Hatályba lépett az új uniós DORA-szabályozás is: Mit jelent ez a kriptocégekre nézve?
Január 17-én hatályba lépett a digitális működési rezilienciáról szóló rendelet. Ez mostantól a kriptovállalkozásokra is vonatkozik, kiterjesztve a MiCA hatályát. A szabályozás előírva a cégeknek a kiberbiztonság és a kockázatkezelés fokozását.
Az Európai Unióban a kriptovalutákkal foglalkozó vállalkozásokra új kiberbiztonsági szabályok vonatkoznak, mivel január 17-én hatályba lépett a DORA (Digital Operational Resilience Act) rendelet.
A DORA hatással van a régióban működő virtuális eszközszolgáltatók (VASP virtual asset service providers) kiberbiztonsági és rugalmassági gyakorlatára is.
A DORA-nak való megfelelés érdekében az EU-ban működő pénzügyi szervezeteknek átfogó nyilvántartást kell vezetniük a harmadik feles IT-szolgáltatókkal kötött szerződéses megállapodásaikról a biztonságos infrastruktúra és kockázatkezelés biztosítása érdekében.
Az új DORA-szabályozás tovább bővíti az EU kriptoeszközök piacáról szóló rendeletét (MiCA). Ennek célja a kibertámadásokhoz és informatikai meghibásodásokhoz hasonló zavarokkal szembeni ellenállóképesség javítása. Végső soron pedig a befektetők védelme és a piac integritásának erősítése.
A DORA jelentős hatással van a MiCA-engedéllyel rendelkező cégekre
Matt Sullivan, a MoonPay kriptoinfrastruktúrával foglalkozó cég általános jogtanácsosának helyettese és Írországért felelős vezetője szerint a DORA jelentős hatással van a MiCA-engedéllyel rendelkező kriptocégekre is.
„A MiCA alapján engedélyezett összes kriptoeszköz-szolgáltatóra vonatkoznak a DORA követelményei.” – nyilatkozta Sullivan.
A MoonPay, amely 2024. december 30-án biztosította be MiCA-engedélyét a holland pénzügyi piacért felelős hatóságnál, komoly erőfeszítéseket tett a DORA-megfelelőség fenntartásához szükséges jelentős mennyiségű, folyamatban lévő munka elvégzésére is.
„A belső csapatokat mozgósítottunk, hogy további feladatokat vállaljanak annak érdekében, hogy a szabályozásaink, eljárásaink és folyamataink folyamatosan megfeleljenek a DORA követelményeinek.” – tette hozzá Sullivan:
„A megtett intézkedések közé tartozik a harmadik féllel fennálló beszállítói kapcsolatok felülvizsgálata és frissítése. Összeállítottuk a DORA-nak megfelelő beszállítói nyilvántartást, valamint az információs rendszereinkre vonatkozó további dokumentációkat is előkészítettük.”
Mark Jennings, a Gemini kriptotőzsde európai vezetője szerint a DORA az EU azon erőfeszítéseinek egyik sarokköve, amelyek célja a pénzügyi szektor működési ellenállóképességének növelése az informatikai és kiberbiztonsággali kapcsolatos kockázatokkal szemben.
„A DORA-ra való felkészülés jegyében digitális működési rugalmassági stratégiát, és új kockázatkezelési keretrendszert vezettünk be. Egyúttal egyértelmű irányítási struktúrákat biztosítottunk, és bevált gyakorlatokat fogadtunk el szolgáltatásaink folyamatosságának, biztonságának és rugalmasságának biztosítása érdekében.” – tette hozzá.
A DORA a digitális eszközszolgáltatók mellett a bankokra is kötelező érvényű
A biztonság proaktív megközelítése és a DORA-val összhangban lévő kiberbiztonsági intézkedések kiépítése jelentős hatással lehet a kisebb szolgáltatókra. Különösen a DORA-nak való megfeleléshez korlátozott tőkével rendelkező induló vállalkozásokra. A DORA alkalmazásának egyik lehetséges eredménye lehet e szolgáltatók konszolidációja, hogy a lehető legjobb biztonsági gyakorlatok legyenek érvényben. Egyúttal megfeleljenek a DORA hatálya alá tartozó intézmények követelményeinek.
De természetesen nemcsak a kriptoszektor szereplőinek, hanem a mainstream pénzügyi szektor minden egyes szereplőjének is meg kell felelnie a DORA követelményeinek. A magyarországi bankok, biztosítók és pénzügyi szereplők sorra futtatták a tavalyi évben a felkészülési projekteket a DORA megfelelésre. Sok cég esetében a munka nem is ér itt véget. Hiszen a kiépített standardokat és folyamatokat fenn kell tartani és működtetni kell, hogy az MNB és a felügyeleti hatóságok által lefolytatott auditokon ne legyen semmi hiányosság, és ne kapjanak komoly pénzbüntetéseket a szabályok megszegése miatt
A DORA megfelelő alkalmazása tehát olyan dolgok biztosítását jelenti, mint a kiberbiztonság, a harmadik feles kockázatkezelés és az incidensekre adott válaszprotokollok.