Tájékoztatás a DORA szerinti incidens bejelentési adatszolgáltatási felületre való regisztráció megkezdéséről

A 2022. december 27-én az EU Hivatalos Lapban megjelent, a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022/2554 számú rendelet előírásai alapján a DORA rendelet hatálya alá tartozó intézményeknek jelenteniük kell az felügyeleti hatóságuk felé a jelentős eseményeiket, valamint a jelentős fenyegetéseiket (önkéntes).

A Magyar Nemzeti Bank a DORA rendelet szerinti esemény és fenyegetés bejelentéséhez az ERA rendszeren belül egy új – tanúsítvány alapú – adatszolgáltató felületet hoz létre „DORA Incidens bejelentés” néven.

Az új ERA szolgáltatásra a regisztráció 2025. január 2. napjától lesz elérhető, melyhez részletes leírás az éles ERA rendszer súgójában (https://era.mnb.hu/ERA.WEB/contents/sugo) érhető el.

A DORA rendelet lehetőséget ad arra, hogy a rendelet által szabályozott felügyelt intézmények kiszervezhetik az incidens és fenyegetés bejelentési kötelezettségeket harmadik fél szolgáltatónak. Annak érdekében, hogy a harmadik fél szolgáltató képes legyen az incidensek és fenyegetések jelentésére más intézmény megbízásából, az intézmény meghatalmazásának rögzítésére/bejelentésére lesz szükség az új felületen. Ez a funkció az előregisztrációkor még nem lesz elérhető, de fontos, hogy a meghatalmazás rögzítésének előfeltétele lesz majd, hogy a meghatalmazni kívánt szervezet is rendelkezzen az új ERA szolgáltatásra vonatkozó regisztrációval, így ezen szolgáltatók esetében is fontos az ERA rendszeren belül a DORA incidens bejelentés felületre való regisztráció megvalósítása.

A szolgáltatás alatt elérhető menüpontok – küldő meghatalmazása, incidens/fenyegetettség bejelentése – valamint a kapcsolódó felhasználói kézikönyv majd csak a későbbiekben (legkésőbb 2025. január 17-én) válnak majd elérhetővé.

A DORA Incidens bejelentés ERA szolgáltatásra való regisztráció elvégzése a szolgáltatás élesítése előtt javasolt, annak érdekében, hogy 2025. január 17-re a szolgáltatás alkalmazásának határidejére már aktív hozzáféréssel rendelkezzen minden érintett intézmény és annak képviselője.

Következő lépések:

A rendeletnek a második csomagjához tartozó részletszabályok Bizottság általi elfogadása és a Hivatalos Lapban történő megjelenése.

A rendelet 2025. január 17-től kötelezően alkalmazandó, így az incidens és fenyegetés bejelentés felület használata is 2025. január 17-től kötelező a DORA által szabályozott intézmények számára.

Linkek:

ERA útmutatók elérhetősége:

https://era.mnb.hu/ERA.WEB/contents/sugo

Háttérinformáció:

EU Hivatalos lapja:

https://eur-lex.europa.eu/oj/direct-access.html?locale=hu

A DORA rendelet a pénzügyi szektorra vonatkozóan részletes előírásokat fogalmaz meg az IKT kockázatok kezelésére, az incidensek bejelentésére, harmadik fél IKT- szolgáltatók kezelésére és felvigyázói rendszerének kialakítására, illetve a fenyegetésalapú betörési tesztek (TLPT) keretrendszerére a pénzügyi szektorban.