DORA: Noch ein Jahr bis zur vollständigen Einhaltung des neuen Rechtsrahmens

news

In einem Jahr, am 17. Januar 2025, wird die EU-Verordnung über die über die digitale operationale Resilienz im Finanzsektor (DORA) in Kraft treten. Bis dahin müssen Finanzunternehmen alle aus der Verordnung resultierenden Anforderungen umsetzen.

[Translate to German:] finger pointing

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die IT-Sicherheit von Finanzunternehmen zu stärken und sicherzustellen, dass der Finanzsektor in Europa im Falle einer schweren Betriebsstörung widerstandsfähig bleibt.

Als Finanzunternehmen im Sinne von DORA gelten Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Rating-Agenturen, Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Diensten, Versicherungs- und Rückversicherungsunternehmen, Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste sowie Drittdienstleister für IKT und andere (Art. 2(1) DORA).

 

Was ist das Ziel von DORA?

Das übergeordnete Ziel von DORA ist es, ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen. 5 Säulen unterstützen die Erreichung dieses Ziels:

  1. IKT-Risikomanagementrahmen (Kapitel II)
  2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III)
  3. Testen der digitalen operationalen Resilienz (Kapitel IV)
  4. Management des IKT-Drittparteienrisikos (Kapitel V)
  5. Vereinbarungen über den Austausch von Informationen (Kapitel VI)

Was ist der Geltungsbereich von DORA?

Die Grundlagen werden im IKT-Risikomanagementrahmen (Kapitel II) definiert. Das Rahmenwerk soll Strategien, Richtlinien, Verfahren, IKT-Protokolle und Werkzeuge umfassen, die für einen angemessenen Schutz von Informationen und IKT-Assets erforderlich sind. Dazu gehören der Schutz von Computersoftware, Hardware und Servern sowie der Schutz der entsprechenden physischen Komponenten und Infrastrukturen wie Gebäude, Rechenzentren und sensible Bereiche. Das Hauptziel besteht darin, einen umfassenden Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich Schäden und unbefugtem Zugriff oder unbefugter Nutzung, zu gewährleisten.

Der IKT-Risikomanagementrahmen muss auch Mechanismen zur Erkennung, Reaktion und Wiederherstellung umfassen, die mit der zweiten Säule – der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III) – verlinkt sind. Dieser Bereich konzentriert sich auf die Bewertung der derzeitigen Maßnahmen zur Erkennung, Kategorisierung und Meldung von IT-Vorfällen, um die Notwendigkeit von Änderungen an den bestehenden Verfahren und mögliche Investitionen in zusätzliche Instrumente zu ermitteln.

Als Teil des IKT-Risikomanagementrahmens soll auch das Programm zur Überprüfung der digitalen operationellen Resilienz (Kapitel IV) integriert werden. Ziel ist es, die Bereitschaft zur Bewältigung von IKT-bezogenen Zwischenfällen zu bewerten, Schwachstellen, Mängel und Lücken in der digitalen operationellen Widerstandsfähigkeit zu identifizieren und umgehend Abhilfemaßnahmen zu ergreifen. Im Rahmen dieses Programms werden verschiedene Tests durchgeführt, darunter die Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.

Darüber hinaus sind bestimmte Finanzinstitute verpflichtet, ihre IKT-Tools, -Systeme und -Prozesse einer erweiterten Prüfung durch Bedrohungsgesteuerte Penetrationstests (TLPT) zu unterziehen. Welche Unternehmen dieser Verpflichtung unterliegen, werden von den zuständigen Behörden festgelegt.

Abschließend muss im IKT-Risikomanagement-Rahmen die Richtlinie für das Management des IKT-Drittparteienrisikos (Kapitel V) integriert werden. Dies beinhaltet eine Bewertung der von IKT-Drittanbietern angebotenen Dienstleistungen, um festzustellen, ob zusätzliche Regulierungs- und Kontrollmaßnahmen in Bezug auf die derzeitigen IT-Drittanbieter erforderlich sind.

Einige Normen, die einen detaillierteren Einblick in die Anforderungen von DORA geben sollen, befinden sich noch in der Verhandlungsphase - die technischen Regulierungsstandards (RTS) und die technischen Durchführungsstandards (ITS). Die Herausforderung besteht darin, sich auf die vollständige Einhaltung der Verordnung vorzubereiten und gleichzeitig auf die weiteren Präzisierungen vieler entscheidender Fragen zu warten.

Trotz des scheinbar langen Zeitraums von einem Jahr ist es ratsam, jetzt mit den Vorbereitungen zu beginnen. Obwohl die RTS und ITS noch nicht genehmigt sind, ist eine proaktive Vorbereitung unerlässlich. Sobald diese Standards offiziell verabschiedet sind, können Anpassungen an bestehenden Richtlinien vorgenommen werden, um diese mit den neuen Anforderungen in Einklang zu bringen.

DORA überträgt die Verantwortung auf die Leitungsorgane der Finanzinstitute und fordert von ihnen eine zentrale und aktive Rolle , beim Management und bei der Anpassung des IKT-Risikomanagementrahmens und der Gesamtstrategie für die digitale operationale Resilienz.

Lassen Sie uns über DORA sprechen

SEC Consult unterstützt Sie auf dem Weg zur Compliance.

Über den Autor

[Translate to German:] Anna-Maria Praks
Anna-Maria Praks
SEC Consult
R&D Lead Vulnerability Lab

Anna-Maria ist eine Fachfrau mit über 24 Jahren Erfahrung in der Sicherheitsbranche. Zu ihren Fachgebieten gehören Cybersicherheit, Verteidigungs- und Sicherheitspolitik, internationale Beziehungen und Regierungsangelegenheiten. Anna-Maria hat im Laufe ihrer Karriere in der Politik, in der Wissenschaft und in der Privatwirtschaft gearbeitet. Seit 2015 arbeitet sie als Forschungs- und Entwicklungsmanagerin bei SEC Consult.