EU DORA: kikre vonatkozik és mely eszközök segítenek
A DORA az EU pénzügyi szektorra vonatkozó digitális működési reziliencia-szabályozása. Az alábbiakban: mit követel meg valójában folyamatos jelleggel, egy gyors ellenőrzés, hogy vonatkozik-e Önre, és független áttekintés a megfelelést támogató eszközökről.
A DORA 2025. január 17. óta alkalmazandó. Ez nem egyszeri határidő: az információs nyilvántartást évente be kell nyújtani a felügyeleti hatósághoz, és 2026 az első teljes körű végrehajtási ciklus, amelyben a hatóságok keresztellenőrzik ezeket a beadványokat. Magyarországon a DORA felügyeletét a Magyar Nemzeti Bank (MNB) látja el.
A fontos dátumok
Vonatkozik Önre a DORA?
Két kérdés, tájékoztató jellegű válasz. Nem minősül jogi tanácsadásnak.
DORA megfelelést támogató eszközök
A DORA megfelelést általában ugyanúgy kezelik, mint a NIS2-t vagy az ISO 27001-et: egy platform, amely tartalmazza az IKT-kockázati keretrendszert, a bizonyítékokat, az incidensnapló-bejegyzéseket és a harmadik fél nyilvántartást. Az alábbi eszközök ezt támogatják; az utolsó kifejezetten az éves információs nyilvántartásra összpontosít.
| Eszköz | DORA-támogatás | Legjobb megoldás | Részletek |
|---|---|---|---|
| Vanta US | Dedikált DORA-termék: automatizált tesztek, előre beépített DORA-szabályzatok és ISO 27001, SOC 2 vagy NIS2 munkából újrafelhasznált bizonyítékok | Más keretrendszereket már automatizáló fintech cégek és IKT-szolgáltatók | Megnézem → |
| Drata US | Előre beépített DORA keretrendszer IKT-kockázatkezelési modullal és harmadik fél kockázatmonitoringgal, leképezve a meglévő kontrollokra | Pénzügyi entitások, amelyek a DORA-t meglévő kontrolljaik mellé kívánják leképezni | Megnézem → |
| Sprinto US/IN | A szabályozásban újonnan eligazodó fintech és közepes méretű entitásoknak szóló DORA keretrendszer, kontroll-leképezéssel és folyamatos monitoringgal | Kisebb fintech cégek és fizetési intézmények, amelyek nulláról kezdik a DORA teljesítését | Megnézem → |
| Secureframe US | DORA a támogatott keretrendszerek listáján, kontroll-leképezéssel és folyamatos szállítómonitoring-funkcióval | Csapatok, amelyek már platformon futtatják a SOC 2-t vagy az ISO 27001-et | Megnézem → |
| ISMS.online UK | Dedikált DORA-keretrendszer megoldás incidensnapló-funkcióval és ISO 27001-DORA leképezéssel | Szervezetek, amelyek a megfelelést dokumentált ISMS formájában kezelik | Megnézem → |
| Vendorica EU | DORA-natív eszköz, amely az információs nyilvántartásra és az IKT harmadik fél nyilvántartásra összpontosít; hasznos, ha a nyilvántartás benyújtása jelenti a fő kihívást | Entitások, amelyek fő hiányossága az éves információs nyilvántartás elkészítése | Megnézem → |
Szerkesztői nyilatkozat: egyes hivatkozások affiliate linkek. Ha ezeken keresztül vásárol, jutalékot kaphatunk, Önnek semmilyen extra költség nélkül. Értékelésünk és sorrendünk független a kereskedelmi kapcsolatoktól.
Gyakran ismételt kérdések
Kikre vonatkozik a DORA?
Mintegy 22 000 uniós pénzügyi entitásra, körülbelül 20 különböző típusban (bankok, biztosítók, befektetési vállalkozások, pénzforgalmi és elektronikuspénz-intézmények, kriptoeszköz-szolgáltatók, alapkezelők), és közvetve az őket kiszolgáló IKT harmadik fél szolgáltatókra. A kritikus IKT harmadik felek közvetlen uniós felügyelet alá is tartoznak.
Mik a szankciók?
A hatóságok pénzügyi entitásokra a teljes éves globális forgalom legfeljebb 2 százalékáig terjedő bírságot szabhatnak ki, kritikus IKT harmadik fél szolgáltatókra napi szinten az átlagos napi globális forgalom legfeljebb 1 százalékáig, az egyéni vezető tisztségviselők pedig személyesen is felelőssé tehetők legfeljebb 1 millió EUR erejéig.
Mi az információs nyilvántartás?
Az IKT harmadik fél szolgáltatókkal kötött összes szerződéses megállapodás strukturált listája, amelyet évente be kell nyújtani a nemzeti felügyeleti hatósághoz. Ez az egyik legkonkrétabb és legrendszeresebben visszatérő DORA-teljesítési kötelezettség, és gyakori oka annak, hogy szervezetek dedikált eszközt szereznek be.
Már teljesítjük az ISO 27001-et vagy a NIS2-t. Nulláról kell kezdenünk?
Nem. A DORA nagymértékben átfed az ISO 27001-gyel és a NIS2-vel az IKT-kockázatkezelés és az incidenskezelés terén. A legtöbb megfelelési platform lehetővé teszi a meglévő kontrollok és bizonyítékok újrafelhasználását és DORA-ra való leképezését, így a pluszmunka a DORA-specifikus területekre korlátozódik, mint a rezilienciatesztelés és az információs nyilvántartás.
Túl kicsik vagyunk ahhoz, hogy a DORA számottevő legyen?
A DORA arányossági elvet alkalmaz, ezért a kisebb entitások egyszerűsített IKT-kockázatkezelési keretrendszert követnek a teljes rendszer helyett. A szabályozás azonban így is vonatkozik rájuk. A mikrovállalkozások kapják a legkönnyebb változatot, de a nyilvántartási és incidensjelentési kötelezettségek megmaradnak.
A NIS2 is vonatkozik Önre? Tekintse meg fő eszközösszehasonlításunkat →
Ez az oldal gyakorlati útmutató, nem jogi tanácsadás.