Warum DORA wichtig ist


Der Digital Operational Resilience Act (DORA) – Bedeutung von Reaktions- und Wiederherstellungsfähigkeiten bei Cyberangriffen
Konkret zielt DORA darauf ab, die IT-Sicherheit von Banken, Versicherungsgesellschaften, Wertpapierfirmen und anderen Organisationen des Finanzsektors zu stärken


Der Digital Operational Resilience Act (DORA) ist eine umfassende EU-Verordnung, die darauf abzielt, die IT-Sicherheit und das Risikomanagement im Finanzsektor zu stärken, indem sie strenge Anforderungen für die Meldung von Vorfällen, die Prüfung der Widerstandsfähigkeit und die Aufsicht durch Dritte vorschreibt. Hycu, Expertin für Backup-Services rund um SaaS-Tools erläutert die Bedeutung von Reaktions- und Wiederherstellungsfähigkeiten bei Cyberangriffen im Zusammenhang mit DORA.

DORA ist eine Verordnung, die das digitale Risikomanagement in der Finanzbranche der Europäischen Union verändern soll. Im Wesentlichen handelt es sich um eine Reihe von Anforderungen an die EU-Finanzinstitute, um ihre wichtigsten Geschäftsprozesse vor technologischen Risiken zu schützen und den Umgang mit digitalen Risiken, das Management von Zwischenfällen und die Beziehungen zu Dritten neu zu gestalten.

Konkret zielt DORA darauf ab, die IT-Sicherheit von Banken, Versicherungsgesellschaften, Wertpapierfirmen und anderen Organisationen des Finanzsektors zu stärken. Für EU-Finanzunternehmen liegt der Schwerpunkt auf IT-Verantwortlichen und Führungskräften, die DORA nicht nur als eine gesetzliche Vorschrift, sondern als eine strategische Notwendigkeit verstehen und sich darauf vorbereiten müssen.

Diese Dringlichkeit wird durch die schwerwiegenden Folgen der Nichteinhaltung unterstrichen:
>> Finanzielle Strafen: Geldbußen von bis zu zehn Millionen Euro, bei schweren oder wiederholten Verstößen können diese Geldbußen verdoppelt werden.

>> Beeinträchtigung des Verbrauchervertrauens: Die Nichteinhaltung von Vorschriften in einer erhöhten Anfälligkeit für Cybervorfälle resultieren, die möglicherweise zu Datenschutzverletzungen oder Dienstunterbrechungen führen. Diese Ereignisse können den Ruf eines Unternehmens schädigen, das Vertrauen der Verbraucher beeinträchtigen und zu Kundenabwanderung und sinkenden Marktanteilen führen.

>> Persönliche strafrechtliche Haftung: In Fällen schwerer Fahrlässigkeit oder vorsätzlichen Fehlverhaltens können leitende Angestellte und Vorstandsmitglieder persönlich strafrechtlich haftbar gemacht werden. Dies könnte individuelle Geldstrafen, Berufsverbot und in extremen Fällen sogar Haftstrafen beinhalten. Dieses persönliche Risiko unterstreicht die Notwendigkeit, sich auf höchster Ebene für die Einhaltung der DORA-Vorschriften einzusetzen.

In Anbetracht dieser hohen Risiken sind IT-Verantwortliche und C-Suite-Führungskräfte gefordert, DORA nicht nur als eine gesetzliche Vorschrift zu verstehen und sich darauf vorzubereiten, sondern als eine strategische Notwendigkeit.

Warum DORA wichtig ist
DORA stellt einen bedeutenden Schritt zur Schaffung eines einheitlichen Ansatzes für das IKT-Risikomanagement im gesamten EU-Finanzsektor dar. Sie befasst sich mit der wachsenden Besorgnis über Cyberbedrohungen und technologische Schwachstellen, die zu Störungen in der Finanzbranche führen könnten.

Zu den wichtigsten Aspekten gehören:
>> Umfassender Anwendungsbereich: DORA gilt für ein breites Spektrum von Finanzunternehmen, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen und Finanzdienstleister.
>> Harmonisierung: Sie legt EU-weit einheitliche Anforderungen an das IKT-Risikomanagement fest und ersetzt damit den derzeitigen Flickenteppich nationaler Vorschriften.
>> Beaufsichtigung durch Dritte: DORA führt einen Rahmen für die Beaufsichtigung kritischer IKT-Drittdienstleister, einschließlich Cloud-Dienste, ein.
>> Meldung von Vorfällen: Es schreibt standardisierte Meldeverfahren für größere IKT-bezogene Vorfälle vor.
>> Resilienztests: DORA verlangt regelmäßige Tests der digitalen Betriebsfestigkeit.

Schlüsselbereiche von DORA

1. IKT-Risikomanagement
DORA schreibt einen umfassenden IKT-Risikomanagementrahmen vor. Dies beinhaltet die Identifizierung und Dokumentation von IKT-bezogenen Geschäftsfunktionen, Ressourcen und Abhängigkeiten, die kontinuierliche Risikobewertung und Strategien zur Risikominderung, die Implementierung von Schutz- und Präventionsmaßnahmen, die Entwicklung von Erkennungsfähigkeiten sowie die Festlegung von Reaktions- und Wiederherstellungsverfahren.

2. Berichterstattung über Vorfälle
Dies betrifft die Implementierung von Prozessen zur Überwachung und Protokollierung von IKT-Vorfällen. Unternehmen sind verpflichtet, diese Vorfälle anhand der von DORA festgelegten Kriterien zu klassifizieren. Darüber hinaus müssen sie größere Vorfälle innerhalb strenger Fristen an die zuständigen Behörden melden.

3. Reaktion und Wiederherstellung
Die Reaktions- und Wiederherstellungsfähigkeiten sind von großer Bedeutung.

>> Reaktionspläne für Zwischenfälle
DORA fordert die Entwicklung, Dokumentation und Umsetzung umfassender Pläne für die Reaktion auf und die Wiederherstellung nach IKT-bezogenen Vorfällen. Diese Pläne sollten Verfahren zur sofortigen Erkennung, Analyse, Eindämmung und Begrenzung von Zwischenfällen enthalten.

>> Geschäftskontinuität
Unternehmen müssen Richtlinien zur Aufrechterhaltung des Geschäftsbetriebs und Pläne zur Wiederherstellung im Katastrophenfall aufstellen und befolgen. Regelmäßige Tests dieser Pläne sind obligatorisch, um ihre Wirksamkeit zu gewährleisten.

>> Backup-Verfahren
DORA schreibt regelmäßige Backups von kritischen Systemen und Daten vor. Zu den besonderen Anforderungen gehören eine festgelegte Häufigkeit der Backups, eine sichere externe Speicherung und regelmäßige Tests der Backup-Wiederherstellungsprozesse.

>> Zielvorgaben für die Wiederherstellungszeit (RTOs)
Ebenso erforderlich sind das Festlegen und regelmäßige Testen der Fähigkeit zur Wiederherstellung von Systemen innerhalb festgelegter Zeitrahmen sowie die Minimierung von Betriebsunterbrechungen und Gewährleistung einer schnellen Wiederherstellung nach Zwischenfällen.

>> Kommunikationsprotokolle
Es müssen klare Verfahren für die interne und externe Kommunikation bei Zwischenfällen festgelegt werden. Unternehmen sind verpflichtet zur Sicherstellung einer rechtzeitigen und wirksamen Reaktion, einschließlich der Benachrichtigung der zuständigen Behörden und Beteiligten.

>> Analyse nach Zwischenfällen
Nach schwerwiegenden Vorfällen müssen Unternehmen gründliche Ursachenanalysen durchführen. Die daraus gezogenen Lehren sollten in die Verbesserung des Risikomanagementsystems einfließen.

4. Prüfung der digitalen operativen Belastbarkeit
DORA führt einen harmonisierten Rahmen für die Prüfung der digitalen operationellen Belastbarkeit ein: Dieser umfasst grundlegende Tests wie Schwachstellenbewertungen und Netzwerksicherheitsscans für alle Einheiten sowie fortgeschrittene Tests, einschließlich bedrohungsgesteuerter Penetrationstests (Threat-Led Penetration Testing, TLPT) für wichtige Einrichtungen.

5. IKT-Risikomanagement für Drittparteien
Angesichts der zunehmenden Abhängigkeit von Drittanbietern von Dienstleistungen schafft DORA Grundsätze, die in Vereinbarungen mit IKT-Drittdienstleistern aufgenommen werden müssen sowie einen neuen Aufsichtsrahmen für kritische IKT-Drittdienstleister.

"Um das Risiko von Drittanbietern effektiv zu managen, müssen Finanzinstitute erhebliche Anstrengungen an zwei Fronten unternehmen: Sicherstellung einer umfassenden Aufsicht über alle IKT-Dienstleister und die damit verbundenen Risiken und proaktives Management des digitalen Risikos, das mit kritischen IKT-Drittanbietern verbunden ist." Quelle: McKinsey

6. Informationsaustausch
DORA fordert den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen, um die kollektive Widerstandsfähigkeit zu erhöhen.

Umfang und Anwendung
DORA gilt für ein breites Spektrum von Finanzunternehmen, die in der EU tätig sind, darunter: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen, Rating-Agenturen, Abschlussprüfer und Prüfungsgesellschaften, Administratoren kritischer Benchmarks, Anbieter von Kontoinformationsdiensten, Anbieter von Krypto-Asset-Dienstleistungen, zentrale Wertpapierverwahrungsstellen, Anbieter von Datenübermittlungsdiensten sowie Drittanbieter von Dienstleistungen.

Maßnahmen zur Compliance
Um die Anforderungen von DORA zu erfüllen, sollten sich CIOs, CTOs, IT-Directors und andere IT-Verantwortliche auf die folgenden Maßnahmen konzentrieren:

>> Bewertung der aktuellen Rahmenbedingungen: Prüfung der bestehenden IKT-Risikomanagementprozesse anhand der Anforderungen, um Lücken zu ermitteln.
>> Verbesserung des IKT-Risikomanagement: Implementierung von Prozessen zur Identifizierung, zum Schutz vor, zur Erkennung von, zur Reaktion auf und zur Wiederherstellung nach IKT-bedingten Unterbrechungen.
>> Mechanismen zur Meldung von Vorfällen entwickeln: Einrichtung von Systemen und Verfahren zur Erkennung und Meldung größerer IKT-bezogener Vorfälle innerhalb der vorgeschriebenen Fristen.
>> Durchführung von Ausfallsicherheitstests: Umsetzung eines Programms für regelmäßige Belastbarkeitstests, einschließlich Schwachstellenbewertungen und Penetrationstests.
>> Überprüfung von Verträgen mit Dritten: Prüfen und Aktualisieren der Vereinbarungen mit IKT-Dienstleistern, um sicherzustellen, dass sie den Anforderungen entsprechen.
>> Vorbereitung auf Audits: Vorbereitung auf potenzielle behördliche Prüfungen, indem Unternehmen eine umfassende Dokumentation ihrer IKT-Risikomanagementpraktiken führen.
>> Implementierung von Maßnahmen zur Geschäftskontinuität und zum Datenschutz: Entwickeln und regelmäßiges Testen von Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall, Einführung sicherer Backup-Verfahren, Verbesserung des Datenschutzes, Erstellung von Protokollen für die Krisenkommunikation und Durchführung von Mitarbeiterschulungen gemäß den Anforderungen der Artikel 10 und 11.

Fristen und Einhaltung
DORA ist am 16. Januar 2023 in Kraft getreten. Die Finanzunternehmen haben jedoch bis zum 17. Januar 2025 Zeit, um die vollständige Einhaltung der Vorschriften zu gewährleisten. Dieses Zeitfenster von zwei Jahren ist für die Unternehmen von entscheidender Bedeutung, um ihre aktuellen Systeme zu bewerten, die erforderlichen Änderungen umzusetzen und sich auf das neue Regelungsumfeld vorzubereiten.

Auch wenn das Jahr 2025 noch in weiter Ferne zu liegen scheint, erfordern der Umfang und die Tiefe der von DORA geforderten Änderungen ein frühzeitiges Handeln. Wer jetzt mit den Vorbereitungen beginnt, ist besser aufgestellt, um die Kosten für die Compliance über einen längeren Zeitraum zu verteilen und einen Wettbewerbsvorteil zu erlangen, indem das Unternehmen eine starke digitale Resilienz demonstriert. Eile in letzter Minute und mögliche Strafen bei Nichteinhaltung der Vorschriften gilt es zu vermeiden. So können Finanzunternehmen zur allgemeinen Stabilität und Vertrauenswürdigkeit des EU-Finanzsystems beizutragen. (Hycu: ra)

eingetragen: 29.11.24
Newsletterlauf: 19.12.24

Hycu: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Tipps und Background-Wissen

  • Schutz vor Deepfakes gestaltet sich schwierig

    Ohne Zweifel: Die künstliche Intelligenz wird auch das Jahr 2025 bestimmen, auch und insbesondere in der Cybersecurity. Eines der Felder, in der sie schon einige Zeit eingesetzt wird, sind mittels Midjourney und ähnlichen Tools erstellte Fake-Bilder. Ein echter Meilenstein war hier wohl das Bild vom Papst in der weißen Daunenjacke, das im März 2023 veröffentlicht wurde und tatsächlich von vielen auch technisch versierten Menschen für echt gehalten wurde.

  • Zertifikatssicherheit im gesamten Unternehmen

    Digitale Zertifikate ermöglichen eine sichere Ende zu Ende-Datenübertragungen zwischen den verschiedenen Kommunikationsendpunkten eines Netzwerks. Das Management der Zertifikate - von der Beantragung, über die Erstellung, bis hin zum Widerruf oder zur Erneuerung - erfolgt in aller Regel manuell. Sehr oft steht dem zuständigen IT-Fachpersonal hierzu nur ein Excel-Sheet zur Verfügung.

  • Prognosen für die OT-Sicherheit in 2025

    Für das Jahr 2025 erwarten die ThreatLabZ-Researcher von Zscaler eine wachsende Angriffswelle auf kritische Infrastrukturen, Produktionsanlagen und Cloud-native Anwendungen. Gerade die Bereiche der Fertigungsindustrie, Krankenhäuser, Transport- oder Energienetze waren schon immer schwer gegen Angriffe von außen abzusichern, da diese Branchen mit ungeschützten OT-/IoT-Endpunkten agieren, die keine Sicherheitsagenten hosten können. Die CISA hat einen massiven Anstieg der Echtzeitüberwachung von SCADA-Geräten durch Bedrohungsgruppen gemeldet, die auf ungeschützte Sensoren, Headless-Geräte und ältere Controller abzielt.

Security-Gesetz der EU verabschiedet Notwendigkeit einer Unternehmens-Kulturrevolution

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen