Sebastien Rousseau

FELHŐNATÍV BANKOLÁS 2026

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség

A DORA felhős ellenállóképessége auditfázisban van. A 2024-2025 során meghozott platformmérnökségi döntéseket vizsgálja a 2026-os felügyeleti ciklus: a Kubernetes kikövezett utak, a Backstage portál, a GitOps, az Open Policy Agent a beengedésnél, az OpenTelemetry végponttól végpontig, amelyek a 8. cikk szerinti nyilvántartási bizonyítékot telepítési műtermékként állítják elő, nem a vizsga idején.

14 min read
Banner for: A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség

A DORA felhős ellenállóképessége auditfázisban van. A 2024-2025 során meghozott platformmérnökségi döntéseket vizsgálja a 2026-os felügyeleti ciklus: a Kubernetes kikövezett utak, a Backstage portál, a GitOps, az Open Policy Agent a beengedésnél, az OpenTelemetry végponttól végpontig, amelyek a 8. cikk szerinti nyilvántartási bizonyítékot telepítési műtermékként állítják elő, nem a vizsga idején.

A felhőnatív bankolás 2026-ban a DORA auditfázisában van. A Rendelet (EU) 2022/2554 ⧉ 2025. január 17. óta hatályban van. A kritikus harmadik feles szolgáltatók (CTPP) kijelölési rezsimje a 28-44. cikkek alapján 2025-2026 folyamán nyílt meg, az AWS, a Microsoft (Azure), a Google (GCP) és a Salesforce a kijelölési perimeteren belül vagy annak közelében helyezkedik el. Az európai felügyeleti hatóságok (EBA, EIOPA, ESMA) 2024-ben tették közzé a végleges RTS-t és ITS-t az Információs nyilvántartásról ⧉. Az EKB bankfelügyeleti csapatának kifejezett programjai vannak a felhőszolgáltatás-kiesésre való felkészültségről és a fenyegetésalapú behatolástesztelésről a 2026-28-as felügyeleti prioritásokban ⧉. Az intézményi kérdés nem az, hogy hozzá kell-e igazítani a felhőstratégiát a DORA-hoz, ez eldőlt, hanem az, hogy az intézmény platformmérnökségi alapelemei a telepítési folyamat sebességével állítanak-e elő bizonyítékot, ahelyett hogy a vizsga előtti héten összeállított PDF-ekben tennék.


Vezetői összefoglaló / Legfontosabb tanulságok

  • A DORA felhős ellenállóképessége 2025. január 17. óta aktív végrehajtás alatt áll. A 6., 8., 18., 26. és 28-44. cikkek mind hatályban vannak. Az első vizsgahullám felügyeleti megállapításai 2025 negyedik negyedévében érkeztek meg. A "felkészülés" keretezése két felügyeleti ciklussal elavult.
  • A CTPP kijelölési rezsim megnyílik. AWS, Microsoft, Google, Salesforce: a perimeteren belül vagy annak közelében. A kijelölés az ESA-k számára közvetlen felügyeleti jogokat ad, ideértve az információkéréseket, a helyszíni ellenőrzéseket és a felügyeleti ajánlásokat.
  • A platformmérnökség a teljesítendő eredmény. Kubernetes kikövezett utak (EKS / AKS / GKE / OpenShift), Backstage-stílusú fejlesztői portál, GitOps (ArgoCD vagy Flux), Open Policy Agent a beengedésnél, OpenTelemetry végponttól végpontig. Öt megnevezett alapelem; bármelyik hiánya megállapítás.
  • A szuverén felhő mérnöki munka, nem márka. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud: mindegyik egy adott Schrems II + DORA 28. cikk dimenziót kezel; egyik sem kulcsrakész válasz.
  • Tesztelt kiléptetési bizonyíték szükséges. EBA/GL/2019/02 81. és 113-117. bekezdés. A negyedéves asztali gyakorlat nem elegendő; a felügyeletek éves, végponttól végpontig tartó kiléptetés-végrehajtási tesztelést várnak minden kritikus vagy fontos funkcióra.
  • Az RTO / RPO a CIF-leltárból származik. 1. szint: 2h / 15 perc. 2. szint: 4h / 1h. 3. szint: 24h / 4h. Az üzletihatás-elemzésből származtatva, nem a platformcsapat kapacitásából.

Miért van auditfázisban a DORA felhős ellenállóképessége

Három ok, amiért a "felkészülés" keretezése rossz 2026-ban.

Először is, az idővonal. A DORA-t 2022 decemberében tették közzé. A 24 hónapos alkalmazási időszak 2025. január 17-én zárult le. Az ESA-k végleges RTS-e és ITS-e, ideértve a CTPP kijelöléshez használt információs nyilvántartásról szóló ITS-t, 2024 folyamán jelent meg. Az első felügyeleti vizsgahullám 2025 során zajlott; a 6. cikk szerinti ICT kockázatkezelési keretrendszer teljességéről és a 8. cikk szerinti nyilvántartás egyeztetéséről szóló megállapítások 2025 negyedik negyedévében érkeztek meg több első vonalbeli intézménynél.

Másodszor, a CTPP kijelölési rezsim. A 31. cikk határozza meg a kritikus harmadik feles szolgáltatóként való kijelölés kritériumait: rendszerszintű hatás meghibásodás esetén, a nyújtott szolgáltatások kritikussága, a szolgáltatások mérete és összetettsége, helyettesíthetőség. Az ESA-k vezetik a nyilvántartást és teszik közzé a kijelölési döntéseket. Az AWS, a Microsoft (Azure), a Google (GCP) és a Salesforce a kijelölési perimeteren belül vagy annak közelében van, a pénzügyi szolgáltatások piaci részesedésétől függően tagállamonként. A kijelölés a vezető felügyelőnek (az egyik ESA-nak, szolgáltatónként kiosztva) közvetlen felügyeleti jogkört ad: információkérések a 37. cikk alapján, helyszíni ellenőrzések a 38. cikk alapján, ajánlások a 35. cikk alapján, valamint a nyilvános közzétételi rezsim a 41. cikk alapján. Az ezen CTPP-k felett felügyelt bankokra megfelelő felügyeleti elvárások vonatkoznak arra nézve, hogyan kezelik ezt a kijelölt függőséget.

Harmadszor, az EKB 2026-28-as felügyeleti prioritásai. A prioritásokat tartalmazó dokumentum két olyan kifejezett programot nevez meg, amelyek közvetlenül érintik a felhőnatív bankolást: a jelentős felhőszolgáltatás-kiesésre való felkészültség (modellezett felügyeleti forgatókönyvek tesztelik az intézmény képességét egy kijelölt CTPP tartós kiesésének elviselésére) és a DORA 26. cikkéhez igazított TIBER-EU szerinti TLPT (minden TIBER-EU gyakorlat felméri az intézmény kritikus és fontos funkcióit, amelyek immár a nyilvános felhőben elhelyezett szolgáltatásokat is magukban foglalják). A 2026-os vizsgahullám mindkettőre megállapításokat fog produkálni.

A 2026-os keretezés nem "a DORA közeledik", hanem "a DORA vizsgamegállapításai megérkeznek az intézménye postaládájába, és a 2024-2025 során meghozott platformmérnökségi döntéseket vizsgálja a felügyelet ezekben a megállapításokban".

A 2026-os index architektúrája

Indexréteg Hogyan néz ki a "készenlét" Készenléti mutató Meghibásodási mód
Platformérettség A munkaterhelések >80%-a kikövezett úton lévő Kubernetes platformon (EKS / AKS / GKE / OpenShift), policy-as-code beengedéssel, GitOps telepítéssel, automatizált DR-teszteléssel A CIF-ek %-a kikövezett úton lévő platformon; árnyéktelepítések száma; egy új szolgáltatás platformra való bevezetésének átlagos ideje Következetlen kontrollokkal működő árnyékplatformok; a 8. cikk szerinti nyilvántartás egyeztetése számára láthatatlan, kikövezetlen infrastruktúrán futó CIF-ek
A 8. cikk szerinti nyilvántartás integritása Az információs nyilvántartás automatikusan egyeztet a platform harmadik feles API-fogyasztásához + felhős anyagjegyzékhez; a kritikussági besorolás összhangban van az intézmény CIF-leltárával A platformtelemetriához egyeztetett nyilvántartási bejegyzések %-a; árvabejegyzések száma; CTPP-perimeter integritásellenőrzés Az ESA-k azonosítanak egy kijelölt CTPP-függőséget, amelyet az intézmény elmulasztott közzétenni a 8. cikk alapján; egyedi megállapítás és CTPP-perimeter következmény
Felhőkoncentráció A kritikus funkciók felhőszolgáltatókhoz ÉS al-felhőrégiókhoz ÉS szolgáltatásokhoz ÉS helyettesíthetőségi felméréshez leképezve; a CIF-eken átívelő korrelált kitettség számszerűsítve Koncentrációs pontszám CIF-enként; korrelált kitettség olyan CIF-ek között, amelyek közös kijelölt CTPP-régiót használnak Egyetlen AWS us-east-1 IAM-kiesés négy olyan CIF-et vesz le a lábáról, amelyekről az intézmény azt hitte, hogy egymástól függetlenül vannak erőforrással ellátva
Tesztelt kiléptetési képesség Éves, végponttól végpontig tartó kiléptetés-végrehajtási teszt minden kijelölt CTPP-től függő CIF-re; dokumentált RTO / RPO teljesíti a BIA-ból származtatott célokat; adathordozhatósági útvonal tesztelve Tesztsikerességi arány CIF-enként; átlagos kiléptetés-végrehajtási idő az RTO-célhoz képest; adathordozhatósági útvonal késleltetése Csak PDF-ként létező kiléptetési terv; az asztali gyakorlat 4h RTO-t mond, a tényleges teszt első nekifutásra 48h-t mutat
Megfigyelhetőség + incidensbejelentés OpenTelemetry nyomok végponttól végpontig a szolgáltatásokon átívelően; automatizált 18. cikk szerinti 4 órás besorolási segéd bekötve az incidenskezelési platformba Az OTel nyomokkal lefedett CIF-forgalom %-a; átlagos idő az incidensfelismeréstől a 18. cikk szerinti besorolási döntésig Jelentős incidens a 4 órás ablakon kívül besorolva, mert a kritikusság megállapítása triázsértekezletet igényelt; 18. cikk szerinti megállapítás
TLPT integráció A TLPT hatóköre a CIF-leltárból származtatva és folyamatosan frissítve; a megállapítások visszacsatolnak a platform policy-as-code-jába; a lezárt megállapítások felügyeletre kész bizonyítékcsomagokat állítanak elő TLPT-megállapítások lezárási aránya; megállapítás-házirendfrissítés ciklusideje A TLPT olyan sebezhetőséget tár fel, amelyet az intézmény platformmérnökségi csapata nem tud két kiadási ciklusnál rövidebb idő alatt kijavítani

Aktuális jelzések, amelyeket követni kell

Jelzés Mit jelent a bankoknak Forrás
A DORA aktív végrehajtás alatt áll 2025. jan. 17. óta Az első hullám felügyeleti megállapításai 2025 negyedik negyedévében érkeztek meg; a második hullám megállapításai 2026 második félévében várhatók EUR-Lex ⧉
A CTPP kijelölés 2025-2026 folyamán nyílik meg AWS, Microsoft, Google, Salesforce a perimeteren belül vagy annak közelében; a kijelölés az ESA-knak közvetlen felügyeleti jogokat ad EBA ⧉
Az EKB 2026-28-as felügyeleti prioritásai kifejezetten megnevezik a felhőkiesést Modellezett felügyeleti forgatókönyvek tesztelik a kijelölt CTPP tartós kiesésének elviselésére való képességet EKB Bankfelügyelet ⧉
A TIBER-EU a DORA 26. cikkéhez igazítva A TLPT hatóköre lefedi a kritikus / fontos funkciókat, ideértve a felhőben elhelyezett szolgáltatásokat EKB TIBER-EU ⧉
Az EBA kiszervezési iránymutatásai (EBA/GL/2019/02) összekapcsolódnak a DORA 28. cikkével Érdemi jelenlét (¶64), helyettesíthetőségi felmérés (¶81), kiléptetési stratégia (¶113-117): a bekezdések, amelyeket a felügyeletek valóban vizsgálnak EBA ⧉
Az EU felhőszolgáltatási séma (EUCS) tervezete halad előre Jövőbeli szuverén felhő tanúsítási séma az EU kiberbiztonsági törvénye alapján; ENISA által közzétett tervezet ENISA EUCS ⧉

Platformmérnökség: az öt megnevezett alapelem

A felhőnatív érettség 2026-ban öt mérnöki alapelemre egyszerűsödik, amelyek összekapcsolódva a telepítési folyamat sebességével állítanak elő felügyeleti bizonyítékot. Bármelyik hiánya megtörténni készülő megállapítás.

1. Kubernetes-alapú kikövezett utak

Minden CIF egy menedzselt Kubernetes platformon fut: EKS, AKS, GKE vagy OpenShift egy kijelölt CTPP-n, vagy egy szállító által menedzselt alternatíván. A platformcsapat egyetlen arany-fürt mintát üzemeltet ellenőrzött eltéréssel: csomópontok egy dokumentált alapképfájlból; névtér-csapatonkénti izoláció; pod-security-standards-restricted profil; hálózati házirendek; service-mesh injektálás (Istio vagy Linkerd) a szolgáltatások közötti hitelesítéshez és megfigyelhetőséghez. Az új szolgáltatások egy sablonalapú bevezetési munkafolyamaton keresztül csatlakoznak a kikövezett úthoz, amely a 8. cikk szerinti nyilvántartási bejegyzést telepítési műtermékként állítja elő.

2. Backstage-stílusú fejlesztői portál

Egy központi fejlesztői portál, a Spotify nyílt forráskódú Backstage ⧉ a referenciamegvalósítás, különféle vállalati alternatívákkal, biztosítja a nyilvántartási rendszert arról, hogy mi hol fut. A katalógus felsorol minden szolgáltatást, tulajdonost, függőséget, kritikussági besorolást, üzemeltetési kézikönyvet, készenléti rotációt. A portál összekapcsolódik a 8. cikk szerinti nyilvántartással: minden katalógusbejegyzés egy nyilvántartási bejegyzéshez képeződik le; a nyilvántartási hivatkozás nélküli bejegyzések CI-hibát váltanak ki; a katalógusbeli jelenlét nélküli nyilvántartási bejegyzések felügyeletet megelőző riasztásokat váltanak ki.

3. GitOps telepítés ArgoCD vagy Flux segítségével

A produkciós telepítés egy GitOps vezérlőn keresztül fut, az ArgoCD vagy a Flux a produkciós szabvány 2026-ban, amely egy Git-verziózott deklaratív állapotot egyeztet a futó fürttel. A kézi kubectl apply le van tiltva; a produkcióba vezető egyetlen út egy összefésült pull request. A Git-tár az auditnapló; a felügyeletek, amelyek azt kérdezik, "mutassa meg az X szolgáltatás konfigurációját Y dátumon", egy Git-címkét kapnak, nem képernyőképet.

4. Open Policy Agent a beengedésnél

Az Open Policy Agent (OPA) a fürt beengedési láncában ül, és a platformházirendet érvényesíti: pod-security profil megfelelőség, képfájl-eredet, erőforráskorlátok, hálózati házirend megléte, kritikussági szintnek megfelelő replikáció, al-régiós elhelyezés szuverén felhő korlátozások mellett. A házirendek Git-verziózottak és a szolgáltatáskonfigurációkkal együtt változáskezeltek. Az elutasított telepítések áttekinthető indoklásokat állítanak elő, amelyek a változáskezelési bizonyítékcsomagot táplálják.

5. OpenTelemetry végponttól végpontig

Minden szolgáltatás OpenTelemetry nyomokat, metrikákat és naplókat bocsát ki. A platformcsapat egy központosított megfigyelhetőségi folyamatot üzemeltet, jellemzően Tempo vagy Jaeger a nyomokhoz, Prometheus a metrikákhoz, Loki vagy OpenSearch a naplókhoz, amely felszínre hozza a végponttól végpontig tartó CIF-egészséget, a függőségi leképezést és az incidensbesorolási bemeneteket. A 4 órás 18. cikk szerinti besorolási ablak a felismeréssel indul; az OTel folyamat lerövidíti a felismeréstől a besorolásig tartó utat egy lekérdezhető kereséssé, nem egy triázsértekezletté.

A szuverén felhő mint mérnöki munka, nem márka

A szuverén felhő stratégiának 2026-ban négy konkrét Schrems II + DORA + EBA kiszervezési kérdésre kell választ adnia:

  1. Hol dolgozzák fel és tárolják az adatokat? EU tagállami elhelyezkedés; al-régió a magas kritikusságú áramlásokhoz; írásbeli adattartózkodási kötelezettségvállalások.
  2. Kinek van jogi hozzáférése az adatokhoz? Kizárólag helyi alkalmazottak által végzett műveletek; külföldi kormányzati hozzáférési kérelmek helyi bírósági eljárás alá vetve; tesztelt válasz a jogszerű hozzáférési kérelmekre.
  3. Milyen a helyettesíthetőségi profil? EBA/GL/2019/02 ¶81 helyettesíthetőségi felmérés; tesztelt kiléptetés-végrehajtás; azonosított és szerződtetett alternatív szolgáltató (vagy dokumentálva, hogy miért nem kivitelezhető).
  4. Milyen a technikai szuverenitási modell? Ügyfél által ellenőrzött kulcsok; kriptográfiai elkülönítés; szuverén menedzsment-sík; auditálható ellátási lánc.

A 2026-os szállítói lehetőségek, amelyek ezekre a kérdésekre válaszolnak:

A stratégiai döntés ritkán bináris. Az első vonalbeli bankok jellemzően egy hiperskálázó-Data-Boundary konfigurációt futtatnak a munkaterhelések zöméhez, egy szuverén felhő lehetőséget a kijelölt magas érzékenységű áramlásokhoz (pl. AML / szankciós ügykezelő rendszerek, amelyek EU-honos személyes adatokat kezelnek), és egy tartalék-helyettesíthetőségi útvonalat, amelyet évente tesztelnek a DORA 28. cikk alapján.

Tesztelt kiléptetés-végrehajtás

Az EBA/GL/2019/02 ⧉ 113-117. bekezdései a kiléptetési stratégia rendelkezései. A szöveg egyértelmű abban, hogy mi szükséges: "Az intézményeknek és pénzforgalmi intézményeknek biztosítaniuk kell, hogy képesek legyenek kilépni a kiszervezési megállapodásokból anélkül, hogy indokolatlanul megzavarnák üzleti tevékenységüket… A kiléptetési stratégiákat dokumentálni és tesztelni is kell a kiszervezési megállapodások rendszeres felülvizsgálatának részeként."

A felügyeleti elvárás 2026-ban éves, végponttól végpontig tartó kiléptetés-végrehajtási tesztelés minden kijelölt CTPP-től függő CIF-re. Az asztali gyakorlatok és a dokumentumfelülvizsgálatok nem elegendők. A tesztnek elő kell állítania:

A CIF végponttól végpontig tartó kiléptetéstesztelésének első nekifutása jellemzően 5-10-szeres eltérést tár fel a dokumentált RTO és a tényleges RTO között. Ennek az eltérésnek a megszüntetése mérnöki munka, amely hónapokat vesz igénybe. Azok a bankok, amelyek ezt egy felügyeleti ellenőrzés során fedezik fel, nem a saját éves tesztciklusuk során, egy harmadik negyedéves megállapítási ciklussal néznek szembe, amelyet elkerülhettek volna.

RTO / RPO célok a CIF-leltárból

Minden kritikus vagy fontos funkció egy szintbesoroláshoz képeződik le, amely az intézmény üzletihatás-elemzéséből származik. A szint hajtja az RTO- és RPO-célokat, amelyeket a platformmérnökségi csapat vállal teljesíteni.

Szint Példák RTO RPO
1. szint (küldetéskritikus) RTGS-kapcsolat (CHAPS / T2 / Fedwire), lakossági fizetési engedélyezés, ügyfélhitelesítés a digitális csatornákhoz 2 óra 15 perc
2. szint (kritikus) AML / szankciószűrés, csalásfelismerő folyamatok, ATM-engedélyezés, kötegelt fizetésfeldolgozás 4 óra 1 óra
3. szint (fontos) Jelentéstétel és szabályozói beadás, ügyfélközpontú tudásbázisok, belső együttműködési platformok 24 óra 4 óra
4. szint (nem kritikus) Belső HR-rendszerek, marketingeszközök, nem ügyfélközpontú jelentéstétel 72 óra 24 óra

Ezek a számok illusztratívak, az intézmény BIA-ja állítja elő a sajátjait. A platformmérnökségi teljesítendő eredmény egy regressziótesztelt képesség a BIA-ból származtatott célok teljesítésére, amelyet szolgáltatásonkénti automatizált DR-teszteléssel bizonyítanak, és a CTPP-től függő CIF-ekre vonatkozó éves kiléptetés-végrehajtási teszttel validálnak.

Mit jelent ez banktípusonként

Globálisan rendszerszinten jelentős bankok

A nehéz probléma a méret az üzletágakon átívelően: több ezer szolgáltatás, több száz CIF, több kijelölt CTPP-kitettség termékeken, joghatóságokon és ellenállóképességi profilokon keresztül. A beruházás a központi platformmérnökségi képesség, a Kubernetes kikövezett utak, a Backstage portál, a GitOps, az OPA, az OTel, amely a 8. cikk szerinti nyilvántartás egyeztetését, a CTPP-koncentrációs térképet és a CIF-enkénti kiléptetés-végrehajtási képességet állítja elő üzletáganként egyedi építkezés nélkül.

Univerzális és közepes méretű bankok

A platformmérnökségi beruházás indokolt ezen a szinten, de a hatókör korlátozott: válassza ki a két vagy három legmagasabb kritikusságú CIF-et, építse köréjük a kikövezett út mintát, fogadja el, hogy az örökölt vagyon a meglévő kontrollokon folytatódik középtávon. A felügyeleti pozicionálás fontosabb, mint a platform szélessége: az, hogy bizonyítani lehessen a DORA 8. cikk szerinti nyilvántartás integritását és a tesztelt kiléptetést a top három CIF-re, lefedi a felügyelet elsődleges aggodalmait.

Regionális és kisebb bankok

Szállítóválasztás a belső építkezés helyett. Válasszon olyan bankplatform-szállítót, amelynek Kubernetes-natív architektúrája dokumentált, amelynek 8. cikk szerinti nyilvántartás-integrációja beépített, és amelynek DORA 28. cikk szerinti szerződéses tartalomvállalásai egyértelműek. A belső mérnöki képesség a konfiguráció, a monitorozás és az incidenskezelés körül van, nem a platformépítés.

Fintechek, PSP-k és bankokat kiszolgáló SaaS-szolgáltatók

A termékkérdés az EU-bankoknak 2026-ban értékesítő szállítók számára az, hogy a platform előállítja-e a 8. cikk szerinti nyilvántartási bejegyzéseket és a DORA 28. cikk szerinti szerződéses tartalmat, amelyre a bank megfelelőségi funkciójának szüksége van. A strukturált kimeneteket biztosító szállítók nyerik meg a vállalati üzleteket; a PDF-sablonokkal rendelkező szállítók veszítenek a strukturált JSON-nal rendelkező versenytársakkal szemben.

Következtetés

A DORA felhős ellenállóképessége auditfázisban van. A 2024-2025 során meghozott platformmérnökségi döntéseket vizsgálja a 2026-os felügyeleti ciklus. Azok az intézmények, amelyek hitelesnek tűnnek az EKB és az EBA számára 2026-2028-ban, azok, amelyek Kubernetes kikövezett utakat futtatnak Backstage-stílusú portálokkal és GitOps telepítéssel, Open Policy Agent beengedés alatt, OpenTelemetry végponttól végpontig, amelyek a 8. cikk szerinti nyilvántartási bizonyítékot telepítési műtermékként és a tesztelt kiléptetés-végrehajtási bizonyítékot éves ciklusként állítják elő, nem felügyeleti kérésre adott válaszként.

Azok az intézmények, amelyek nem hozták meg ezeket a beruházásokat, felfedezik majd, hogy a második vonalbeli megfelelőségi csapatuk fel tudja-e dolgozni a felügyeleti megállapítások első körét, mielőtt a második kör megérkezik.

Mérje a platformot úgy, ahogy bármely működési programot mérne: kikövezett út lefedettsége, nyilvántartás-egyeztetési arány, CTPP-koncentrációs pontszám, tesztelt kiléptetési idő az RTO-célhoz képest, 18. cikk szerinti besorolás átlagideje, TLPT-lezárási arány. Bizonyíték a folyamat sebességével; dokumentumcsomagok csak akkor, amikor a felügyelet kér egyet.

Gyakran ismételt kérdések

A DORA felhős ellenállóképessége még mindig felkészülési fázisban van 2026-ban?

Nem. A DORA 2025. január 17. óta aktív végrehajtás alatt áll. A CTPP kijelölési rezsim a 28-44. cikkek alapján 2025-2026 folyamán nyílik meg. Az EKB vizsgamegállapításai a 6. cikk szerinti ICT kockázatkezelésről és a 8. cikk szerinti nyilvántartás integritásáról 2025 negyedik negyedévében érkeztek meg több első vonalbeli intézménynél. A 2026-os felügyeleti kérdés intézményspecifikus vizsgabizonyíték, nem szabályozói készenlét.

Mely felhőszolgáltatókat jelölik ki CTPP-ként?

Az ESA-k a webhelyeiken teszik közzé a kijelölési döntéseket. A perimeteren belül vagy annak közelében lévő intézmények 2026-ban közé tartozik az AWS, a Microsoft (Azure), a Google (GCP), a Salesforce, valamint néhány másik, a pénzügyi szolgáltatások piaci részesedésétől függően tagállamonként. Az ezen szolgáltatók felett felügyelt bankokra megfelelő felügyeleti elvárások vonatkoznak arra nézve, hogyan kezelik ezt a függőséget.

A szuverén felhő megszünteti a DORA 28. cikk szerinti szerződéses tartalom szükségességét?

Nem. A szuverén felhő a Schrems II + adattartózkodási dimenziót kezeli; a DORA 28. cikk szerinti szerződéses tartalom egy külön kötelezettség, amely attól függetlenül alkalmazandó, hogy hol vannak az adatok. A szuverén felhő szolgáltatójának szerződésének továbbra is le kell fednie az adathozzáférhetőséget, a biztonságot, a tartózkodást, az auditjogokat, a kiléptetési stratégiákat és a folytonosságot a 28. cikk szerint.

Mi az a mérnöki teljesítendő eredmény, amely demonstrálja a DORA felhős ellenállóképességét?

Öt platformmérnökségi alapelem összekapcsolódása: Kubernetes kikövezett utak (menedzselt fürt házirenddel ellenőrzött eltéréssel), Backstage-stílusú fejlesztői portál (a 8. cikk szerinti nyilvántartáshoz egyeztető katalógus), GitOps telepítés (ArgoCD vagy Flux), Open Policy Agent a beengedésnél, OpenTelemetry végponttól végpontig. Bizonyíték a folyamat sebességével, nem a vizsga idején.

Milyen gyakran kell tesztelni a kiléptetés-végrehajtást?

Éves, végponttól végpontig tartó kiléptetés-végrehajtási tesztelés minden kijelölt CTPP-től függő CIF-re. Az asztali gyakorlatok és a dokumentumfelülvizsgálatok nem elegendők. A tesztnek helyreállítási időt, adathordozhatósági bizonyítékot, funkcionális egyenértékűséget és költségbizonyítékot kell előállítania, a BIA-ból származtatott RTO- és RPO-célokhoz mérve.

Hivatkozások

Utolsó felülvizsgálat .

A cikk keresztközlése

Medium-formátumban másolás

# A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/](https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/)

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/

Mastodon-formátumban másolás

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/

LinkedIn-formátumban másolás

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

Íme a legfontosabb stratégiai tanulságok:

- A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség. A felhőnatív bankolás 2026-ban a DORA auditfázisában van.
- Miért van auditfázisban a DORA felhős ellenállóképessége. Három ok, amiért a "felkészülés" keretezése rossz 2026-ban.
- Aktuális jelzések, amelyeket követni kell. A felhőnatív érettség 2026-ban öt mérnöki alapelemre egyszerűsödik, amelyek összekapcsolódva a telepítési folyamat sebességével állítanak elő felügyeleti bizonyítékot.
- Platformmérnökség: az öt megnevezett alapelem. A felhőnatív érettség 2026-ban öt mérnöki alapelemre egyszerűsödik, amelyek összekapcsolódva a telepítési folyamat sebességével állítanak elő felügyeleti bizonyítékot.

Mi az Ön szervezetének megközelítése az e cikkben felvázolt kihívásokhoz?

→ https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/

#FelhőnatívBankolás2026 #DoraBankok #FelhőkoncentrációsKockázat #PlatformmérnökségBankok #IctHarmadikFelesKockázat

Sebastien Rousseau | CC-BY-4.0
A cikk idézése

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

BibTeX

@online{rousseau2026a,
  author  = {Rousseau, Sebastien},
  title   = {{A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
ER  -

Vancouver

Rousseau S. A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 5. Available from: https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/

Chicago

Rousseau, Sebastien. "A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau." sebastienrousseau.com. June 5, 2026. https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/.

APA

Rousseau, S. (2026, June 5). A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/

A cikk újraközlése

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

Ez a cikk a következő licenc alatt áll: Creative Commons Attribution 4.0 International. Az újraközléshez a kanonikus URL forrásmegjelölése szükséges.

A felhőnatív bankolás indexe 2026-ban: DORA, platformmérnökség, szuverén felhő és működési ellenállóképesség — Sebastien Rousseau

Egy 2026-os felhőnatív bankolási index a DORA-felkészültség, a platformmérnökségi érettség, a felhőkoncentrációs kockázat, a kiléptetési bizonyíték és a működési ellenállóképesség méréséhez.

Originally published at https://sebastienrousseau.com/hu/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.