2025. február 20-án megjelentek az EU Hivatalos Lapjában DORA rendelet jelentős IKT-vonatkozású eseményekről szóló bejelentés, valamint a jelentős kiberfenyegetésekről szóló önkéntes értesítés végleges szabályait és űrlapjait tartalmazó szabályozástechnikai (Regulatory Technical Standards, RTS) és végrehajtástechnikai (Implementing Technical Standards, ITS) standardjai.
Az alábbi végleges szabályozástechnikai és végrehajtástechnikai standardokat tartalmazza az EU Hivatalos Lapja:
- A Bizottság (EU) 2025/301 felhatalmazáson alapuló rendelete (2024. október 23.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású eseményekről szóló kezdeti értesítés, időközi jelentés és zárójelentés tartalmát és határidejét, valamint a jelentős kiberfenyegetésekről szóló önkéntes értesítés tartalmát meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről
- A Bizottság (EU) 2025/302 végrehajtási rendelete (2024. október 23.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású esemény pénzügyi szervezetek általi bejelentésére és a jelentős kiberfenyegetésről szóló, pénzügyi szervezetek által benyújtandó értesítésre szolgáló szabványos űrlapok, sablonok és eljárások tekintetében történő alkalmazására vonatkozó végrehajtás-technikai standardok megállapításáról
A Bizottság (EU) 2025/301 felhatalmazáson alapuló rendelete (2024. október 23.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású eseményekről szóló kezdeti értesítés, időközi jelentés és zárójelentés tartalmát és határidejét, valamint a jelentős kiberfenyegetésekről szóló önkéntes értesítés tartalmát meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről:
Jelen RTS meghatározza a jelentős IKT-vonatkozású eseményekről szóló kezdeti értesítésben, valamint az időközi jelentésben és a zárójelentés keretében benyújtandó általános, valamint incidens specifikus információk körét. A pénzügyi szervezeteket érintő indokolatlan jelentéstételi teher elkerülése érdekében az IKT-vonatkozású esemény kezelése során, a kezdeti értesítés tartalmát a leglényegesebb információkra kell korlátozni.
Az RTS meghatározza továbbá a kezdeti értesítés, az időközi jelentés és a zárójelentés benyújtási határidejét. Az értesítési és bejelentési követelmények harmonizálása és egyszerűsítése érdekében a jelentős IKT-vonatkozású események bejelentésére alkalmazandó határidőknek következetes megközelítést kell alkalmazniuk a pénzügyi szervezetek valamennyi típusa esetében. Ezek kiegészítik a DORA-ban meghatározott előírásokat.
A Bizottság (EU) 2025/302 végrehajtási rendelete (2024. október 23.) az (EU)2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású esemény pénzügyi szervezetek általi bejelentésére és a jelentős kiberfenyegetésről szóló, pénzügyi szervezetek által benyújtandó értesítésre szolgáló szabványos űrlapok, sablonok és eljárások tekintetében történő alkalmazására vonatkozó végrehajtás-technikai standardok megállapításáról:
Az ITS meghatározza az incidens és fenyegetések során alkalmazandó egységes adatszolgáltatási sablont annak érdekében, hogy a pénzügyi szervezetek következetesen számoljanak be a jelentős eseményekről illetékes hatóságaiknak, és jó minőségű adatokat bocsássanak a hatóságok rendelkezésére. Az ITS kitér a különböző jelentéstételi formák (kezdeti értesítés, az időközi jelentés és a zárójelentés közös benyújtása, ismétlődő IKT-vonatkozású események, jelentős IKT-vonatkozású események átcsoportosítása, jelentéstételi kötelezettségek kiszervezéséről szóló értesítés, összesített jelentéstétel) szabályaira. Az ITS meghatározza továbbá, hogy a pénzügyi szervezetek az illetékes hatóságuk által rendelkezésre bocsátott biztonságos elektronikus csatornákat használják a kezdeti értesítés, valamint az időközi jelentés és a zárójelentés benyújtásához. Az ITS jelentős kiberfenyegetésekről szóló értesítés vonatkozásában is meghatározza a jelentéstételi sablont, adatjegyzéket és útmutatót.
Következő lépés: Az RST és ITS 2025. március 12-én lép hatályba.
Linkek:
Az EU Hivatalos Lapjának elérhetősége:
Háttérinformáció:
A pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022/2554 számú rendelet 2022. december 27-én jelent meg az EU Hivatalos lapjában.
A DORA rendelet a pénzügyi szektorral vonatkozóan részletes előírásokat fogalmaz meg az IKT kockázatok kezelésére, az incidensek bejelentésére, harmadik fél IKT- szolgáltatók kezelésére és felvigyázói rendszerének kialakítására, illetve a fenyegetésalapú betörési tesztek (TLPT) keretrendszerére a pénzügyi szektorban.