DORA: Digital Operational Resilience Act – Herausforderungen und Chancen

Wen betrifft DORA?

DORA ist im Gegensatz zu XAIT nicht sektorspezifisch, sondern sektorübergreifend konzipiert. Das bedeutet, die Regulierung betrifft Versicherungen genauso wie Kapitalverwaltungsgesellschaften, Banken und Investmentfonds etc. Konkret fallen darunter (Geltungsbereich Artikel 2 Absatz 1 DORA):

Kreditinstitute
Zahlungsinstitute
Kontoinformationsdienstleister
E-Geld-Institute
Wertpapierfirmen
Anbieter von Kryptodienstleistungen
Zentralverwahrer
Zentrale Gegenparteien
Handelsplätze
Transaktionsregister
Verwalter alternativer Investmentfonds
Verwaltungsgesellschaften
Datenbereitstellungsdienste
Versicherungs- und Rückversicherungsunternehmen
Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
Einrichtungen der betrieblichen Altersversorgung
Ratingagenturen
Administratoren kritischer Referenzwerte
Schwarmfinanzierungsdienstleister
Verbriefungsregister
IKT-Dienstleister

Welche übergeordneten Ziele werden mit DORA verfolgt?

• Verringerung der Fragmentierung:
  DORA zielt darauf ab, bestehende regulatorische Unterschiede zu beseitigen und einen einheitlichen Standard zu schaffen.
• Stärkung der digitalen Resilienz:
  Etablierung strengerer Standards zur Bewältigung von Informations- und Kommunikationstechnologie (IKT) sowie deren Entwicklung und Umsetzung.
• Harmonisierung der Regelungen:
  Schaffung eines einheitlichen Regelungsrahmens für die IT-Sicherheit in der Finanzbranche, der eine grenzüberschreitende Anerkennung von Prüfergebnissen ermöglicht.
• Risikomanagement:
  Finanzinstitute müssen effektive Risikomanagementverfahren einführen, um IKT-Risiken zu identifizieren, zu klassifizieren und zu steuern.
• Incident Reporting:
  Die Verordnung verpflichtet Finanzinstitute zur Meldung von schwerwiegenden IKT-Vorfällen an die zuständigen Behörden.
• Transparenz erhöhen:
  Durch Zugriff auf IKT-Vorfälle können Unternehmen und Behörden Bedrohungen der Zukunft besser begegnen.
• Redundanzen beseitigen:
  Auf europäischer Ebene werden Meldungspflichten vereinfacht und redundant gemeldete Informationen minimiert.

Herausforderungen

DORA soll ein hohes Maß an Sicherheit und Widerstandsfähigkeit (Resilienz) des Finanzsektors in der EU sicherstellen und lässt sich in den nachfolgenden vier Kapiteln grob zusammenfassen:

1. IKT-Risikomanagement (Art. 5-16)

Finanzinstitute müssen über ein umfassendes, gut dokumentiertes Regelwerk für das IKT-Risikomanagement verfügen. Dazu zählen Strategien, Grundsätze, Verfahren, IKT-Protokolle und Instrumente zur Identifizierung, Klassifizierung, Bewertung, Überwachung und Minderung von IKT-Risiken. Das Leitungsorgan des Finanzunternehmens (z.B. Vorstand bei einer Bank) ist für die Strategie und Steuerung des IKT-Risikomanagements verantwortlich.

Anforderungen und Umsetzungsbedarf:

• Planung und Bereitstellung von Ressourcen und angemessenem Budget
• Anpassung des Regelwerks einmal jährlich sowie nach schweren Vorfällen
• Regelmäßige Prüfung durch interne Audits
• Gewährleistung der Unabhängigkeit von Risikomanagement, Kontrollen und Audits durch Funktionstrennung
• Informationssicherheitsleitlinie mit Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten
• IKT-Systeme müssen immer auf dem neuesten Stand sein

So kann LocateRisk unterstützen:

• Identifizierung und Klassifizierung der IT-Assets
• Durchführung der jährlichen IT-Risikobewertung
• Durchführung einer vorfallsbezogenen Überprüfung jederzeit
• Fortlaufende Überwachung der Sicherheit von IT-Systemen

2. IKT-Vorfallmeldewesen/Incident Reporting (Art. 17-23)

Im Fall von erheblichen IKT-bezogenen Vorfällen ist eine schnelle, umfassende Meldung erforderlich. DORA legt genaue Anforderungen und Fristen für solche Berichte fest. Unternehmen müssen über Prozesse für den Umgang mit IT-Vorfällen verfügen, die eine schnelle Erkennung und Behebung sicherstellen.

Ziele:

• Sicherstellung einer schnellen Erkennung und Reaktion auf IT-Vorfälle
• Schnelle Meldung an Behörden und Kunden/Verbraucher
• Förderung des Austauschs über neue Bedrohungen

Anforderungen und Umsetzungsbedarf:

• Klassifizierung von IKT-Vorfällen nach bestimmten Kriterien
• Unverzügliche Meldung von schwerwiegenden IT-Vorfällen an die Behörden innerhalb festgelegter Fristen
• Erstellen von Krisenkommunikationsplänen

3. Test der digitalen, operationalen Resilienz/Digital Resilience Testing (Artikel 24-27)

DORA verpflichtet Finanzunternehmen zu umfassenden Testprogrammen zur Bewertung der Abwehrbereitschaft gegenüber Cyberrisiken und zur Aufdeckung möglicher Schwachstellen.

Ziele:

• Objektive Kontrolle der Wirksamkeit des IT-Risikomanagements
• Initiierung und Nachweis der kontinuierlichen Verbesserung der Schutzmaßnahme

Anforderungen und Umsetzungsbedarf:
Zu den grundlegenden jährlichen Tests zählen:

• Schwachstellenbewertungen und -scans
• Open-Source-Analysen
• Netzwerksicherheitsbewertungen
• GAP-Analysen
• Überprüfungen der physischen Sicherheit
• Fragebögen und Scans von Softwarelösungen
• Quellcodeprüfungen
• Kompatibilitätstests
• Leistungstests
• End-to-End-Tests
• Penetrationstests und weitere

Alle drei Jahre vorgeschriebene Tests:

• Bedrohungsorientierte Penetrationstests durch qualifizierte und angesehene Tester

So kann LocateRisk unterstützen:

• Schwachstellenbewertungen
• Leistungstests
• GAP-Analysen
• Prüfung der Netzsicherheit

4. IKT-Drittpartei-Risikomanagement/Management von IKT-Drittanbieterrisiken (Artikel 28-44)

Neben der eigenen IT-Sicherheit müssen Finanzunternehmen auch die Risiken in den Geschäftsbeziehungen mit externen Dienstleistern minimieren. Dies umfasst eine Risikomanagementstrategie für Drittparteien wie Cloud-Service-Provider, Softwareanbieter, Datenanalysedienste und Rechenzentren sowie Anbieter von Zahlungsdiensten und Zahlungsabwicklungen.

Ziele:

• Das Risiko von Angriffen über die Lieferkette zu senken
• Die potenziellen Folgen des Ausfalls einzelner Dienstleister zu minimieren

Anforderungen und Umsetzungsbedarf:

• Bereits vor Vertragsschluss:
  Bewertung der Kritikalität oder Bedeutung der ausgelagerten Dienste sowie die Eignung des IKT-Drittdienstleisters anhand einer umfassenden Analyse
• Vertragliche Regelungen:
  Die Verträge mit IKT-Drittanbietern müssen klare und eindeutige Vereinbarungen zu Aspekten der Operational Resilience enthalten, einschließlich Dienstgüte (Service Level Agreements, SLAs), Verfügbarkeitsanforderungen, Sicherheitsstandards und Notfallplanungen.
• Überwachung und Testing:
  Finanzunternehmen sind angehalten, die Aktivitäten von IKT-Drittanbietern kontinuierlich zu überwachen und die Wirksamkeit der Sicherheitsmaßnahmen und Resilienzstrategien regelmäßig zu testen.
• Ausstiegsstrategie:
  Eine klare Exit-Strategie für den Fall, dass der Dienst eines IKT-Drittanbieters beendet wird oder nicht mehr den erforderlichen Standards entspricht, muss vorhanden sein, um die Kontinuität der Geschäftsprozesse zu sichern und vor übermäßiger Abhängigkeit von einzelnen Anbietern zu schützen.

So kann LocateRisk unterstützen:

• On-Demand-Bewertung neuer Geschäftspartner
• Automatisierte Prüfung der IT- und DSGVO-Compliance
• Anbieter-, Partner- und Lieferanten-Monitoring in frei wählbaren Intervallen
• Lieferantenprüfung mittels digitalem Fragebogen/Self Assessment Questionnaire (SAQ)

Fazit

DORA bringt erhebliche Herausforderungen, aber auch Chancen für die Finanzindustrie. Durch die Harmonisierung der Regelungen und die Einführung strengerer Standards zur digitalen Resilienz wird ein einheitliches Sicherheitsniveau in der EU angestrebt. Die neuen Anforderungen sind umfassend und erfordern von den Unternehmen eine gründliche Vorbereitung und Umsetzung. Die Unterstützung von spezialisierten Anbietern wie LocateRisk kann dabei helfen, diesen neuen regulatorischen Anforderungen gerecht zu werden und die digitale Widerstandsfähigkeit zu stärken.

Der Artikel fokussiert die genannten vier Kapitel und behandelt nicht die gesamte Verordnung. Detaillierte Informationen zu DORA finden Sie auf der Website der BaFin Bundesanstalt für Finanzdienstleistungsaufsicht unter DORA – Digital Operational Resilience Act

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Alex freut sich!

Ihr Ansprechpartner
Alexander Feldmann
Beratung

+49 (0) 6151 6290246

Jetzt Kontakt aufnehmen

Home

Blog

Über uns

Kontakt

Impressum

Datenschutz

AGB

Jobs

© LocateRisk 2023