DORA ist da: Ein vollständiger Leitfaden zu den Auswirkungen für Unternehmen

Der Digital Operational Resilience Act (DORA) soll den Ansatz des Finanzsektors für Cybersicherheit und operatives Risikomanagement verändern. DORA wurde von der Europäischen Union als Verordnung (EU) 2022/2554 verabschiedet und soll die digitale operative Widerstandsfähigkeit von Finanzunternehmen in ganz Europa stärken. Sie stellt sicher, dass der Finanzsektor, einschließlich Banken, Versicherungen, Wertpapierfirmen und kritische Drittdienstleister, für den Umgang mit IKT-Risiken (Informations- und Kommunikationstechnologie), einschließlich Cyberbedrohungen, gut gerüstet ist.

‍

Da DORA am 17. Januar 2025 vollständig in Kraft tritt, müssen sich die Finanzinstitute nun auf die Einhaltung der strengen Anforderungen vorbereiten. Aber was genau ist DORA, und wie wird es sich auf die Unternehmen des Finanzsektors auswirken?

‍

‍

Was ist DORA?

‍

DORA ist ein umfassender Rechtsrahmen, der darauf abzielt, die digitale operative Widerstandsfähigkeit von Finanzunternehmen in der EU zu verbessern. Zu diesem Zweck konzentriert er sich auf sechs Kernbereiche:

‍

1. IKT-Risikomanagement
   Das DORA schreibt vor, dass alle Finanzinstitute ein solides IKT-Risikomanagement-Rahmenwerk implementieren. Dies beinhaltet die Identifizierung, Bewertung und Abschwächung von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien. Von Cyberangriffen bis hin zu IT-Systemausfällen müssen die Institute darauf vorbereitet sein, ein breites Spektrum an potenziellen Störungen zu bewältigen.
   ‍
   
   
2. Meldung und Management von Vorfällen
   Die Institute müssen ihren nationalen Aufsichtsbehörden wichtige IKT-bezogene Vorfälle melden und sicherstellen, dass es einen standardisierten Ansatz für die Klassifizierung von Vorfällen, Meldefristen und Abhilfemaßnahmen gibt. Dies schafft mehr Transparenz und ermöglicht es den Aufsichtsbehörden, in Echtzeit Einblicke in neu auftretende Bedrohungen im gesamten Finanzsektor zu erhalten.
   ‍
   
   
3. Operational Resilience Testing
   DORA führt erweiterte Testanforderungen ein, darunter Threat-led Penetration Testing (TLPT). Diese Tests simulieren reale Cyberangriffe und stellen sicher, dass Finanzinstitute ausgefeilten Cyberbedrohungen widerstehen können. Diese Übungen müssen von unabhängigen Spezialisten durchgeführt werden, um sicherzustellen, dass die Systeme rigoros getestet werden.
   ‍
   
   
4. Risikomanagement für Dritte
   Eine Schlüsselkomponente von DORA ist das Risikomanagement für Dritte, insbesondere in Bezug auf IKT-Dienstleistungen, die von Drittanbietern erbracht werden. Finanzinstitute müssen sicherstellen, dass ihre Verträge mit IKT-Anbietern spezifische Klauseln in Bezug auf Ausfallsicherheit, Service Levels und Reaktion auf Vorfälle enthalten.
   ‍
   
   
5. Aufsicht über kritische IKT-Anbieter
   DORA führt einen regulatorischen Aufsichtsrahmen für kritische IKT-Drittanbieter (CTPPs) ein. Dabei handelt es sich um Dienstleister, wie Cloud-Computing-Plattformen oder IT-Infrastrukturdienste, die für den Betrieb des Finanzsektors von entscheidender Bedeutung sind. DORA verleiht den nationalen und EU-Regulierungsbehörden die Befugnis, Resilienzstandards bei diesen Anbietern zu überwachen und durchzusetzen.
   ‍
   
   
6. Informationsaustausch und Koordination
   DORA ermutigt Finanzinstitute, Informationen über Cyber-Bedrohungen und bewährte Praktiken auszutauschen, um einen gemeinsamen Ansatz zur Abwehr von Cyber-Risiken zu fördern. Die Institute müssen auch an Cyber-Krisen- und Notfallübungen teilnehmen, um koordinierte Reaktionen auf groß angelegte Cyber-Vorfälle zu simulieren.
   ‍

‍

Wer ist von DORA betroffen?

‍

DORA gilt für ein breites Spektrum von Unternehmen im EU-Finanzsektor. Dazu gehören:

• Banken und Kreditinstitute
  ‍
• Wertpapierfirmen
  ‍
• Versicherungs- und Rückversicherungsunternehmen
  ‍
• Zahlungsverkehrs- und E-Geld-Institute
  ‍
• Zentrale Gegenparteien
  ‍
• Handelsplätze
  ‍
• Anbieter von Datenübermittlungsdiensten
  ‍
• Anbieter von Krypto-Vermögensdienstleistungen
  ‍
• Und viele andere Finanzmarktinfrastrukturen.
  ‍

Darüber hinaus betrifft DORA auch IKT-Drittanbieter, die kritische digitale Dienstleistungen für Finanzunternehmen erbringen, wie z. B. Cloud-Plattformen, Datenmanagementdienste und Anbieter von Cybersicherheitslösungen. Diese Anbieter werden einer direkten Regulierungsaufsicht unterworfen, wenn sie als kritisch für das Finanzökosystem eingestuft werden.

‍

‍

Warum ist DORA wichtig?

‍

DORA befasst sich mit der zunehmenden Abhängigkeit des Finanzsektors von digitalen Technologien, die die Institute anfällig für Cyberangriffe, IT-Ausfälle und Betriebsunterbrechungen macht. Finanzdienstleistungen sind für die Wirtschaft von entscheidender Bedeutung, und Störungen können weitreichende Folgen haben, von finanziellen Verlusten bis hin zur Schädigung des Rufs.

Die COVID-19-Pandemie hat gezeigt, wie wichtig die digitale Widerstandsfähigkeit ist, da Fernarbeit, Online-Banking und digitale Finanztransaktionen immer mehr an Bedeutung gewinnen. In diesem Zusammenhang stellt DORA sicher, dass der Finanzsektor auch angesichts wachsender IKT-Risiken die Geschäftskontinuität und operative Stabilität aufrechterhalten kann.

Darüber hinaus haben die Aufsichtsbehörden angesichts der zunehmenden Cyberkriminalität und der Raffinesse von Cyberangriffen die Notwendigkeit strengerer, standardisierter Maßnahmen zum Schutz von Finanzsystemen erkannt. DORA wurde entwickelt, um den für die Durchsetzung dieser Schutzmaßnahmen erforderlichen Rechtsrahmen zu schaffen.

‍

‍

Wie man sich auf DORA vorbereitet

‍

Da das Datum der Umsetzung von DORA näher rückt, müssen die Finanzinstitute jetzt handeln, um compliance sicherzustellen. Hier sind einige wichtige Schritte zur Vorbereitung:

1. Bewertung des aktuellen IKT-Risikomanagementrahmens
   Überprüfen Sie die bestehenden Risikomanagementprotokolle und stellen Sie sicher, dass sie mit den Anforderungen von DORA übereinstimmen. Dies umfasst die Aktualisierung der Richtlinien für die IKT-Risikobewertung, das Vorfallsmanagement und die Meldeverfahren.
   ‍
2. Aktualisierung der Verfahren zur Meldung von Vorfällen
   Entwickeln oder verbessern Sie Mechanismen zur Meldung von Vorfällen, um die von DORA festgelegten Standards zu erfüllen. Dazu gehört, dass Ihre Einrichtung IKT-bezogene Vorfälle rechtzeitig und genau klassifizieren, verfolgen und melden kann.
   ‍
3. Durchführung von Tests zur operationellen Resilienz
   Falls noch nicht geschehen, sollten bedrohungsgesteuerte Penetrationstests (TLPT) durchgeführt werden, um reale Cyber-Bedrohungen zu simulieren. Finanzinstitute sollten ihre Systeme auch regelmäßig testen, um potenzielle Schwachstellen zu ermitteln und sicherzustellen, dass geeignete Abhilfestrategien vorhanden sind.
   ‍
4. Stärkung des Risikomanagements für Dritte
   Überprüfen Sie die Verträge mit kritischen IKT-Dienstleistern und stellen Sie sicher, dass sie Klauseln zur Widerstandsfähigkeit und Reaktion auf Vorfälle enthalten. DORA verlangt, dass die Institutionen klare Bestimmungen darüber haben, wie IKT-Dienstleister Vorfälle handhaben und melden.
   ‍
5. Verfolgen Sie die Aktualisierungen der Regulierungsbehörden
   Verfolgen Sie die Aktualisierungen von Regulierungsbehörden wie der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA), der Europäischen Bankenaufsichtsbehörde (EBA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA). Diese Gremien werden technische Standards und Leitlinien herausgeben, die die Anwendung von DORA näher definieren.
   ‍
6. Beteiligen Sie sich an Cyber-Krisenübungen
   Nehmen Sie an koordinierten Cyber-Krisen- und Notfallübungen teil, um die Fähigkeit Ihres Instituts zu testen, auf groß angelegte Cyber-Bedrohungen zu reagieren. Diese Übungen sind entscheidend, um sicherzustellen, dass Finanzinstitute bei grenzüberschreitenden Cybervorfällen effektiv zusammenarbeiten können.
   ‍

‍

Die Rolle der Technologie bei DORA Compliance

‍

Die Umsetzung der DORA-Anforderungen erfordert erhebliche Investitionen in Technologielösungen, die die Cybersicherheit, das Risikomanagement und die Berichterstattung über Vorfälle verbessern. Während sich Finanzinstitute auf ein robustes IKT-Risikomanagement konzentrieren müssen, ist es ebenso wichtig, sicherzustellen, dass Drittanbieter die Vorschriften einhalten. Lieferant Verwaltungsplattformen wie Relatico helfen dabei, den Prozess zu rationalisieren, indem sie die Verfolgung von Dokumenten und Zertifizierungen vereinfachen.

‍

Mit Relatico können Lieferanten die erforderlichen Dokumente und Bescheinigungen einfach hochladen, so dass die Institutionen einen klaren Überblick darüber haben, was fehlt oder aktualisiert werden muss. Dies stellt die Bereitschaft für audits und compliance Prüfungen sicher und reduziert die Komplexität, um die strengen Anforderungen von DORA an Dritte zu erfüllen. Durch die Pflege vollständiger und aktueller Aufzeichnungen können die Finanzinstitute reibungslosere audits und schnellere compliance Prozesse gewährleisten.

‍

‍

Schlussfolgerung: Vorbereitungen für eine digital widerstandsfähige Zukunft

‍

Während sich die Finanzinstitute auf den Stichtag im Januar 2025 vorbereiten, stellt DORA einen bedeutenden Wandel in der Art und Weise dar, wie der Sektor an die digitale operative Widerstandsfähigkeit herangeht. Durch die Einführung standardisierter Vorschriften für das IKT-Risikomanagement, die Meldung von Vorfällen und die Aufsicht durch Dritte stellt die DORA sicher, dass das Finanzsystem besser für die wachsenden Bedrohungen im heutigen digitalen Zeitalter gerüstet ist.

Für Unternehmen des Finanzsektors ist es jetzt an der Zeit zu handeln. Der Einsatz von Lösungen wie Relatico für die Verwaltung von Lieferant Dokumenten und Zertifizierungen kann den compliance Prozess vereinfachen und sicherstellen, dass Ihr Institut immer audit-bereit ist und die DORA-Anforderungen erfüllt.

‍