(EU) 2022/2554 RENDELET - ALKALMAZANDÓ 2025. JANUÁR 17. ÓTA

Az Ön DORA-megfelelősége,
dokumentálva és védhetően

A pénzügyi szektor digitális működési rezilienciájáról szóló európai rendelet (DORA) a pénzügyi szervezetek - és begyűrűző hatásként IKT-szolgáltatóik - számára átfogó szerződésnyilvántartást, pontos szerződéses záradékokat és keltezett auditbizonyítékokat ír elő. A SYAGA DORA-Express segít Önnek rögtönzés nélkül megfelelni ezeknek a követelményeknek, akár pénzügyi szervezet, akár szolgáltató.

01.17
Alkalmazandó 2025 óta
21
Érintett szervezeti kategória (2. cikk)
4 óra
Súlyos incidens bejelentési határideje
19
Már kijelölt kritikus IKT-szolgáltató

A szabályozási háttér

A DORA rendelet, nem irányelv: közvetlenül alkalmazandó minden tagállamban, nemzeti átültető törvényre való várakozás nélkül.

A DORA 2025. január 17. óta közvetlenül alkalmazandó

A 2022. december 14-i (EU) 2022/2554 rendelet, amelyet 2022. december 27-én tettek közzé az EU Hivatalos Lapjában, 2023. január 16-án lépett hatályba, és 2025. január 17. óta alkalmazandó. Nincs szükség nemzeti átültetésre: közvetlenül érvényesíthető.

📋

Átfogó IKT-nyilvántartás szükséges (28. cikk (3) bek.)

Minden pénzügyi szervezetnek naprakészen kell tartania és évente be kell nyújtania a hatóságoknak IKT-szerződéseinek teljes nyilvántartását: szolgáltató, a szolgáltatás jellege, a funkció kritikussága, az adatok tárolási országa.

📄

Szerződéseinek pontos záradékokat kell tartalmazniuk (30. cikk)

Audit- és ellenőrzési jogok, az adatok elérhetőségére és sértetlenségére vonatkozó garanciák, tesztelt kilépési tervek, késedelem nélküli incidensbejelentés. Ezek a záradékok az Ön pénzügyi ügyfelétől Ön felé áramlanak, ha Ön az IKT-szolgáltatója.

📧

A due diligence kérdőív már ott van a postafiókjában

Egy szerződés aláírása vagy megújítása előtt egy bank, biztosító vagy befektető kiberbiztonsági kérdőívet küld (kormányzás, MFA, EDR, titkosítás, tudatosítás). Ha dokumentált bizonyíték nélkül válaszol rá, elveszítheti a szerződést.

A 2025. november 18-i kiváltó esemény

Felhőszolgáltatóit hivatalosan „kritikusnak” minősítették

2025. november 18-19-én az európai felügyeleti hatóságok (EBA, ESMA, EIOPA) közzétették a DORA 32. cikke szerinti kritikus IKT-szolgáltatók első hivatalos listáját. A hivatalos közlemények által megerősített nevek között szerepel: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (és további 14 szolgáltató, amelyeket forrásaink névvel nem erősítettek meg).

Konkrét következmény: ha kritikus szolgáltatásai ezen szolgáltatók valamelyikére épülnek, pénzügyi ügyfele mostantól köteles ezt dokumentálni IKT-nyilvántartásában - és megkérdezheti Öntől saját alvállalkozói láncáról.

Forrás: az EIOPA és az ESMA 2025. november 18-19-i hivatalos közleményei (eiopa.europa.eu, esma.europa.eu).

A megoldásunk: DORA-Express

Egy 5 lépésből álló strukturált támogatás megfelelősége dokumentálásához - anélkül, hogy olyasmit ígérnénk, amit sem egy eszköz, sem egy tanácsadó cég nem tanúsíthat Ön helyett.

1
1. lépés - Minősítés

Azonosítjuk az Ön valós kitettségét

Közvetlenül érintett pénzügyi szervezet-e Ön (a 2. cikk 21 kategóriájának egyike), vagy közvetve érintett IKT-szolgáltató pénzügyi ügyfelei szerződéses záradékain keresztül (30. cikk)? A pontos hatókör határozza meg a többit.

2
2. lépés - Due diligence

Válasz az Ön kiberbiztonsági kérdőívére

Megválaszoljuk banki, befektetői vagy biztosítói due diligence kérdőívét (kormányzás, MFA, EDR, titkosítás, tudatosítás...), az Ön Microsoft 365 bérlőjének technikai auditjára támaszkodva, mint keltezett és ellenőrizhető bizonyítékra.

3
3. lépés - Nyilvántartás és szerződések

IKT-nyilvántartás és 30. cikk szerinti záradékok

Segítünk strukturálni IKT-szerződéseinek nyilvántartását (28. cikk (3) bek.), valamint ellenőrizni vagy beépíteni a 30. cikk szerinti minimális és megerősített szerződéses záradékokat szolgáltatói szerződéseibe.

4
4. lépés - Folytonosság és reziliencia

Üzletmenet-folytonossági terv (BCP/DRP) pénzügyi ágazati profil

PRA/PCA csomagunk egy pénzügyi ágazati profilt (DORA, PSD2, ACPR) kínál, amely lefedi a DORA IV. fejezete szerinti működési rezilienciatesztelési követelményeket, az ISO 22301-hez igazítva.

5
5. lépés - Átadás

Egy dokumentált megfelelőségi dosszié

Egy összesített dosszié átadása vezetésének, IT-biztonsági vezetőjének vagy pénzügyi igazgatójának, a pontos kérdésekkel, amelyeket jogi tanácsadójának kell eldöntenie, mielőtt bármilyen közlést tenne a hatóságok felé.

Amit Ön kap

Konkrét, forrásolt szállítandók, olyan tanúsítási ígéret nélkül, amit senki sem garantálhat

📝

Kiberbiztonsági due diligence válaszok

10 tipikus banki / M&A due diligence kérdés, dokumentálva és forrásolva (ILPA DDQ, CSA CAIQ, kiberbiztosítói kérdőívek).

  • Biztonsági szabályzat / elismert keretrendszer
  • MFA, legkisebb jogosultság elve, kiemelt jogosultságú fiókok
  • M365 licenc, EDR / threat hunting
  • Örökölt protokollok, lemeztitkosítás
  • Tudatosítási program
📄

DORA referencialap

Az (EU) 2022/2554 rendelet forrásolt összefoglalója.

  • Hatókör: 21 szervezeti kategória (2. cikk)
  • 5 kötelezettségi terület
  • Bejelentési határidők (4 óra / 72 óra / 1 hónap)
  • Kapcsolódás a NIS2-höz (lex specialis)
📋

IKT-nyilvántartás (28. cikk (3) bek. szerinti sablon)

A hatóságok által megkövetelt átfogó nyilvántartás struktúrája.

  • Szolgáltató és a szolgáltatás jellege
  • A támogatott funkció kritikussága
  • Az adatok tárolási országa
  • Éves benyújtásra kész formátum
🔐

Szerződéses záradékok (30. cikk szerinti sablon)

IKT-szolgáltatói szerződéseibe beépítendő vagy ellenőrizendő.

  • Minimális záradékok (minden szerződés)
  • Megerősített záradékok (kritikus funkciók)
  • Audit- és ellenőrzési jogok
  • Kilépési tervek és adatkinyerhetőség
🏗

BCP/DRP pénzügyi profil

Üzletmenet-folytonossági és helyreállítási terv, dedikált ágazati profillal.

  • A DORA IV. fejezetének lefedése (rezilienciatesztek)
  • ISO 22301-hez igazítva
  • DORA / PSD2 / ACPR ágazati profil
  • A meglévő PRA/PCA csomagunkból származik
💾

Dokumentált megfelelőségi dosszié

PDF és DOCX formátumban, az összes szállítandót összesítve.

  • Vezetése / IT-biztonsági vezetője / pénzügyi igazgatója számára kész
  • Az ügyvédje által jóváhagyandó pontok jelölve
  • Alap az ACPR / AMF (francia hatóságok) felé történő kommunikációhoz
  • Szerkeszthető az éves frissítéshez

Egy példa: a banki due diligence kérdőív

Részlet a 10 kérdésből, amelyeket Ön helyett dokumentálunk, minden kérdés forrásával

Téma Kérdés Forrás
Kormányzás Az Ön biztonsági szabályzata elismert keretrendszerre épül (NIST, ISO 27001)? ILPA DDQ 2.0
Külső audit Végez éves független auditot és behatolási teszteket? CSA CAIQ v4
Incidensterv Létezik formális, dokumentált és karbantartott incidensreagálási terv? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Mely szolgáltatásokhoz írja elő a többfaktoros hitelesítést? Travelers - MFA Supplement
Kiemelt jogosultságú fiókok A hozzáférések a legkisebb jogosultság elvét követik, és rendszeresen felülvizsgálják őket? CSA CAIQ v4 IAM
E-mail Milyen M365 licencet használ? Aktív a Defender / fejlett threat hunting? vCSO.ai Cyber DD Checklist
Titkosítás A végpontok lemezei teljes mértékben titkosítottak? Google VSAQ
Képzés Van biztonsági tudatosítási program minden munkatárs számára? CSA CAIQ v4 HRS

Lefedett jogszabályok és keretrendszerek

Minden szállítandó kifejezetten jelzi, mit fed le - és mit nem

DO

DORA ((EU) 2022/2554 rendelet)

IKT-nyilvántartás (28. cikk), szerződéses záradékok (30. cikk), bejelentési határidők (19. cikk), hivatkozás a kijelölt kritikus IKT-szolgáltatókra (32. cikk).

N2

NIS2 - kapcsolódás a DORA-hoz

A DORA a NIS2-höz képest lex specialis a pénzügyi szektor számára: az érintett szervezetek a DORA-t alkalmazzák az egyenértékű NIS2-intézkedések helyett.

ISO

ISO 22301 - üzletmenet-folytonosság

A pénzügyi PRA/PCA profil az ISO 22301-hez igazodik, amely az üzletmenet-folytonosság- menedzsment keretrendszere, a DORA kiegészítéseként használva.

RG

GDPR - külön bejelentés

A DORA szerinti incidensbejelentés (ACPR/AMF, francia hatóságok) elkülönül a GDPR szerinti bejelentéstől (CNIL, francia hatóság) személyes adatok megsértése esetén: mindkettő egyszerre is szükséges lehet.

Az Ön helyzetéhez igazított támogatás

Minden DORA-dosszié más az Ön státusza szerint - minden esetben személyre szabott árajánlat

IKT-szolgáltató

Ön egy vagy több pénzügyi szervezetnek nyújt szolgáltatásokat

Árajánlat
hatókör szerint
  • Kiberbiztonsági due diligence válasz
  • IKT-nyilvántartás szolgáltatói oldalról
  • 30. cikk szerinti záradékok átnézése
  • Benyújtásra kész dokumentált dosszié
Ajánlatkérés

Éves nyomon követés

A dosszié rendszeres frissítése (kötelezettségek, szerződések, nyilvántartás)

Árajánlat
ismétlődő
  • Az IKT-nyilvántartás frissítése
  • Szerződéses záradékok éves felülvizsgálata
  • Figyelés a kijelölt kritikus szolgáltatókról
  • Támogatás az ügyfelei due diligence-eihez
Ajánlatkérés

Gyakran ismételt kérdések

Vállalatom a DORA hatálya alá tartozó pénzügyi szervezet?
A DORA 2. cikke 21 pénzügyi szervezeti kategóriát sorol fel: hitel- és pénzforgalmi intézmények, befektetési vállalkozások, MiCA szerint engedélyezett kriptoeszköz-szolgáltatók, biztosítás és viszontbiztosítás, alapkezelés, hitelminősítő intézetek és mások. A mikrovállalkozások (10 fő alatt, 2 millió eurónál kisebb árbevétel vagy mérlegfőösszeg) bizonyos kötelezettségek terén arányossági kedvezményben részesülnek, de nem teljesen kizártak. Eseti alapon egy jogi tanácsadóval kell ellenőrizni.
Nem vagyok bank, miért érint mégis a DORA?
Ha IKT-szolgáltatásokat (informatika, felhő, szoftver, tárhely) nyújt egy pénzügyi szervezetnek, a 30. cikk kötelezi ügyfelét arra, hogy felvegye Önt a nyilvántartásába, és szerződésben pontos záradékokat írjon elő Önnek: audit jogok, késedelem nélküli incidensbejelentés, kilépési tervek. Ezek a kötelezettségek az ügyfele szerződésén keresztül érvényesülnek, nem a hatóság közvetlen felügyelete révén - kivéve, ha Önt magát kritikus IKT-szolgáltatóként jelölik ki (31. cikk).
Mik a súlyos IKT-incidens bejelentési határidői?
19. cikk: kezdeti bejelentés a súlyos incidensként történő besorolástól számított 4 órán belül (legfeljebb 24 órával az észlelés után), köztes jelentés 72 órán belül, végleges jelentés 1 hónapon belül. Ezek a bejelentések elkülönülnek egy esetleges GDPR szerinti bejelentéstől a CNIL (francia adatvédelmi hatóság) felé, személyes adatok megsértése esetén.
Mi az a „kritikus IKT-szolgáltató”?
Ezek olyan szolgáltatók, amelyeket az európai felügyeleti hatóságok (EBA, ESMA, EIOPA) kifejezetten kijelölnek rendszerszintű hatás, helyettesíthetőség és függőség kritériumai alapján (31. cikk). Az első hivatalos lista, amelyet 2025. november 18-19-én tettek közzé, 19 szolgáltatót tartalmaz. Ők közvetlen felügyelet alá tartoznak (ellenőrzések, kiterjesztett jelentéstétel); a többi IKT-szolgáltatót csak pénzügyi ügyfeleik szerződéses záradékai szabályozzák.
A DORA felváltja a NIS2-t az én ágazatomban?
Igen, a 2. cikk szerinti pénzügyi szervezetek esetében: a DORA lex specialisnak minősül a NIS2-höz képest a pénzügyi szektorban. Az érintett 21 kategória a DORA-t alkalmazza az egyenértékű NIS2-intézkedések helyett a kockázatkezelés és az incidensbejelentés terén.
Ez a szolgáltatás jogi tanácsnak minősül?
Nem. A DORA-Express egy dokumentációs támogató eszköz, nem jogi tanács. Az Ön szervezetének a DORA hatálya alá tartozását és szerződéseinek jogi megfelelőségét egy szakosodott ügyvédnek kell jóváhagynia, mielőtt bármilyen kötelező érvényű döntés születne.

Készen áll a DORA-megfelelősége dokumentálására?

Vegye fel velünk a kapcsolatot, hogy státusza szerint (pénzügyi szervezet vagy IKT-szolgáltató) személyre szabott árajánlatot kapjon.

A DORA-Express egy dokumentációs támogató eszköz, és nem minősül jogi tanácsnak. Az Ön szervezetének a DORA hatálya alá tartozását, valamint szerződései és nyilvántartásai jogi érvényességét egy szakosodott ügyvédnek kell megerősítenie.

Jogszabályi figyelés - hivatalos források

A DORA egyszerűen elmagyarázva, jogi szakzsargon nélkül. Az alábbi minden pont a megerősítő hivatalos szöveghez vezet.

Kit érint?

A DORA az európai pénzügyi szereplőkre vonatkozik: bankok, biztosítók, befektetési társaságok, piaci platformok, alapkezelők, fizetési szolgáltatók... valamint informatikai szolgáltatóikra. A nagyon kis szervezetek könnyített szabályokban részesülnek.

hivatalos forrás (EUR-Lex) ↗

Amit a DORA a gyakorlatban megkövetel

A rendelet 6 fő területet fed le: az informatikai kockázatkezelés, a külső szolgáltatók felügyelete, rendszeres ellenálló képességi tesztek, a súlyos incidensek jelentése, a fenyegetésekkel kapcsolatos információk megosztása, és a legnagyobb informatikai szolgáltatók felügyelete.

hivatalos forrás (EIOPA) ↗

A megjegyzendő dátumok

A szöveget 2022. december 14-én fogadták el, 2022. december 27-én tették közzé az EU Hivatalos Lapjában (HL L 333). 2023. január 16-án lépett hatályba. A kötelezettségek ténylegesen 2025. január 17. óta érvényesek.

forrás: EUR-Lex ↗ · forrás: ESMA ↗

Az Ön informatikai szolgáltatóit is felügyelik

A pénzügyi szektor számára „kritikusnak” minősített legnagyobb informatikai szolgáltatókat (felhő, tárhely...) mostantól közvetlenül európai szinten ellenőrzik, egy vezető felügyelővel, amely intézkedéseket írhat elő számukra.

hivatalos forrás (EIOPA) ↗

Végre harmonizált incidensbejelentés

A DORA előtt minden uniós ország saját szabályokkal rendelkezett egy súlyos informatikai incidens bejelentésére. Mostantól egységes európai eljárás vonatkozik: a súlyos incidenseket közvetlenül az illetékes hatóságoknak jelentik be.

forrás: EUR-Lex ↗

És a szankciók?

A szöveg előírja, hogy a hatóságok tegyék közzé az általuk kiszabott közigazgatási szankciókat. A bírságok pontos összegei a jelenleg vizsgált forrásokban nincsenek rögzítve - a hivatalos pontosítások alapján kell megerősíteni.

forrás: EUR-Lex (97. preambulumbekezdés) ↗