további, az IKT kockázatkezeléssel kapcsolatos elemeket határoz meg az eszközök, módszerek, folyamatok és szabályzatok harmonizálása céljából. Ezek kiegészítik a DORA-ban meghatározott előírásokat.

· Ezen RTS két szabályozástechnikai standardot is tartalmaz, mert a fentieken túl meghatározza az egyszerűsített keretrendszer hatálya alá tartozó, kisebb léptékű, kockázatú, méretű és összetettségű pénzügyi intézmények esetében is a kulcsfontosságú tényezőket, követelményeket. Az RTS biztosítja az IKT kockázatkezelési követelményeknek a különböző pénzügyi szektorok közötti harmonizációját.

A BIZOTTSÁG (EU) 2024/1772 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek az IKT-vonatkozású események és kiberfenyegetések osztályozására vonatkozó kritériumokat, a lényegességi küszöbértékeket és a jelentős eseményekkel kapcsolatos bejelentések részleteit meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről:

· Ezen RTS határozza meg az IKT-vonatkozású jelentős incidensek osztályozásának kritériumait, a jelentős incidensek osztályozásával kapcsolatos megközelítést, az egyes osztályozási kritériumok lényegességi küszöbértékeit, jelentős kiberfenyegetések meghatározására vonatkozó kritériumokat, illetve lényegességi küszöbértékeit. AZ RTS kitér arra is, hogy az illetékes hatóságok hogyan értékeljék az incidensek relevanciáját más tagállamok illetékes hatóságaira vonatkozóan, továbbá az e tekintetben megosztandó incidensek részleteit. Az RTS biztosítja az incidensjelentések osztályozásának a pénzügyi ágazaton belüli harmonizált folyamatát.

BIZOTTSÁG (EU) 2024/1773 FELHATALMAZÁSON ALAPULÓ RENDELETE (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a harmadik fél IKT-szolgáltatók által nyújtott, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokra vonatkozó szabályzat tartalmi elemeit meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről:

· Ezen RTS határozza meg az irányítási intézkedések, a kockázatkezelés és a belső ellenőrzési keretrendszer azon részeit, amelyeket a pénzügyi intézményeknek a kritikus vagy fontos funkciókat támogató harmadik fél IKT-szolgáltatók igénybevételével kapcsolatban alkalmazniuk kell. Célja annak biztosítása, hogy a pénzügyi intézmények ellenőrzésük alatt tartsák a működési kockázatokat, az információbiztonságot és az üzletmenet folytonosságot az ilyen harmadik fél IKT-szolgáltatókkal kötött szerződéses megállapodások teljes életciklusa alatt.

Következő lépések:

A rendeletnek a második csomagjához tartozó részletszabályokat az ESA-knak 2024. július 17-ig kell kidolgozniuk és átadniuk a Bizottság számára.

A rendelet és részletszabályai 2025. január 17-től kötelezően alkalmazandók.

Linkek:

Az EU Hivatalos Lapjának elérhetősége:

https://eur-lex.europa.eu/oj/daily-view/L-series/default.html?&ojDate=25062024

Háttérinformáció:

A pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022/2554 számú rendelet 2022. december 27-én jelent meg az EU Hivatalos lapjában.

A DORA rendelet a pénzügyi szektorral vonatkozóan részletes előírásokat fogalmaz meg az IKT kockázatok kezelésére, az incidensek bejelentésére, harmadik fél IKT- szolgáltatók kezelésére és felvigyázói rendszerének kialakítására, illetve a fenyegetésalapú betörési tesztek (TLPT) keretrendszerére a pénzügyi szektorban.