DORA

Digital Operational Resilience Act

DORA
DORA

Blogbeitrag
Mehr erfahren

Mit DORA zu einer wirksamen Abwehr von digitalen Bedrohungen

Finanzunternehmen müssen funktionieren

DORA ist eine neue EU-Verordnung, die darauf abzielt, die digitale operationelle Resilienz von Finanzunternehmen zu stärken. Dies erfordert robuste IKT-Systeme, gut durchdachte Prozesse und klare Vereinbarungen mit Dienstleistern. Erfahren Sie mehr darüber, wie wir Ihnen bei der Umsetzung von DORA helfen können, um die Anforderungen dieser wichtigen Verordnung zu erfüllen.

Die DORA-Verordnung schafft innerhalb der EU einen einheitlichen Rahmen für Finanzunternehmen und ihre IT-Dienstleister zur Erhöhung der IT-Resilienz. Diese Verordnung trägt nicht nur dazu bei, die Risiken von Cyberangriffen und technischen Ausfällen zu minimieren, sondern stärkt auch das Vertrauen von Verbrauchern und Investoren in den gesamten Finanzsektor.

Tobias Dieter, Managing Consultant im Bereich Information Security bei adesso SE

Kernthemen der Verordnung

IKT-Risikomanagement

Resilience Testing

IKT-Vorfallsmanagement

Management von Drittparteien

Informationsaustausch

Der IKT-Risikomanagementrahmen stärkt das Informationsrisiko- und Informationssicherheitsmanagement in Finanzunternehmen. Dies umfasst die Konzeption und den Betrieb von robusten IKT-Systemen und -Prozessen, die auch in Störungs- und in Notfällen wirksam funktionieren. Hierfür muss eine kontinuierliche Überwachung von IKT-Risiken und die Festlegung von Schutzmaßnahmen gewährleistet sein. Regelmäßige Tests sichern die Wirksamkeit aller Vorgaben, Pläne und Maßnahmen für einen dauerhaft stabilen Geschäftsbetrieb.

Das Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen umfasst die folgenden Punkte: Planung und Durchführung von Tests der IKT-Komponenten, Erkennung von Schwachstellen und deren Bewertung & Behandlung sowie die Durchführung von bedrohungsgesteuerten Penetrationstests (TLPT) für IKT-Dienste für kritische Funktionen mit der Einbindung von IKT-Drittdienstleistern.

Finanzunternehmen müssen zuverlässige Verfahren zur Behandlung von IKT-Vorfällen entwickeln. Um den Anforderungen gerecht zu werden, wird ein einheitliches Verfahren zur Überwachung, Klassifizierung und Meldung von IKT-Vorfällen an die Aufsichtsbehörden eingeführt.

Das IKT-Risikomanagement beinhaltet verstärkte Anforderungen an das 3rd & 4th Party Risk Management. Finanzunternehmen müssen die Risiken von IKT-Drittdienstleistern identifizieren und angemessen behandeln. Erstellung und Meldung eines Verzeichnisses der ausgelagerten Tätigkeiten sowie die Berücksichtigung der definierten Mindestvertragsinhalte mit den IKT-Dienstleistern.

Der regelmäßige Austausch von Informationen und Erkenntnisse über Cyberbedrohungen zwischen Finanzunternehmen und den Aufsichtsbehörden ist ein wichtiger Bestandteil transparenter Kommunikation.

Wer sind die handelnden Akteure?

Die Anforderungen der DORA-Verordnung (Artikel 2 Absatz 1) gelten für alle:

Kreditinstitute
Zahlungsinstitute
Kontoinformationsdienstleister
E-Geld-Institute

 
	
					Wertpapierfirmen
Anbieter von Krypto-Dienstleistungen
Zentralverwahrer
Handelsplätze
Transaktionsregister
Verwalter alternativer Investmentfonds
Verwaltungsgesellschaften
Datenbereitstellungsdienste
Versicherungs- und Rückversicherungsunternehmen
(Rück-)Versicherungsvermittler
Einrichtungen der betrieblichen Altersversorgung
Ratingagenturen
Schwarmfinanzierungsdienstleister
und weitere

				

Es gibt 2 Gruppen von Finanzunternehmen

Erfüllung hoher BaFin-Anforderungen

Dazu gehören Banken, Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften.

Diese Unternehmen kennen Ihre geltenden „Aufsichtlichen Anforderungen an die IT“ der BaFin (xAIT) und besitzen typischerweise funktionierende Managementsysteme für Informationssicherheit, Risiken, Notfälle und Dienstleister und betreiben ein abgestimmtes IT-Servicemanagement.

DORA erweitert die bereits vorhandenen Themenbereiche um verschiedene Aspekte.

Die Herausforderung besteht darin, die neuen Anforderungen zu bewerten und passgenau in die vorhandenen Managementsysteme zu integrieren.

adesso führt mit Ihnen einen Soll-Ist-Abgleich durch und unterstützen Sie bei der Bewertung und Umsetzung von Behandlungsmaßnahmen.

Gewährleistung von Grundabsicherung

Hier gilt es, einen kompletten Durchlauf über alle Anforderungen durchzuführen.

Bewährt haben sich hierfür sogenannte „Readiness-Checks“, die durch gezielte Fragestellungen eine strukturierte Abarbeitung der Anforderungen ermöglichen, um daraus Maßnahmenpläne zu entwickeln.

DORA definiert Verhältnismäßigkeitsschwellen, um die Aufwände für Finanzunternehmen erfüllbar zu halten und differenziert nach Unternehmensgröße und Umsatz.

Finanzunternehmen müssen für alle Beschäftigten und gegebenenfalls für IKT-Drittdienstleister verpflichtende Schulungen zur IKT-Sicherheit und zur digitalen operationalen Resilienz entwickeln und regelmäßig durchführen.

Die Schulungen müssen komplex und dem „jeweiligem Aufgabenbereich angemessen“ (Art. 13 Abs. 6 DORA) sein.

IKT-Drittdienstleister

Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Finanzunternehmen stellen außerdem sicher, dass vertragliche Vereinbarungen definierte Mindeststandards erfüllen.

Neben den betroffenen Finanzunternehmen nimmt DORA auch deren Dienstleister in die Pflicht, eine stabile Dienstleistungserbringung zu gewährleisten. Ein „IKT-Drittdienstleister“ ist gemäß Art. 3 Nr. 19 DORA „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.

„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.

(Art. 3 Nr. 19 DORA)

Zeitlicher Ablauf

Aufsichtsbehörden

DORA ist zwar veröffentlicht, aber noch nicht vollständig konkretisiert worden.

Ab Januar 2024 werden von der Europäischen Bankenaufsicht technische Regulierungsstandards bereitgestellt, u.a. zu den Themen:

Netzwerksicherheit
Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten
Kontrollen von Zugangs- und Zugriffsrechten
Erkennung anomaler Aktivitäten & Überwachung anomalen Verhaltens sowie Reaktionsprozesse

 
	
					IKT-Geschäftsfortführungsplanung
Überprüfung des IKT-Risikomanagementrahmens
Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
Meldungen über schwerwiegende IKT-bezogene Vorfälle 
Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT
Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos
Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten

				

Rahmenbedingungen für Sanktionen

Die EU-Mitgliedstaaten werden dazu verpflichtet, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam beaufsichtigen.

Geldbußen sollen unter Berücksichtigung der Umstände des Einzelfalls „wirksam, verhältnismäßig und abschreckend“ (Artikel 50 Abs. 3 DORA) sein.

Behörden können jegliche „Art von Maßnahme, auch finanzieller Art“ (Art. 50 Abs. 4c DORA) ergreifen, um Finanzunternehmen zu zwingen, Verstöße gegen die DORA-Vorgaben zu beheben.

Das adesso Serviceangebot

adesso verfügt über ein breites Erfahrungsspektrum in den Themenbereichen, die für eine erfolgreiche Umsetzung der DORA-Anforderungen erforderlich sind. Dies gilt insbesondere für das Informationssicherheitsmanagement (ISM), Informationsrisikomanagement (IRM), Business Continuity Management (BCM) und das Providermanagement. Die Erfüllung aller Anforderungen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus.

Für Finanzunternehmen und IKT-Dienstleister ist es daher wichtig, frühzeitig folgende Schritte einzuleiten:

Step 1 - Analyse: Anforderungen bewerten & Erfüllungsgrad feststellen in einem DORA Readiness-Check

Step 2 - Maßnahmenplanung: Handlungsfelder identifizieren & Roadmap erstellen

Step 3 - Umsetzung: Arbeitspakete umsetzen und organisatorisch verankern in der Projektmanagement & Umsetzungsunterstützung

Wir freuen uns auf Ihre Anfrage

Weitere Themen im Überblick

						adesso Security Services
						Unsere Lösung für eine IT von Morgen
				

Mit den adesso Security Services unterstützen wir die Kerngeschäftsprozesse von Unternehmen durch eine zielgerichtete Steuerung der Risiken im Kontext der Cyber- und Informationssicherheit. Profitieren Sie von erprobten Methoden, Tools und unseren Erfahrungen aus bereits erfolgreich umgesetzten Projekten.

						Integrated Risk Management
						Risiken minimieren und ineffiziente Prozesse eliminieren
				

Mit ServiceNow Integrated Risk Management werden ineffiziente Unternehmensprozesse in ein integriertes Risikoprogramm überführt. ServiceNow verbindet Business, Sicherheit und IT in einem integrierten Risiko-Framework, das manuelle, isolierte und ineffiziente Prozesse zentralisiert und optimiert.

						Security Awareness
						Sensibilisierung für Cybersicherheit
				

Unser Alltag wird zunehmend digital und vernetzt. Mit den Veränderungen der IT-Landschaft und ihren Vorteilen wachsen auch die Angriffsvektoren für Cyberattacken. Es spielt keine Rolle, ob Privatpersonen, Unternehmen oder staatliche Institutionen Ziele der Angriffe sind - die Absicht der Täter ist immer die Gleiche: Manipulation, Zerstörung oder Diebstahl.

Haben Sie Fragen zu DORA?

Sprechen Sie uns an und lassen Sie uns gemeinsam über Ihre konkreten Herausforderungen diskutieren.

Wir freuen uns über einen Austausch mit Ihnen – vor Ort oder digital.

Managing Consultant Tobias Dieter tobias.dieter@adesso.de

Kontakt

Digital Operational Resilience Act