Teilen:
Was bedeutet DORA für die Finanzbranche in der EU?
Die DORA Verordnung (Digital Operational Resilience Act) ist ein Gesetz, dass die EU-Kommission erlassen hat, um die digitale Infrastruktur der EU gegen Angriffe zu schützen. Das Gesetz sieht vor, dass Unternehmen, die für die Bereitstellung von kritischen Diensten und Infrastrukturen in der EU verantwortlich sind, bestimmte Schutzmaßnahmen ergreifen müssen. Diese Maßnahmen sollen sicherstellen, dass die Unternehmen in der Lage sind, ihre Dienste auch bei einem Cyberangriff weiterhin aufrechtzuerhalten.
DORA – die Verordnung für digitale Betriebsstabilität – schafft einen einheitlichen Rechtsrahmen für Unternehmen aus dem Finanzsektor und deren Informations- und Kommunikationstechnologien, wie Cloud-Plattformen oder Datenanalysedienste. Durch den Rahmen sollen Cyberangriffe verhindert bzw. deren Auswirkungen gemindert werden.
Aber wie genau wird dies erreicht?
Beispielhaft sind hier zu nennen:
– Kapitel II beinhaltet einen IKT-Risikomanagementrahmen, der Anforderungen an das Business Continuity Management stärkt
– Kapitel III definiert Anweisungen zur Behandlung und Meldung von IKT-Vorfällen
– Kapitel IV hat ein Testprogramm zur Prüfung der operationellen Resilienz der Unternehmen im Blick und schließlich enthält
– …
Gibt es Fristen, die eingehalten werden müssen?
Die neue Verordnung ist bereits am 17. Januar 2023 in Kraft getreten! Sie legt fest, dass Finanzdienstleistungsinstitute einem verstärkten Anforderungen-Zugangssystem innerhalb eines Zeitraumes mit einer Frist von 24 Monaten (17.Januar 2025) unterliegen müssen – und zwar im Hinblick auf die digitale Betriebssicherheit. Die entsprechenden technischen Standards werden von den Europäischen Aufsichtsbehörden (ESAs, darunter die EBA, die ESMA und die EIOPA ) entwickelt, welche die Einhaltung überwachen. Dennoch ist es wichtig zu beachten: Bis zum 17. Januar 2026 soll eine Überprüfung der Angemessenheit erfolgen!
Was deckt die DORA-Verordnung ab?
Die DORA-Compliance liefert Ihnen mehr als nur eine Antwort: Sie besteht aus fünf Säulen, die verschiedene IT- und Cybersicherheitsaspekte abdecken.
– Haben Sie ein IKT-Risikomanagement? Erkennen, verwalten und melden Sie IKT-bezogenen Vorfälle? Sind Überwachungs- und Prüfungsprozesse bereits in Ihrem Alltag integriert?
– Wie stehen Sie zur Verwaltung, Klassifizierung und Berichterstattung von ICT-Vorfällen? Wissen Sie, wie Cybersecurity-Vorfälle erkannt, verwaltet und gemeldet werden können? Definieren und implementieren Sie einfach einen Prozess für die Reaktion und Verwaltung dieser Vorfälle und laden Sie Energie in Ihr Unternehmen!
– Wie können Sie Ihre digitale operative Belastbarkeit prüfen? Sind Sie bereit, mit Cyber-Sicherheitsvorfällen umzugehen? Können Sie Mängel und Lücken in der digitalen Widerstandsfähigkeit erkennen und rasch anpassen?
– Verstehen Sie Ihre IKT-Risiken gegenüber Dritten? Kennen Sie die Grundlagen der Cybersicherheit in Bezug auf Ihr IKT-Risikomanagement? Dies sind essenzielle Aspekte, um ein erfolgreiches Management des IKT-Risikos gegenüber Dritten zu gewährleisten!
Wann sotten Sie mit der Umsetzung der Maßnahmen beginnen?
– Werfen Sie einen genauen Blick auf Ihr IKT-Risikomanagement: Bewerten Sie, welche Governance- und Risikomanagementtechniken Sie schon anwenden? Wie können Sie Ihre Cybersicherheit noch stärken? Erwägen Sie zusätzliche Softwareprogramme, die Ihnen bei der Erkennung von Bedrohungen und Vorfällen helfen, sowie die Investition in unternehmensweite Schulungsinitiativen zu Cybersicherheit? Mit welchen Mitteln können Sie Ihr IKT-Risikomanagement verbessern?
– Die Leistungsfähigkeit Ihres Vorfallsmanagements zu verstehen, ist sehr wichtig. Nur so können Sie den aktuellen Stand der Fähigkeiten beurteilen und das Bewusstsein für die verschiedensten Standards für das Reporting von Vorfällen in der Finanzdienstleistungsbranche stetig weiter verbessern. In diesem Zusammenhang müssen Sie auch überprüfen, ob Sie in der Lage sind, sogenannte Near-Miss-Situationen zu erkennen – also Vorfälle, bei denen eine Panne haarscharf abgewendet werden konnte.
– Einbindung der Vorstandsebene: Es ist wichtig, die Vorstandsmitglieder frühzeitig in die Gespräche über die Einhaltung der Vorschriften einzubeziehen. Erst wenn diese verstehen, warum der Prozess geändert werden muss und welche Maßnahmen zur Umsetzung geplant sind, ist die Wahrscheinlichkeit groß, dass der Vorstand zustimmt.
– Belastbarkeitstests: Sensibilisierung für die Fähigkeiten, die für die Planung und Durchführung von Belastbarkeitstests erforderlich sind, einschließlich Schulungen für Vorstandsmitglieder zu den angewandten Techniken und den damit verbundenen Auswirkungen auf die Schadensbehebung.
– Risiko-Management bei Drittanbieter: Konzentrieren Sie sich bei der Erstellung eines Risikobegrenzungsplans auf die Verbesserung der Vertragszuordnung und die Bewertung der Schwachstellen von Drittanbietern. Identifizieren Sie die Dienste, die für das Betreiben grundlegender Geschäftsprozesse unerlässlich sind. Prüfen Sie, ob eine fehlertolerante Architektur implementiert wurde, um die Auswirkungen von Unterbrechungen kritischer Prozesse bei Drittanbietern zu verringern.
Mit einer Managed File Transfer Lösung können Sie sicher und zuverlässig Datenströme sowohl innerhalb des Unternehmens als auch die nach/von außen nachvollziehen und individuelle Berechtigungen erteilen. Prozesse können automatisiert werden und neben einem detaillierten Auditlog können Sie Berichte – auch durch ein umfangreiches Vorlagen-Portfolio – individualisiert zu den einzelnen Steakholdern senden lassen. So schaffen Sie sich wieder freie Ressourcen, um sich Ihren Kernaufgaben widmen zu können und zudem finden Sie zentralisiert mit ein paar Mouseklicks alle aussagekräftigen Berichte zur DORA-Compliance.
Lassen Sie uns darüber sprechen, wie wir Sie im DORA-Umfeld unterstützen können. Kontaktieren Sie gerne unsere Experten für weitere Informationen.
Datasheets und Links zum Thema
Weitere Fragen?
Rufen Sie uns gerne an: +49 (0) 5251 / 13 42 – 0
Oder schreiben Sie uns direkt:
