Mi a DORA?
A digitális működési rezilienciáról szóló rendelet – ismert nevén DORA – az (EU) 2022/2554 rendelet, amelyet az Európai Parlament és a Tanács 2022. december 14-én fogadott el. Az EU 2022. december 27-én tette közzé a Hivatalos Lapban. 2023. január 16-án lépett hatályba, és 2025. január 17-től teljes mértékben alkalmazandó.
A DORA egy konkrét hiányosságot kezel az uniós pénzügyi szabályozásban. A DORA előtt a pénzügyi intézmények elsősorban tőke elkülönítésével kezelték a működési kockázatot. Ez a megközelítés azonban nem fedte le megfelelően az IKT-vel kapcsolatos zavarokat, amelyek egyszerre érinthetnek számos intézményt, amikor egy közös technológiai szolgáltató meghibásodik. Ezért a DORA egységes keretrendszert vezet be az EU-ban az IKT-kockázatkezelésre, az incidensek bejelentésére, a működési reziliencia tesztelésére, valamint a harmadik fél technológiai szolgáltatóinak felügyeletére.
Kinek kell megfelelnie a DORA-nak?
A DORA két fő szervezetcsoportra vonatkozik, amelyek információs és kommunikációs technológiai (IKT) szolgáltatásokban vesznek részt a pénzügyi szektorban.
Az első csoport a pénzügyi szervezetek. Ezek közé tartoznak a hitelintézetek, fizetési intézmények, elektronikuspénz-kibocsátó intézmények, befektetési vállalkozások, biztosító és viszontbiztosító vállalkozások, kriptoeszköz-szolgáltatók, központi értéktárak, központi szerződő felek és kereskedési helyszínek, többek között a rendelet 2. cikkében felsoroltak.
A második csoport az IKT harmadik fél szolgáltatók – olyan vállalatok, amelyek technológiai szolgáltatásokat nyújtanak pénzügyi szervezeteknek. Ebbe a csoportba tartoznak a felhőalapú számítástechnikai szolgáltatók, szoftverfejlesztők, adatelemző cégek, kiberbiztonsági vállalatok, adatközpont-szolgáltatók és bármely más szolgáltató, amelynek szolgáltatásai támogatják egy szabályozott pénzügyi intézmény működését.
Fontos, hogy a DORA az EU-n kívül székhellyel rendelkező IKT-szolgáltatókra is vonatkozik. Ha egy Egyesült Államokban, Egyesült Királyságban vagy Ázsiában működő technológiai vállalat szolgáltatásokat nyújt uniós szabályozás alá tartozó pénzügyi intézményeknek, a DORA vonatkozik erre a kapcsolatra.
A LEI-követelmény a DORA keretében
A DORA megköveteli a pénzügyi szervezetektől, hogy részletes információs nyilvántartást vezessenek az összes IKT harmadik fél szolgáltatójukról. Az (EU) 2024/2956 bizottsági végrehajtási rendelet, amelyet 2024. december 2-án tettek közzé, meghatározza a nyilvántartás szabványos sablonjait.
A végrehajtási rendelet 3. cikkének (5) bekezdése közvetlenül kimondja:
„A pénzügyi szervezetek kötelesek érvényes és aktív jogalany-azonosítót (LEI) vagy az (EU) 2017/1132 irányelv 16. cikkében említett európai egyedi azonosítót (EUID) használni, és amennyiben rendelkezésre áll, mindkét azonosítót, valamennyi, jogi személynek minősülő IKT harmadik fél szolgáltatójuk azonosítására, kivéve az üzleti minőségben eljáró magánszemélyeket.”
Más szóval, minden olyan IKT harmadik fél szolgáltatónak, amely jogi személy, azonosíthatónak kell lennie érvényes és aktív LEI vagy EUID segítségével. Mindkettőnek aktuálisnak kell lennie. A lejárt vagy inaktív LEI nem felel meg ennek a követelménynek.
LEI vagy EUID – melyik vonatkozik Önre?
Mindkét azonosító megfelel a DORA követelményeinek, de különböző helyzetekre vonatkoznak. A különbség megértése segít a helyes választásban.
A LEI (Legal Entity Identifier – jogi személyazonosító) egy globálisan elismert, 20 karakterből álló alfanumerikus kód, amely az ISO 17442 szabványon alapul. A Global Legal Entity Identifier Foundation (GLEIF) irányítja a globális LEI-rendszert, és minden LEI-adatot nyilvánosan elérhetővé tesz a globális LEI-indexben. A LEI több mint 200 joghatóságban működő jogi személyekre vonatkozik, és tulajdonosi és irányítási adatokat is tartalmaz.
Az EUID (European Unique Identifier – európai egyedi azonosító) az EU cégjegyzék-összekapcsolási rendszeréhez (BRIS) kapcsolódik. Mivel kizárólag uniós nemzeti nyilvántartásokhoz kapcsolódik, csak az EU-tagállamokban bejegyzett szervezetekre vonatkozik.
Itt a végrehajtási rendelet kritikus megkülönböztetést tesz: az EU-n kívül székhellyel rendelkező IKT-szolgáltatókat kizárólag LEI használatával kell azonosítani. Az EUID egyszerűen nem érhető el nem uniós szervezetek számára. Ennek eredményeként a LEI az egyetlen érvényes azonosító minden EU-n kívülről működő szolgáltató számára.
Az EU-ban székhellyel rendelkező szolgáltatók esetében bármelyik azonosító megfelelő. Azonban globális működés vagy nem uniós kitettséggel rendelkező szolgáltatók esetében a LEI az erősebb választás nemzetközi elismertsége és szélesebb adatlefedettsége miatt.
Mit jelent a „valid és aktív” a gyakorlatban?
A végrehajtási rendelet kifejezetten érvényes és aktív LEI-t követel meg. Ez a GLEIF globális adatbázisában megjelenő státuszra vonatkozik.
Az „Issued” (Kibocsátott) státuszú LEI érvényes és aktív, ezért megfelel a DORA-nak. Az „Lapsed” (Lejárt) státuszú LEI érvényessége lejárt, és következésképpen nem felel meg a követelménynek. A pénzügyi szervezetek nem rögzíthetnek lejárt LEI-t megfelelő azonosítóként az Információs Nyilvántartásukban.
A LEI a kibocsátás vagy az utolsó megújítás dátumától számított egy évig marad érvényben. Ezt követően a tulajdonosnak meg kell újítania az aktív státusz fenntartása érdekében. A megújítás során a kibocsátó szervezet újra ellenőrzi a szervezet referenciaadatait – beleértve a jogi nevet, bejegyzett címet és tulajdonosi struktúrát – a hivatalos nyilvántartási források alapján. Ez a folyamat biztosítja, hogy a globális LEI-adatbázisban lévő adatok pontosak és aktuálisak maradjanak.
Bármely LEI státuszát ellenőrizheti a GLEIF LEI keresőeszközével vagy az LEI System keresőjén keresztül.
Miért a LEI a gyakorlati szabvány a DORA-megfeleléshez
A DORA szabályozói azért választották a LEI-t, mert olyan problémát old meg, amelyet egyetlen nemzeti azonosító sem tud: a jogi személyek következetes, határokon átnyúló azonosítását egyetlen globálisan elismert formátumban.
A nemzeti cégjegyzékszámok jelentősen eltérnek az országok között, nem mindig géppel olvashatók, és egyáltalán nem fedik le a nem uniós szervezeteket. A LEI ezzel szemben egyetlen következetes kódot biztosít bármely jogi személy számára, függetlenül attól, hogy hol van bejegyezve. Ráadásul, mivel a LEI-adatok nyilvánosan elérhetők és ellenőrizhetők, a pénzügyi intézmények azonnal ellenőrizhetik a szolgáltató adatait dokumentumok kérése nélkül.
A különböző országokban számos IKT-beszállítót kezelő pénzügyi intézmények számára ez a szabványosítás jelentősen csökkenti a DORA-megfelelés adminisztratív összetettségét. Egyetlen LEI-lekérdezés ellenőrzött információkat szolgáltat a szolgáltató jogi nevéről, bejegyzési adatairól és tulajdonosi struktúrájáról – amelyek mindegyike közvetlenül releváns a DORA harmadik fél kockázatkezelési kötelezettségeire.
Az IKT-szolgáltatók számára az érvényes LEI birtoklása egyszerűvé teszi a pénzügyi intézményi ügyfelek számára, hogy helyesen szerepeltessék őket DORA-nyilvántartásukban. Az érvényes LEI-vel nem rendelkező szolgáltatók viszont megfelelési hiányosságokat okoznak ügyfeleik számára, és ezért kockáztatják az üzleti kapcsolat károsodását. A GLEIF további kontextust nyújt arról, hogyan támogatja ezt a LEI a LEI szabályozási felhasználásáról szóló áttekintésében.
Mit kell tenniük az IKT-szolgáltatóknak most
Ellenőrizze, hogy rendelkezik-e érvényes LEI-vel. Ha IKT-szolgáltatásokat nyújt bármely uniós szabályozás alá tartozó pénzügyi intézménynek, ügyfelének azonosítania kell Önt a DORA információs nyilvántartásában. Vegye fel velük a kapcsolatot annak megerősítése érdekében, hogy rögzítették-e LEI-jét, és hogy az jelenleg aktív-e.
Regisztráljon LEI-t, ha még nem rendelkezik ilyennel. A folyamat teljesen digitális, és a legtöbb joghatóság esetében 24 órán belül befejeződik. Meg kell adnia vállalata jogi nevét, bejegyzett címét és cégjegyzékszámát. A legtöbb esetben a rendszer automatikusan ellenőrzi ezeket az adatokat a hivatalos cégjegyzékekkel szemben. A LEI System akkreditált GLEIF regisztrációs ügynök. Kezdje el LEI-regisztrációját még ma.
Újítsa meg LEI-jét, ha lejárt. A lejárt LEI-t meg kell újítani, mielőtt ügyfelei felhasználhatnák azt egy DORA nyilvántartásban. A megújítás visszaállítja az „Issued” (Kibocsátott) státuszt, és újra érvényesíti cége referenciaadatait. Az LEI-jét gyorsan megújíthatja az LEI Systemen keresztül.
Tartsa naprakészen LEI-adatait. Ha vállalata neve, bejegyzett címe vagy tulajdonosi struktúrája megváltozott, ennek megfelelően frissítse LEI-referenciaadatait. Az elavult LEI-adatok megfelelési bonyodalmakat okoznak pénzügyi intézményi ügyfelei számára, amikor benyújtják nyilvántartásukat a nemzeti hatóságokhoz.
A DORA a tágabb uniós szabályozás kontextusában
A DORA nem elszigetelten működik. Más uniós rendeletek mellett helyezkedik el, amelyek szintén a LEI-t használják szabványos azonosítóként jogi személyek számára, beleértve a MiFID II tranzakciójelentést, az EMIR származtatott ügyletek jelentését és az uniós azonnali fizetési rendeletet. A tranzakciójelentéshez már LEI-t használó pénzügyi szervezetek számára a DORA ezért inkább további dimenziót jelent, mint teljesen új rendszert.
Ráadásul a DORA közvetlenül kapcsolódik a kiberbiztonsági NIS2 irányelvhez ((EU) 2022/2555 irányelv). A DORA ágazatspecifikus jogszabályként működik a NIS2 keretében a pénzügyi szervezetek számára. Bővebben olvashat a NIS2-ről és a LEI-ről az oldalon található NIS2 és LEI cikkben. A LEI uniós pénzügyi szabályozásban való működésének átfogóbb áttekintéséhez lásd: Hogyan működik a LEI a gyakorlatban az EU-ban.
DORA és LEI – kulcsfontosságú tények egy pillantásra
Mi a DORA? Az (EU) 2022/2554 rendelet a pénzügyi szektor digitális működési rezilienciájáról.
Mikor vált alkalmazandóvá a DORA? 2025. január 17.
Kinek kell megfelelnie? Az uniós pénzügyi szervezeteknek és IKT harmadik fél szolgáltatóiknak, beleértve az uniós pénzügyi intézményeket kiszolgáló nem uniós szolgáltatókat is.
Mit követel meg a DORA az IKT-szolgáltatók azonosításához? Érvényes és aktív LEI-t vagy EUID-t, az (EU) 2024/2956 bizottsági végrehajtási rendeletben meghatározottak szerint.
Melyik azonosító vonatkozik a nem uniós IKT-szolgáltatókra? Kizárólag LEI. Az EUID csak az EU-ban bejegyzett szervezetekre vonatkozik.
Milyen LEI-státusz felel meg a DORA-nak? Csak „Issued” (Kibocsátott). A „Lapsed” (Lejárt) LEI nem felel meg a követelménynek.
Hol regisztrálhatok vagy újíthatok meg LEI-t? Akkreditált GLEIF regisztrációs ügynökön keresztül, mint például a LEI System.