DORA megfelelés 2025
Penetrációs teszt és sérülékenységvizsgálat – a DORA alapkövetelményei
DORA szabályozás és biztonsági tesztek
A DORA egyértelműen kimondja: a kiberbiztonság nem pusztán dokumentáció és szabályzatok kérdése.
Valós kibertámadásokhoz hasonló körülmények között kell tesztelni az informatikai rendszereket, hogy kiderüljön, mennyire képesek ellenállni a fenyegetéseknek, támadásoknak.
EU‑s kötelezettségek – DORA rendelet
Az (EU) 2022/2554 rendelet (DORA) a digitális működési reziliencia keretét határozza meg. A IV. fejezet 25. cikke szerint minden olyan pénzügyi szervezetnek, amely nem minősül mikrovállalkozásnak, átfogó tesztelési programot kell működtetnie, amelybe beletartoznak sérülékenységi értékelések és ellenőrzések, nyílt forrású elemzések, hálózatbiztonsági értékelések, eltéréselemzések, fizikai biztonsági felülvizsgálatok, valamint behatolási (penetrációs) tesztelés is. E programnak kockázatalapú megközelítést kell követnie; a tesztek fontosságát a szervezet kockázati profilja, a szolgáltatások kritikussága és az egyéb releváns tényezők szerint kell meghatározni.
A DORA rendelet szerint a sérülékenységvizsgálatok és alap penetrációs tesztek a pénzügyi szervezetek digitális reziliencia programjának kötelező részei; a mikrovállalkozások rugalmasabb, kockázatalapú megközelítést alkalmazhatnak.
Az MNB ajánlás előírja a sérülékenységvizsgálatok és az internet felől elérhető alkalmazások penetrációs tesztjeinek minimális gyakoriságát (évente vagy negyedévente), ezek tehát kötelező feladatok. A nem internet‑elérhető, de kritikus rendszerek penetrációs tesztje ajánlott.
Így a pénzügyi intézmények számára a sérülékenységvizsgálat és a penetrációs tesztelés általánosságban kötelező; a tesztek módszere és gyakorisága a kockázatokkal arányosan választható, és a fejlettebb, fenyegetés‑alapú tesztelés csak bizonyos, nagyobb intézmények esetében kötelező.
Magyar felügyeleti elvárások – MNB ajánlás
Az MNB 1/2025. (I. 13.) számú ajánlása részletesebben szabályozza, milyen gyakran kell ezeket a vizsgálatokat elvégezni a magyarországi pénzügyi intézményeknél. A 13.1.4 e) pont előírja, hogy a belső és elkülönített hálózati zónák rendszereinek sérülékenységvizsgálatait legalább évente, a bankkártya‑rendszerek, webes ügyfélkiszolgáló rendszerek, mobilalkalmazások és az azokat kiszolgáló rendszerek vizsgálatait pedig negyedévente meg kell ismételni. A kritikus hibákat azonnal, a nem kritikus hibákat pedig a kockázattal arányosan kell javítani.
A 13.1.4 f) pont szerint az internet felől elérhető alkalmazások penetrációs tesztjét a kockázatként azonosított hibák kijavítása után, az üzembe állítás előtt vagy bármely biztonságot érintő változtatáskor, majd legkésőbb évente meg kell ismételni. A nem internetes, de kritikus adatot kezelő rendszerek esetében a penetrációs teszt ajánlott, és az ajánlás 4.4.8. pontja alapján a módosított rendszerek éles bevezetése előtt biztonsági teszteket kell végezni.
Az ajánlás nem írja elő, milyen típusú vizsgálatot kell alkalmazni; az intézmény választhat automatizált vagy manuális sérülékenységvizsgálatot, illetve white‑box, grey‑box vagy black‑box penetrációs tesztet a kockázatokkal arányosan.
Penetrációs teszt és sérülékenységvizsgálat – a DORA alapkövetelményei
A DORA megfelelés egyik kulcsa a rendszeres biztonsági tesztelés, melyben két szolgáltatás játszik kiemelt szerepet:
SÉRÜLÉKENYSÉGVIZSGÁLAT:
Etikus hacker szakember automatizált és manuális eszközökkel feltárja a rendszer gyenge pontjait.
Prioritási sorrendet ad a javításokhoz, így minimalizálható a támadási felület és a biztonsági kockázatok.
PENETRÁCIÓS TESZTELÉS:
Etikus hacker szakember egy valódi támadó bőrébe bújva teszteli a rendszer biztonságát.
Feltárja nemcsak a technikai hibákat, hanem a folyamatok és reagálási képességek hiányosságait is.
A DORA megfelelés nem csak kötelezettség, hanem üzleti versenyelőny is lehet.
Ne várjon az utolsó pillanatig – kezdje el időben a felkészülést!
Vegye fel velünk a kapcsolatot és segítünk felkészíteni cégét a DORA megfelelésre!