Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine Verordnung zur Stärkung der digitalen Sicherheit von Finanzinstituten in der Europäischen Union (EU). DORA ist zwar bereits 2023 in Kraft getreten, doch muss die Verordnung ab Januar 2025 von allen Finanzinstituten der EU sowie externen Anbietern von Informations- und Kommunikationstechnologie (ICT) vollständig übernommen werden, um ihren Schutz vor potenziellen Cyberbedrohungen zu verbessern.

Lesen Sie weiter, um mehr über die Ziele von DORA, die wichtigsten Säulen von Konformität und die Frage zu erfahren, wie sich Ihr Unternehmen auf DORA vorbereiten kann.

Der Zweck von DORA

Die beiden Hauptziele von DORA sind eine verbesserte Reduzierung von ICT-Risiken bei Finanzdienstleistern sowie die Vereinheitlichung bestehender Vorschriften für das ICT-Risikomanagement in einzelnen EU-Mitgliedstaaten.

Adressierung des ICT-Risikomanagements im Finanzsektor

In Finanzinstituten der EU konzentrieren sich die Vorschriften für das Risikomanagement darauf, sicherzustellen, dass Unternehmen über genügend Geld verfügen, um Risiken im Rahmen ihrer Geschäftstätigkeit bewältigen zu können. Das Problem dabei ist jedoch, dass manche Unternehmen über ICT-Richtlinien verfügen, andere hingegen nicht. Ohne einheitliche Sicherheitsstandards oder Vorschriften für das ICT-Risikomanagement muss jeder EU-Mitgliedstaat eigene Anforderungen erarbeiten. DORA wird den Finanzsektor sicherer machen und in die Lage versetzen, Risiken im Zusammenhang mit Online-Systemen und technologische Schwachstellen besser zu handhaben, indem die entsprechenden Anforderungen standardisiert werden.

Harmonisierung von Vorschriften für das Risikomanagement in einem einzigen Framework

Mittels DORA kann die EU ein einheitliches Sicherheits-Framework nutzen, mit dem sich ICT-Risiken verwalten lassen, insbesondere im Finanzdienstleistungssektor. Dadurch werden Unterschiede zwischen verschiedenen EU-Staaten in Bezug auf ihre Standards beseitigt, sodass Finanzinstitute den Compliance-Prozess leichter befolgen können. DORA wird Unternehmen dabei helfen, besser zu verstehen, was im Fall eines Sicherheitsrisikos zu tun ist.

Die fünf Säulen von DORA-Compliance

Von DORA betroffene Unternehmen in der EU müssen bis zum 17. Januar 2025 die fünf Compliance-Säulen erfüllen.

1. ICT-Risikomanagement

Das ICT-Risikomanagement ist die Grundlage von DORA, da dadurch Risiken im Zusammenhang mit der Nutzung von Technologie in einem Unternehmen erkannt und analysiert werden. Finanzinstitute müssen unter Mitwirkung wichtiger Stakeholder und Führungskräfte ein ICT-Risikomanagement-Framework befolgen, um eine effektive Kommunikation hinsichtlich potenzieller Sicherheitsrisiken zu ermöglichen. Im Rahmen des ICT-Risikomanagements müssen die geeigneten Tools, Dokumente und Prozesse detailliert beschrieben werden, die Unternehmen vor operativen Risiken und Cyberbedrohungen schützen sollen. Ohne angemessenes ICT-Risikomanagement weisen Unternehmen ein höheres Risiko auf, dass es zu Datenschutzverletzungen und anderen Sicherheitsproblemen kommt, die Unternehmen und ihren Ruf schädigen könnten.

2. Meldung von ICT-Vorfällen

Sobald ein Framework für das ICT-Risikomanagement eingerichtet ist, müssen Unternehmen wissen, wie sie auftretende Vorfälle melden können. Mit DORA wird die Meldung von ICT-Vorfällen zu einem einfacheren Prozess, da die entsprechenden Berichte in einem optimierten Kanal konsolidiert werden. Finanzinstitute müssen gemäß der neuen EU-Meldevorschriften nach einem schwerwiegenden ICT-Vorfall innerhalb eines Monats einen Ursachenbericht an einen einheitlichen EU-Hub übermitteln. Sobald ein Unternehmen einen Ursachenbericht eingereicht hat, prüft der EU-Hub alle wesentlichen ICT-bezogenen Berichte und sammelt zugehörige Daten, um zu ermitteln, ob es häufige Sicherheitslücken bei Finanzinstituten gibt.

3. Tests der digitalen betrieblichen Belastbarkeit

Manche Finanzinstitute beauftragen derzeit unabhängige Parteien mit regelmäßigen Tests der digitalen betrieblichen Belastbarkeit. Dabei werden Methoden, Verfahren, Tools und Wiederherstellungssysteme getestet, um eine Vorbereitung auf ICT-bezogene Risiken zu ermöglichen. Obwohl es bereits bestehende Frameworks gibt, die Tests der digitalen betrieblichen Belastbarkeit für bestimmte Finanzinstitute abdecken, wird DORA zu einer Verbreitung der Testanforderungen im gesamten Finanzdienstleistungssektor führen. Dadurch wird die Anzahl der Unternehmen, die für Tests zur digitalen betrieblichen Belastbarkeit durchführen müssen, steigen. Das wird die Kosten für die Beauftragung unabhängiger Parteien minimieren und die Wahrscheinlichkeit von Cyberangriffen reduzieren.

4. Weitergabe von Informationen

Sobald DORA vollständig in Kraft ist, müssen Unternehmen Daten zu Cyberbedrohungen innerhalb vertrauenswürdiger Finanz-Communities austauschen. Das Hauptziel besteht darin, anderen Unternehmen dabei zu helfen, sich über potenzielle Cyberbedrohungen zu informieren, damit sie eigene Lösungen zum Schutz vertraulicher Daten entwickeln können. Unternehmen werden Strategien skizzieren und austauschen, die sie zur Bekämpfung von Cyberbedrohungen nutzen können, um die Gesamtsicherheit in der Finanzdienstleistungsbranche zu verbessern.

5. Risikomanagement für externe ICT-Anbieter

Finanzinstitute müssen Verträge mit allen „kritischen“ ICT-Dienstleistern abschließen, in denen Themen wie Datenschutz und Vorfallmanagement besprochen werden. Was bestimmte ICT-Dienstleister als „kritisch“ auszeichnet, sind Dienste, die für die täglichen Abläufe eines Unternehmens von entscheidender Bedeutung sind. Verträge mit kritischen Drittanbietern stellen sicher, dass sie ihre verbundenen Finanzinstitute im Falle eines Datendiebstahls oder eines anderen Cyberangriffs unterstützen müssen. Wenn ein Vertrag unterzeichnet wird, muss der Drittanbieter aufgrund seines „kritischen“ Status beispielsweise angemessene Daten weitergeben und höchste Sicherheitsstandards für Dienstleistungen, die einem DORA-konformen Finanzunternehmen bereitgestellt werden, einhalten.

So können Sie sich auf DORA-Compliance vorbereiten

Ihr Unternehmen kann sich auf verschiedene Weise auf die Erfüllung der DORA-Anforderungen vorbereiten. Dazu gehören die Durchführung einer DORA-Gap-Analyse, die Identifizierung kritischer Drittanbieter und die Evaluierung Ihres vorhandenen Notfallplans.

Führen Sie eine DORA-Gap-Analyse durch

Um alle Lücken in ICT-Systemen zu ermitteln, sollte Ihr Unternehmen eine DORA-Gap-Analyse durchführen. Sie können Ihre aktuellen Praktiken bewerten, indem Sie sie mit den Anforderungen von DORA vergleichen. So können Sie leichter ermitteln, welche Bereiche Ihr Unternehmen verbessern muss, um den neuen Anforderungen gerecht zu werden. Auf Grundlage der Ergebnisse Ihrer DORA-Gap-Analyse müssen Sie möglicherweise eine Behebungs-Roadmap erstellen, um Lücken in Ihrem Unternehmen zu schließen. Wenn Ihre Gap-Analyse beispielsweise ergibt, dass Ihr Unternehmen noch nicht am Datenaustausch teilnimmt, müssen Sie Maßnahmen ermitteln und einen Zeitplan erstellen, um sicherzustellen, dass Ihr Unternehmen DORA-Konformität erreicht.

Identifizieren Sie kritische externe ICT-Anbieter

Ihr Unternehmen muss ermitteln, ob Sie mit „kritischen“ externen ICT-Anbietern zusammenarbeiten, indem Sie alle Eigenschaften ermitteln, die diese Kategorisierung definieren. Wenn Sie auf externe Cloud Service Provider (CSPs) zurückgreifen, muss Ihr Sicherheitsteam sicherstellen, dass diese Anbieter ebenfalls DORA-konform sind, und Verträge mit ihnen unterzeichnen. Sie sollten unbedingt ermitteln, welche Ihrer externen Dienstleister in die Kategorie „kritisch“ fallen, da Sie ggf. Teams einrichten und Software ändern müssen, um DORA-Compliance zu gewährleisten.

Evaluieren Sie Ihren aktuellen Notfallplan

Ein Notfallplan weist Verantwortlichkeiten zu und legt Verfahren fest, die Mitarbeiter eines Unternehmens befolgen müssen, wenn es zu einem Datendiebstahl oder einem Cyberangriff kommt. Mit einem etablierten Notfallplan muss Ihr Unternehmen nicht in Panik geraten, wenn etwas schief geht, sondern ist bereit, Angriffe zu identifizieren, zu bewerten, zu beheben und zu verhindern, dass es erneut zu Angriffen kommt. Angenommen, Ihr Unternehmen hat bereits einen Notfallplan erarbeitet: In dem Fall müssen Sie erneut untersuchen, ob Ihr aktueller Plan DORA-konform ist. Vergleichen Sie Ihren aktuellen Plan mit den Anforderungen von DORA, um zu ermitteln, ob Ihr Unternehmen bestimmte Vorschriften erfüllen kann. Wenn Sie Ihren Notfallplan testen, indem Sie einen Datendiebstahl simulieren, und Schwachstellen entdecken, müssen Sie auch Ihre interne Berichterstattung anpassen, um die DORA-Standards zu erfüllen.

Was passiert, wenn Unternehmen DORA nicht erfüllen?

Wenn ein Finanzinstitut DORA-Bestimmungen nicht einhält, können die Behörden Bußgelder in Höhe von bis zu 2 % des jährlichen globalen Umsatzes des betroffenen Unternehmens verhängen. Während das Unternehmen als Ganzes darunter leiden wird, wenn es DORA nicht einhält, können auch einzelne Manager Geldstrafen von bis zu einer Million Euro erhalten. Für alle „kritischen“ externen ICT-Anbieter, die DORA nicht einhalten, kann die Strafe bis zu fünf Millionen Euro betragen.

Wie KeeperPAM® Ihnen helfen kann, DORA-Bestimmungen zu erfüllen

Ihr Unternehmen kann seine Sicherheit verbessern und einzelne DORA-Compliance-Anforderungen erfüllen, indem Sie in eine Privileged Access Management (PAM)-Lösung wie KeeperPAM investieren. Wenn Sie KeeperPAM nutzen, kann Ihr Unternehmen Mitarbeiter und Systeme, die mit sensiblen Daten und kritischen Konten in Berührung kommen, genau überwachen und verwalten. So lassen sich Fehler oder Schwachstellen, die zu Datenschutzverletzungen oder Cyberangriffen führen können, erheblich reduzieren. KeeperPAM kann Unternehmen im Finanzsektor helfen, DORA-Bestimmungen zu erfüllen, indem die Lösung ihre Angriffsfläche reduziert, sicheren Zugriff für autorisierte Benutzer gewährleistet und eine vollständige Berichterstattung für jedes privilegierte Konto ermöglicht.

Fordern Sie noch heute eine Demo von KeeperPAM an, um dafür zu sorgen, dass Ihr Unternehmen auf DORA-Compliance-Anforderungen vorbereitet ist und maximalen Schutz für sensible Daten bieten kann.