In der neuesten Episode von „The Cybersecurity Compass“ tauchen wir tief in den Digital Operational Resilience Act (DORA) ein – eine wegweisende EU-Verordnung, die darauf abzielt, die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberbedrohungen zu stärken.
Ob Finanzinstitut, IKT-Dienstleister oder Versicherungsunternehmen – die Anforderungen von DORA werden maßgeblich beeinflussen, wie digitale Risiken gesteuert und Vorfälle bewältigt werden. Werfen wir einen Blick auf die zentralen Aspekte dieser neuen Regulierung und ihre Auswirkungen auf die Finanzbranche.
Digital Decade Strategy
Was ist DORA?
DORA ist Teil der Digital Decade Strategy der EU und ergänzt andere zentrale Initiativen wie den Cyber Resilience Act (CRA) und die NIS-2-Richtlinie.
Mit einem klaren Fokus auf den Finanzsektor führt DORA strenge Vorgaben für das Management von Informations- und Kommunikationstechnologie-(IKT-)Risiken ein. Ziel ist es, sicherzustellen, dass Finanzinstitute auch bei schwerwiegenden Cybervorfällen handlungs- und betriebsfähig bleiben.
Zentrale von DORA betroffene Finanzsektoren
Der Anwendungsbereich von DORA erstreckt sich auf zahlreiche Finanzakteure, darunter Kreditinstitute, Zahlungsdienstleister und Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, IKT-Drittanbieter wie Cloud- und Softwareanbieter sowie Crowdfunding-Dienstleister, Transaktionsregister und Verwalter alternativer Investmentfonds.
Diese Verordnung ist von zentraler Bedeutung für die Absicherung der Infrastruktur von Finanzinstituten und die Stärkung ihrer digitalen Resilienz.
DORA definiert mehrere zentrale Handlungsfelder für Finanzinstitute:
1. IKT-Risikomanagement:
Finanzunternehmen müssen ein umfassendes Framework zur Identifizierung, Überwachung und Steuerung von IKT-Risiken implementieren. Dazu gehört auch der Aufbau einer klaren Governance-Struktur mit eindeutig definierten Rollen und Verantwortlichkeiten auf Ebene des Senior Managements.
2. Meldung von Vorfällen:
DORA schreibt ein standardisiertes Verfahren zur Meldung von IKT-bezogenen Vorfällen vor, insbesondere bei Cyberbedrohungen und Sicherheitsverletzungen. Finanzunternehmen sind verpflichtet, solche Vorfälle unverzüglich an die zuständigen nationalen Behörden zu melden, um weitreichende Störungen zu verhindern.
3. Resilienztests:
Ein zentrales Element von DORA ist die Verpflichtung, die digitale Resilienz regelmäßig zu testen. Dies umfasst szenariobasierte Penetrationstests sowie Vulnerability-Analysen, um potenzielle Schwachstellen frühzeitig zu identifizieren und zu beheben.
4. Drittparteirisikomanagement:
Angesichts der zunehmenden Abhängigkeit von externen IKT-Dienstleistern verlangt DORA ein strukturiertes Management von Drittparteirisiken. Dazu gehören sorgfältige Due-Diligence-Prüfungen von Dienstleistern sowie vertragliche Regelungen zur Minimierung von Cyberrisiken.
5. Informationsaustausch:
DORA fördert die Zusammenarbeit innerhalb des Finanzsektors durch den Austausch von Informationen über Cyberbedrohungen. Diese Kooperation ist entscheidend, um die kollektive Abwehrfähigkeit zu stärken und die Ausbreitung von Vorfällen im gesamten Sektor zu verhindern.
Zeitplan für die Compliance
Finanzinstitute müssen bis zum 17. Januar 2025 vollständig auf die Umsetzung von DORA vorbereitet sein. Nachfolgend die wichtigsten Meilensteine:
- 24. September 2020: Vorschlag von DORA.
- 24. November 2021: Annahme der Position des Rates.
- 15. Dezember 2021: Annahme der Parlamentsposition für die Verhandlungen.
- Januar 2022: Beginn der Trilog-Verhandlungen.
- 10. Mai 2022: Vorläufige politische Einigung erzielt.
- 28. November 2022: Formelle Annahme von DORA.
- 16. Januar 2023: Inkrafttreten von DORA.
- 17. Januar 2025: Anwendbarkeit von DORA.
Fazit
DORA wird maßgeblich verändern, wie Finanzinstitute IKT-Risiken steuern, und legt dabei einen starken Fokus auf digitale Resilienz und Vorbereitung auf Vorfälle. Durch die Ausrichtung an den Anforderungen von DORA können Unternehmen nicht nur erhebliche Bußgelder vermeiden, sondern auch ihre Geschäftsprozesse nachhaltig gegen zukünftige Cyberbedrohungen absichern.
Für Organisationen, die sich auf DORA vorbereiten, ist jetzt der richtige Zeitpunkt, das eigene IKT-Risikomanagement, die Meldeprozesse für Vorfälle sowie Verträge mit Drittanbietern umfassend zu überprüfen.
Benötigen Sie Unterstützung bei der Umsetzung der DORA-Anforderungen? Kontaktieren Sie unsere Kolleg:innen Natalia und Ayhan – sie helfen Ihnen, im sich wandelnden Cybersecurity-Umfeld einen Schritt voraus zu bleiben.
Bleiben Sie dran für weitere Einblicke in den kommenden Episoden von „The Cybersecurity Compass“.
Ihr Ansprechpartner
Natalia Petrova-Korudzhiyski
Senior Business Consultant • BU Security & Safety
Ihr Ansprechpartner
Ayhan Mehmed
Lead Business Consultant • BU Security & Safety