Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen für die Meldung von Vorfällen, die Prüfung der Widerstandsfähigkeit und die Aufsicht durch Dritte vorschreibt.
HYCU, Experte für Backup-Services rund um SaaS-Tools erläutert die Bedeutung von Reaktions- und Wiederherstellungsfähigkeiten bei Cyberangriffen im Zusammenhang mit DORA. Konkret zielt die EU-Verordnung DORA darauf ab, die IT-Sicherheit von Banken, Versicherungsgesellschaften, Wertpapierfirmen und anderen Organisationen des Finanzsektors zu stärken. Für EU-Finanzunternehmen liegt der Schwerpunkt auf IT-Verantwortlichen und Führungskräften, die DORA nicht nur als eine gesetzliche Vorschrift, sondern als eine strategische Notwendigkeit verstehen und sich darauf vorbereiten müssen. Diese Dringlichkeit wird durch die schwerwiegenden Folgen der Nichteinhaltung unterstrichen:
- Finanzielle Strafen: Geldbußen von bis zu zehn Millionen Euro, bei schweren oder wiederholten Verstößen können diese Geldbußen verdoppelt werden.
- Beeinträchtigung des Verbrauchervertrauens: Die Nichteinhaltung von Vorschriften in einer erhöhten Anfälligkeit für Cybervorfälle resultieren, die möglicherweise zu Datenschutzverletzungen oder Dienstunterbrechungen führen. Diese Ereignisse können den Ruf eines Unternehmens schädigen, das Vertrauen der Verbraucher beeinträchtigen und zu Kundenabwanderung und sinkenden Marktanteilen führen.
- Persönliche strafrechtliche Haftung: In Fällen schwerer Fahrlässigkeit oder vorsätzlichen Fehlverhaltens können leitende Angestellte und Vorstandsmitglieder persönlich strafrechtlich haftbar gemacht werden. Dies könnte individuelle Geldstrafen, Berufsverbot und in extremen Fällen sogar Haftstrafen beinhalten. Dieses persönliche Risiko unterstreicht die Notwendigkeit, sich auf höchster Ebene für die Einhaltung der DORA-Vorschriften einzusetzen.
In Anbetracht dieser hohen Risiken sind IT-Verantwortliche und C-Suite-Führungskräfte gefordert, DORA nicht nur als eine gesetzliche Vorschrift zu verstehen und sich darauf vorzubereiten, sondern als eine strategische Notwendigkeit.
Warum DORA wichtig ist
DORA stellt einen bedeutenden Schritt zur Schaffung eines einheitlichen Ansatzes für das IKT-Risikomanagement im gesamten EU-Finanzsektor dar. Sie befasst sich mit der wachsenden Besorgnis über Cyberbedrohungen und technologische Schwachstellen, die zu Störungen in der Finanzbranche führen könnten.
Zu den wichtigsten Aspekten gehören:
- Umfassender Anwendungsbereich: DORA gilt für ein breites Spektrum von Finanzunternehmen, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen und Finanzdienstleister.
- Harmonisierung: Sie legt EU-weit einheitliche Anforderungen an das IKT-Risikomanagement fest und ersetzt damit den derzeitigen Flickenteppich nationaler Vorschriften.
- Beaufsichtigung durch Dritte: DORA führt einen Rahmen für die Beaufsichtigung kritischer IKT-Drittdienstleister, einschließlich Cloud-Dienste, ein.
Meldung von Vorfällen: Es schreibt standardisierte Meldeverfahren für größere IKT-bezogene Vorfälle vor. - Resilienztests: DORA verlangt regelmäßige Tests der digitalen Betriebsfestigkeit.
Schlüsselbereiche von DORA
1. IKT-Risikomanagement
DORA schreibt einen umfassenden IKT-Risikomanagementrahmen vor. Dies beinhaltet die Identifizierung und Dokumentation von IKT-bezogenen Geschäftsfunktionen, Ressourcen und Abhängigkeiten, die kontinuierliche Risikobewertung und Strategien zur Risikominderung, die Implementierung von Schutz- und Präventionsmaßnahmen, die Entwicklung von Erkennungsfähigkeiten sowie die Festlegung von Reaktions- und Wiederherstellungsverfahren.
2. Berichterstattung über Vorfälle
Dies betrifft die Implementierung von Prozessen zur Überwachung und Protokollierung von IKT-Vorfällen. Unternehmen sind verpflichtet, diese Vorfälle anhand der von DORA festgelegten Kriterien zu klassifizieren. Darüber hinaus müssen sie größere Vorfälle innerhalb strenger Fristen an die zuständigen Behörden melden.
3. Reaktion und Wiederherstellung
Die Reaktions- und Wiederherstellungsfähigkeiten sind von großer Bedeutung.
- Reaktionspläne für Zwischenfälle: DORA fordert die Entwicklung, Dokumentation und Umsetzung umfassender Pläne für die Reaktion auf und die Wiederherstellung nach IKT-bezogenen Vorfällen. Diese Pläne sollten Verfahren zur sofortigen Erkennung, Analyse, Eindämmung und Begrenzung von Zwischenfällen enthalten.
- Geschäftskontinuität: Unternehmen müssen Richtlinien zur Aufrechterhaltung des Geschäftsbetriebs und Pläne zur Wiederherstellung im Katastrophenfall aufstellen und befolgen. Regelmäßige Tests dieser Pläne sind obligatorisch, um ihre Wirksamkeit zu gewährleisten.
- Backup-Verfahren: DORA schreibt regelmäßige Backups von kritischen Systemen und Daten vor. Zu den besonderen Anforderungen gehören eine festgelegte Häufigkeit der Backups, eine sichere externe Speicherung und regelmäßige Tests der Backup-Wiederherstellungsprozesse.
- Zielvorgaben für die Wiederherstellungszeit (RTOs): Ebenso erforderlich sind das Festlegen und regelmäßige Testen der Fähigkeit zur Wiederherstellung von Systemen innerhalb festgelegter Zeitrahmen sowie die Minimierung von Betriebsunterbrechungen und Gewährleistung einer schnellen Wiederherstellung nach Zwischenfällen.
- Kommunikationsprotokolle: Es müssen klare Verfahren für die interne und externe Kommunikation bei Zwischenfällen festgelegt werden. Unternehmen sind verpflichtet zur Sicherstellung einer rechtzeitigen und wirksamen Reaktion, einschließlich der Benachrichtigung der zuständigen Behörden und Beteiligten.
- Analyse nach Zwischenfällen: Nach schwerwiegenden Vorfällen müssen Unternehmen gründliche Ursachenanalysen durchführen. Die daraus gezogenen Lehren sollten in die Verbesserung des Risikomanagementsystems einfließen.
4. Prüfung der digitalen operativen Belastbarkeit
DORA führt einen harmonisierten Rahmen für die Prüfung der digitalen operationellen Belastbarkeit ein: Dieser umfasst grundlegende Tests wie Schwachstellenbewertungen und Netzwerksicherheitsscans für alle Einheiten sowie fortgeschrittene Tests, einschließlich bedrohungsgesteuerter Penetrationstests (Threat-Led Penetration Testing, TLPT) für wichtige Einrichtungen.
5. IKT-Risikomanagement für Drittparteien
Angesichts der zunehmenden Abhängigkeit von Drittanbietern von Dienstleistungen schafft DORA Grundsätze, die in Vereinbarungen mit IKT-Drittdienstleistern aufgenommen werden müssen sowie einen neuen Aufsichtsrahmen für kritische IKT-Drittdienstleister.
„Um das Risiko von Drittanbietern effektiv zu managen, müssen Finanzinstitute erhebliche Anstrengungen an zwei Fronten unternehmen: Sicherstellung einer umfassenden Aufsicht über alle IKT-Dienstleister und die damit verbundenen Risiken und proaktives Management des digitalen Risikos, das mit kritischen IKT-Drittanbietern verbunden ist.“ Quelle: McKinsey
6. Informationsaustausch
DORA fordert den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen, um die kollektive Widerstandsfähigkeit zu erhöhen.
Umfang und Anwendung
DORA gilt für ein breites Spektrum von Finanzunternehmen, die in der EU tätig sind, darunter: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen, Rating-Agenturen, Abschlussprüfer und Prüfungsgesellschaften, Administratoren kritischer Benchmarks, Anbieter von Kontoinformationsdiensten, Anbieter von Krypto-Asset-Dienstleistungen, zentrale Wertpapierverwahrungsstellen, Anbieter von Datenübermittlungsdiensten sowie Drittanbieter von Dienstleistungen.
Maßnahmen zur Compliance
Um die Anforderungen von DORA zu erfüllen, sollten sich CIOs, CTOs, IT-Directors und andere IT-Verantwortliche auf die folgenden Maßnahmen konzentrieren:
- Bewertung der aktuellen Rahmenbedingungen: Prüfung der bestehenden IKT-Risikomanagementprozesse anhand der Anforderungen, um Lücken zu ermitteln.
- Verbesserung des IKT-Risikomanagement: Implementierung von Prozessen zur Identifizierung, zum Schutz vor, zur Erkennung von, zur Reaktion auf und zur Wiederherstellung nach IKT-bedingten Unterbrechungen.
- Mechanismen zur Meldung von Vorfällen entwickeln: Einrichtung von Systemen und Verfahren zur Erkennung und Meldung größerer IKT-bezogener Vorfälle innerhalb der vorgeschriebenen Fristen.
- Durchführung von Ausfallsicherheitstests: Umsetzung eines Programms für regelmäßige Belastbarkeitstests, einschließlich Schwachstellenbewertungen und Penetrationstests.
- Überprüfung von Verträgen mit Dritten: Prüfen und Aktualisieren der Vereinbarungen mit IKT-Dienstleistern, um sicherzustellen, dass sie den Anforderungen entsprechen.
- Vorbereitung auf Audits: Vorbereitung auf potenzielle behördliche Prüfungen, indem Unternehmen eine umfassende Dokumentation ihrer IKT-Risikomanagementpraktiken führen.
- Implementierung von Maßnahmen zur Geschäftskontinuität und zum Datenschutz: Entwickeln und regelmäßiges Testen von Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall, Einführung sicherer Backup-Verfahren, Verbesserung des Datenschutzes, Erstellung von Protokollen für die Krisenkommunikation und Durchführung von Mitarbeiterschulungen gemäß den Anforderungen der Artikel 10 und 11.
Fristen und Einhaltung
DORA ist am 16. Januar 2023 in Kraft getreten. Die Finanzunternehmen haben jedoch bis zum 17. Januar 2025 Zeit, um die vollständige Einhaltung der Vorschriften zu gewährleisten. Dieses Zeitfenster von zwei Jahren ist für die Unternehmen von entscheidender Bedeutung, um ihre aktuellen Systeme zu bewerten, die erforderlichen Änderungen umzusetzen und sich auf das neue Regelungsumfeld vorzubereiten.
Auch wenn das Jahr 2025 noch in weiter Ferne zu liegen scheint, erfordern der Umfang und die Tiefe der von DORA geforderten Änderungen ein frühzeitiges Handeln. Wer jetzt mit den Vorbereitungen beginnt, ist besser aufgestellt, um die Kosten für die Compliance über einen längeren Zeitraum zu verteilen und einen Wettbewerbsvorteil zu erlangen, indem das Unternehmen eine starke digitale Resilienz demonstriert. Eile in letzter Minute und mögliche Strafen bei Nichteinhaltung der Vorschriften gilt es zu vermeiden. So können Finanzunternehmen zur allgemeinen Stabilität und Vertrauenswürdigkeit des EU-Finanzsystems beizutragen.
Mehr bei HYCU.com
Über HYCU
HYCU ist der am schnellsten wachsende Marktführer im Bereich Multi-Cloud- und SaaS-basierter Data Protection as a Service. Durch die Bereitstellung echter SaaS-basierter Datensicherung und -wiederherstellung für lokale, Cloud-native und SaaS-Umgebungen bietet das Unternehmen Tausenden von Unternehmen weltweit unvergleichliche Datensicherung, Migration, Disaster Recovery und Schutz vor Ransomware.
Passende Artikel zum Thema