Érdekességek, Hírek

DORA RENDELET: KIK AZOK AZ IKT SZOLGÁLTATÓK? (4. RÉSZ)

A cikksorozat előző két részében azzal foglalkoztunk, hogy a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA rendelet) pontosan kikre is fog vonatkozni. Ebben a részben befejezzük ezt a témát az utolsó nagy érintetti körrel, amely nincs olyan pontosan körülírva a rendeletben, mint a nevesített pénzügyi szervezetek.

Az előző részekben nevesített pénzügyi szolgáltatókon túl a rendelet egy elég tág kört is érint, ezek az IKT, azaz az információs és kommunikációs technológiák szolgáltatói. A jogalkotói elképzelés érthető, hiszen a harmadik félnek minősülő IKT szolgáltatók által nyújtott digitális és adatszolgáltatások potenciális gyenge pontként jelenhetnek meg információbiztonsági szempontból, ezért célszerű őket is bevonni a DORA rendelet hatálya alá.

DORA rendelet: Kik azok az IKT szolgáltatók?

Arra talán nem is kell külön kitérni, manapság elképzelhetetlen, hogy egy pénzügyi szervezet ne vegyen igénybe ilyen külső szolgáltatókat. A külső szolgáltatók alatt elsősorban a felhőszolgáltatókat kell érteni. A rendelet megfogalmazása szerint:

„HARMADIK FÉLNEK MINŐSÜLŐ IKT-SZOLGÁLTATÓK:

Digitális és adatszolgáltatásokat nyújtó vállalkozás, többek között a felhőszolgáltató, a szoftverszolgáltató, az adatelemzési szolgáltatást nyújtó és az adatközpont, kivéve a hardverösszetevő szállítóját, valamint az uniós jog szerint engedélyezett olyan vállalkozást, amely az (EU) 2018/1972 európai parlamenti és tanácsi irányelv 2. cikkének 4. pontjában meghatározott elektronikus hírközlési szolgáltatást nyújt;”

A megfogalmazás annyi támpontot ad, hogy példálózó jelleggel megemlít bizonyos szolgáltatásokat (felhőszolgáltatás, szoftver szolgáltatás, adatelemzés és adatközpont), amik egyértelműen ebbe a körbe tartoznak. Tehát egy pénzügyi szervet által használt felhős file megosztás, vagy egyéb szolgáltatás mindenképpen a jogszabálya alanya lesz.

A meghatározás kivételként említi a hardver beszállítót, akire ilyen szempontból nem vonatkozik a DORA.  A kivételeknél fent hivatkozott uniós irányelv ide sorolja tovább az internet szolgáltatókat, a gépek közötti jelátvitel szolgáltatásokat és a személyközi hírközlési szolgáltatásokat, akik szintén nem lesznek alanyai a rendeletnek.

Az IKT szolgáltatók definíciója mellett meg kell ismerkednünk egy újabb fogalommal is, ez pedig a harmadik félnek minősülő kulcsfontosságú IKT-szolgáltató, akire több és szigorúbb szabályok vonatkoznak.

KULCSFONTOSSÁGÚ SZOLGÁLTATÓK A DORA RENDELETBEN

Az európai felügyeleti hatóságok (EFH-k) a DORA rendeletben meghatározott kritériumok alapján, egy külön szervezet (felvigyázási fórum) ajánlása alapján döntenek arról, mely szolgáltatók tartoznak ebbe a körbe. Az alábbi szempontok alapján minősül valaki kulcsfontosságú szolgáltatónak:

1. A rendszerszintű hatás vizsgálata alapján, amely a pénzügyi szervezetek részére nyújtott szolgáltatás folytonosságára vonatkozik egy üzemzavar esetén (figyelembe véve a szolgáltatást igénybe vevő pénzügyi szervezetek számát). Rendszerszintű a hatás, ha a szolgáltató szolgáltatásait jelentős intézmények vagy jelentős számú intézmény veszi igénybe, illetve, ha ezen intézmények kölcsönös függése jelentős (akkor is, ha ezen intézmények más pénzügyi szervezetek részére nyújtanak infrastrukturális szolgáltatást).

2. A nyújtott szolgáltatás kulcsfontosságú vagy lényeges funkció kapcsán merül fel, akkor is, ha nem közvetlenül, hanem közvetetten veszi igénybe azt a pénzügyi szervezet.

3. A helyettesíthetőség a piaci viszonyok miatt nem lehetséges, vagy nehéz (kevés szolgáltató vagy speciális technológia), vagy szolgáltató szervezeti felépítése, esetleg egyedi tevékenysége miatt problémás, illetve az adatok vagy a munkamennyiség miatt másik szolgáltatóhoz történő migrálás nehézségekbe ütközik (ez lehet magas költség vagy a migrálás magas kockázata).

4. A tagállamok száma, ahol a szolgáltató szolgáltatást nyújt.

5. A tagállamok száma, ahol az adott szolgáltató szolgáltatásait igénybe vevő pénzügyi szervezetek tevékenységet folytatnak.

ÖSSZEGZÉS

Mint a fentiekből is látszik, kulcsfontosságú jelzőt azok a szereplők kapnak majd, akik uniós szinten is nagyobb szolgáltatónak minősülnek.

A feltételrendszer még biztosan alakulni fog, maga a DORA rendelet is lehetőséget biztosít a Bizottság részére, hogy a feltételrendszert kiegészítse.

A kulcsfontosságú szolgáltatók listája mindenki számára elérhető lesz és arra is van lehetőség, hogy ezen körbe felvételüket kérjék azok, akik egyébként nem szerepelnek benne.

E körben érdemes megemlíteni, hogy a rendelet a harmadik félnek minősülő IKT szolgáltatókra is kiterjeszti a felvigyázási keretet, illetve egy másik új intézménnyel, a vezető felvigyázóval is meg kell majd ismerkedni (a vezető felvigyázó hatáskörének, feladatának bemutatására egy külön cikket rendelünk majd).

(A sorozat következő részében a DORA rendelethez kapcsolódó kockázatkezeléssel foglalkozunk.)

Beszélgessünk!

Tegye fel kérdéseit szakértőinknek!

Tanácsadás

FORTIX Consulting Kft.
Székhely: 1114 Budapest, Magyari István utca 2.
Fsz. 4.

Iroda: 1061 Budapest, Liszt Ferenc tér 2. 4. em. 1.
hello@fortix.hu

Dr. Simon Norbert
+36 30 255 7866
norbert.simon@fortix.hu

Hírlevél
Maradjunk kapcsolatban! Naprakész iparági hírek, izgalmas cikkek, hetente.
Az év Családbarát vállalata 2023Opten A MinősítésAz év Családbarát vállalata 2023Innovatív márka 2023
Fortix facebookFortix LinkedinFortix youtube
Copyright © FORTIX Consulting Kft.