Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine umfassende EU-Verordnung, die auf die Stärkung der IT-Sicherheit und des Risikomanagements im Finanzsektor abzielt und strenge Anforderungen für die Meldung von Vorfällen, die Durchführung von Tests und die Kontrolle durch Dritte vorschreibt.
Geschrieben von:
Bogdan Viher
Veröffentlicht am:
Auf sozialen Netzwerken teilen:

Der Digital Operational Resilience Act (DORA) ist eine Verordnung, die das digitale Risikomanagement in der Finanzindustrie der Europäischen Union (EU) verändern soll. Im Wesentlichen handelt es sich bei DORA um eine Reihe von Anforderungen an die EU-Finanzinstitute, um ihre wichtigsten Geschäftsprozesse vor technologischen Risiken zu schützen und ihre Herangehensweise an digitale Risiken, das Management von Vorfällen und die Beziehungen zu Dritten neu zu gestalten.

Speziell zielt DORA darauf ab, die IT-Sicherheit von Banken, Versicherungen, Wertpapierfirmen und anderen Organisationen des Finanzsektors zu stärken.

Für die Finanzunternehmen in der EU ist es wichtig, dass die IT-Direktoren und die Führungskräfte der Führungsebene DORA nicht nur als regulatorische Anforderung, sondern als strategische Notwendigkeit verstehen und sich darauf vorbereiten. Diese Dringlichkeit wird durch die schwerwiegenden Folgen der Nichteinhaltung unterstrichen:

  1. Finanzielle Strafen: Geldbußen von bis zu 10 Millionen Euro und bei schweren oder wiederholten Verstößen können diese Geldbußen verdoppelt werden.
  2. Schädigung des Verbrauchervertrauens: Die Nichteinhaltung von Vorschriften kann zu einer erhöhten Anfälligkeit für Cyber-Vorfälle führen, die möglicherweise zu Datenschutzverletzungen oder Serviceunterbrechungen führen können. Diese Ereignisse können den Ruf eines Unternehmens schädigen, das Vertrauen der Verbraucher beeinträchtigen und zu Kundenabwanderung und sinkenden Marktanteilen führen.
  3. Persönliche strafrechtliche Haftung: In Fällen schwerer Fahrlässigkeit oder vorsätzlichen Fehlverhaltens können leitende Angestellte und Vorstandsmitglieder persönlich strafrechtlich haftbar gemacht werden. Dies könnte individuelle Geldstrafen, Berufsverbot und in extremen Fällen sogar Haftstrafen beinhalten. Dieses persönliche Risiko unterstreicht die Notwendigkeit eines Engagements auf höchster Ebene, um die Einhaltung von DORA zu gewährleisten.

Angesichts dieser hohen Risiken müssen IT-Direktoren und C-Suite-Führungskräfte DORA nicht nur als eine gesetzliche Vorschrift, sondern auch als eine strategische Notwendigkeit verstehen und sich darauf vorbereiten.

Hintergrund und Geschichte

IKT-bezogene Vorfälle in Finanzinstituten können zu erheblichen Störungen, finanziellen Verlusten und Rufschädigung führen.

DORA ist eine Schlüsselkomponente der umfassenderen digitalen Finanzstrategie der Europäischen Kommission.

Sie zielt darauf ab:

  • Anforderungen an IKT-Risiken im Finanzsektor zu konsolidieren und zu verbessern
  • Ein Rahmen für IKT-Anbieter, einschließlich Cloud-Plattformen, zu schaffen
  • Einen Mechanismus für die Meldung von Vorfällen zu schaffen, um das Bewusstsein für Cyber-Bedrohungen zu schärfen
  • Stärkung der Tests für die digitale operative Belastbarkeit

Durch die Schaffung von Konsistenz, dieser Anforderungen in der gesamten EU, wird DORA dazu beitragen, die allgemeine Stabilität und Integrität der Finanzsysteme zu verbessern.

Warum DORA wichtig ist

DORA stellt einen bedeutenden Wandel bei der Schaffung eines einheitlichen Ansatzes für das IKT-Risikomanagement im gesamten EU-Finanzsektor dar. Es geht auf die wachsende Besorgnis über Cyber-Bedrohungen und technologische Schwachstellen ein, die zu Störungen in der Finanzindustrie führen könnten.

Zu den wichtigsten Aspekten gehören:

  1. Umfassender Anwendungsbereich: DORA gilt für eine breite Palette von Finanzunternehmen, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen und Finanzdienstleister.
  2. Harmonisierung: Es legt EU-weit einheitliche Anforderungen an das IKT-Risikomanagement fest und ersetzt damit den derzeitigen Flickenteppich nationaler Vorschriften.
  3. Aufsicht über Drittanbieter: DORA führt einen Rahmen für die Aufsicht über kritische IKT-Drittanbieter ein, einschließlich Cloud-Dienste.
  4. Meldung von Vorfällen: Sie schreibt standardisierte Meldemechanismen für größere IKT-bezogene Vorfälle vor.
  5. Resilienz-Tests: DORA verlangt regelmäßige Tests der digitalen betrieblichen Resilienz.

Ein Diagramm einer ZeitleisteBeschreibung automatisch generiert

Schlüsselbereiche von DORA

1. IKT-Risikomanagement

DORA schreibt einen umfassenden Rahmen für das IKT-Risikomanagement vor. Dazu gehören:

  • Identifizierung und Dokumentation von IKT-bezogenen Geschäftsfunktionen, Ressourcen und Abhängigkeiten
  • Kontinuierliche Risikobewertung und Strategien zur Risikominderung
  • Implementierung von Schutz- und Präventionsmaßnahmen
  • Entwicklung von Erkennungsfähigkeiten
  • Einführung von Reaktions- und Wiederherstellungsverfahren

2. Berichterstattung über Vorfälle

Implementierung von Prozessen zur Überwachung und Protokollierung von IKT-Vorfällen. Sie sind verpflichtet, diese Vorfälle anhand der von DORA festgelegten Kriterien zu klassifizieren. Darüber hinaus müssen sie größere Vorfälle innerhalb strenger Fristen an die zuständigen Behörden melden.

3. Reaktion und Wiederherstellung

Ein wesentlicher Schwerpunkt auf Reaktions- und Wiederherstellungsfähigkeiten sind -

Pläne zur Reaktion auf Vorfälle:

  • Entwickeln, dokumentieren und implementieren Sie umfassende Pläne zur Reaktion auf und Wiederherstellung nach IKT-bezogenen Vorfällen.
  • Diese Pläne sollten Verfahren zur sofortigen Erkennung, Analyse, Eindämmung und Abschwächung von Vorfällen enthalten.

Geschäftskontinuität:

  • Betreiben Sie eine Geschäftskontinuitätspolitik und Notfallpläne.
  • Regelmäßige Tests dieser Pläne sind obligatorisch, um die Effektivität sicherzustellen.

Backup-Verfahren:

  • DORA schreibt regelmäßige Backups kritischer Systeme und Daten vor.
  • Zu den spezifischen Anforderungen gehören eine festgelegte Backup-Häufigkeit, eine sichere externe Speicherung und regelmäßige Tests der Backup-Wiederherstellungsprozesse.

Zielvorgaben für die Wiederherstellungszeit (RTOs):

  • Einführen und regelmäßiges Testen der Fähigkeit, Systeme innerhalb festgelegter Zeitrahmen wiederherzustellen.
  • Minimieren Sie Betriebsunterbrechungen und sorgen Sie für eine schnelle Wiederherstellung nach Zwischenfällen.

Kommunikationsprotokolle:

  • Es müssen klare Verfahren für die interne und externe Kommunikation bei Zwischenfällen festgelegt werden.
  • Sorgen Sie für eine rechtzeitige und wirksame Reaktion, einschließlich der Benachrichtigung der zuständigen Behörden und Interessengruppen.

Analyse nach Vorfällen:

  • Nach bedeutenden Vorfällen müssen Organisationen gründliche Ursachenanalysen durchführen.
  • Die daraus gezogenen Lehren sollten in die Verbesserung des Risikomanagement-Rahmens einfließen.

4. Tests der digitalen operativen Belastbarkeit

DORA führt einen harmonisierten Rahmen für Tests der digitalen operativen Belastbarkeit ein:

  • Basistests wie Schwachstellenbewertungen und Netzwerksicherheitsscans für alle Unternehmen
  • Erweiterte Tests, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) für wichtige Unternehmen

5. IKT-Drittanbieter-Risikomanagement

Mit der zunehmenden Abhängigkeit von Drittanbietern schafft DORA:

  • Grundsätze, die in Vereinbarungen mit IKT-Drittanbietern aufgenommen werden müssen
  • Ein neuer Aufsichtsrahmen für kritische IKT-Drittanbieter

Eine automatisch generierte blaue und weiße textDescription

Quelle: McKinsey

6. Informationsaustausch

Der Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen Finanzunternehmen, um die kollektive Widerstandsfähigkeit zu verbessern.

Geltungsbereich und Anwendung

DORA gilt für ein breites Spektrum von Finanzunternehmen, die in der EU tätig sind, darunter:

  • Kreditinstitute
  • Zahlungsinstitute
  • Elektronische Geldinstitute
  • Wertpapierfirmen
  • Handelsplätze
  • Versicherungs- und Rückversicherungsunternehmen
  • Rating-Agenturen
  • Abschlussprüfer und Wirtschaftsprüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Kontoinformationen
  • Krypto-Asset-Dienstleister
  • Zentralverwahrer
  • Dienstleister für Datenmeldungen
  • Dienstleister von Drittanbietern

Maßnahmen zur Einhaltung der Vorschriften

Um die Anforderungen von DORA zu erfüllen, CIOs, CTOs, IT-Direktoren und andere IT-Verantwortliche sollten sich auf die folgenden Maßnahmen konzentrieren:

  1. Bewerten Sie die aktuellen Rahmenbedingungen: Bewerten Sie die bestehenden IKT-Risikomanagementprozesse anhand der Anforderungen, um Lücken zu identifizieren.
  2. Verbessern Sie das IKT-Risikomanagement: Implementieren Sie Prozesse zur Identifizierung, zum Schutz vor, zur Erkennung, zur Reaktion auf und zur Wiederherstellung nach IKT-bezogenen Störungen.
  3. Entwickeln Sie Mechanismen zur Meldung von Vorfällen: Richten Sie Systeme und Verfahren zur Erkennung und Meldung größerer IKT-bezogener Vorfälle innerhalb des erforderlichen Zeitrahmens ein.
  4. Durchführen von Belastbarkeitstests: Implementieren Sie ein Programm für regelmäßige Ausfallsicherheitstests, einschließlich Schwachstellenbewertungen und Penetrationstests.
  5. Überprüfen Sie Verträge mit Dritten: Prüfen und aktualisieren Sie die Vereinbarungen mit IKT-Dienstleistern, um sicherzustellen, dass sie den Anforderungen entsprechen.
  6. Vorbereiten Sie sich auf Audits: Bereiten Sie sich auf mögliche behördliche Prüfungen vor, indem Sie eine umfassende Dokumentation Ihrer IKT-Risikomanagementpraktiken führen.
  7. Implementieren Sie Maßnahmen zur Geschäftskontinuität und zum Datenschutz: Entwickeln und testen Sie Pläne zur Geschäftskontinuität und Notfallwiederherstellung, richten Sie sichere Backup-Verfahren ein, verbessern Sie den Datenschutz, erstellen Sie Protokolle für die Krisenkommunikation und führen Sie Mitarbeiterschulungen gemäß Anforderungen der Artikel 10 und 11 durch.

Fristen und Einhaltung

DORA trat am 16. Januar 2023 in Kraft. Finanzunternehmen haben jedoch bis zum 17. Januar 2025 Zeit, um die vollständige Einhaltung zu gewährleisten. Dieses Zeitfenster von zwei Jahren ist entscheidend für die Unternehmen, um ihre aktuellen Systeme zu bewerten, die notwendigen Änderungen zu implementieren und sich auf das neue regulatorische Umfeld vorzubereiten.

Wie wichtig es ist, jetzt zu handeln

Auch wenn das Jahr 2025 noch in weiter Ferne zu liegen scheint, erfordern der Umfang und die Tiefe der von DORA geforderten Änderungen ein frühes Handeln. Wer jetzt mit den Vorbereitungen beginnt, ist besser positioniert, um:

  • Verteilen Sie die Kosten für die Einhaltung der Vorschriften über einen längeren Zeitraum
  • Gewinnen Sie einen Wettbewerbsvorteil, indem Sie eine starke digitale Widerstandsfähigkeit demonstrieren
  • Vermeiden Sie Hektik in letzter Minute und potenzielle Strafen bei Nichteinhaltung der Vorschriften
  • .Strafen bei Nichteinhaltung
  • Beitrag zur allgemeinen Stabilität und Vertrauenswürdigkeit des EU-Finanzsystems

Weitere Informationen

Bogdan Viher

View LinkedIn profile for Bogdan Viher
Senior Direktor Kanal Atlassian

Bogdan arbeitet seit mehr als 15 Jahren mit VARs, Channel- und Vertriebspartnern zusammen. In dieser Zeit hat er ein tiefes Verständnis und eine Branchenperspektive für Datensicherung, Disaster Recovery, Migration, Backup und Ransomware-Schutz sowohl in lokalen als auch in öffentlichen Cloud-Umgebungen entwickelt. Er arbeitet eng mit unseren Atlassian-Vertriebspartnern und deren Kunden zusammen, um den Wert und die Vorteile von speziell entwickelten Datensicherungs- und DR-Lösungen für Multi-Cloud- und SaaS-Umgebungen zu demonstrieren.

Erleben Sie die Nr. 1 SaaS-Datenschutzplattform

Testen Sie HYCU selbst und werden Sie überzeugt.
HYCU kostenlos testen
Demo anfordern