11.07.2024

DORA: Neue Standards für Cyber-Risikomanagement im Finanzsektor

Der Digital Operational Resilience Act (DORA) setzt neue Maßstäbe für das Cyber-Risikomanagement im Finanzsektor. Erfahren Sie, wie die EU-Verordnung Finanzinstitutionen stärkt und wie GFT Sie bei der Implementierung unterstützt.

Michael Dietrich

Manager

blogAbstractMinutes

blogAbstractTimeReading

Banking

Regulatorik

Consulting

contact

DORA: Stärkung der Cyber-Resilienz im digitalen Finanzsektor

Die Digitalisierung des Finanzsektors bietet viele Chancen, bringt jedoch auch neue Herausforderungen und Risiken mit sich. Um diesen Risiken effektiv zu begegnen und die Widerstandsfähigkeit der Finanzinstitutionen gegenüber digitalen Bedrohungen zu stärken, hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt. In diesem Blogbeitrag stellen wir Ihnen die wesentlichen Elemente von DORA vor und zeigen, wie GFT Sie bei der Umsetzung unterstützen kann.

Was ist DORA?

DORA, der Digital Operational Resilience Act, ist eine umfassende Regulierung, die auf die Harmonisierung der Regeln für das Cyber-Risikomanagement im gesamten europäischen Finanzsektor abzielt. Mit DORA hat die Europäische Union eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz im Finanzsektor geschaffen.

Die Verordnung bietet einen standardisierten Ansatz für das Management von IKT-Risiken (Informations- und Kommunikationstechnologien-Risiken). Zu diesen Risiken zählen beispielsweise Datenlecks oder Systemausfälle, die sowohl aus internen Fehlern als auch aus externen Ereignissen wie Cyber-Attacken resultieren können.

Wesentliche Elemente von DORA

Verwaltung und Management

Eine der zentralen Anforderungen von DORA ist die Schaffung eines soliden Governance-Rahmens für die Verwaltung der digitalen operativen Resilienz. Dies umfasst:

Die Entwicklung von Strategien und Verfahren zum Umgang mit IKT-Risiken
Die laufende Identifizierung und Klassifizierung von digitalen Risiken und Schwachstellen

Operative Belastbarkeitstests

Regelmäßige Tests zur Bewertung der Resilienzmaßnahmen sind ein weiterer wichtiger Bestandteil von DORA. Diese Tests umfassen auch szenariobasierte Übungen, um sicherzustellen, dass die Institutionen auf verschiedene Arten von Cyber-Bedrohungen vorbereitet sind.

Risikomanagement für Drittparteien

Die Einhaltung der DORA-Bestimmungen durch Drittanbieter, wie z.B. Cloud-Anbieter, ist entscheidend. Finanzinstitutionen müssen sicherstellen, dass ihre Verträge mit Drittanbietern entsprechend strukturiert sind und dass diese Anbieter die erforderlichen Sicherheitsstandards erfüllen.

Incident Reporting

Ein klarer Prozess zur Klassifizierung und Meldung von IKT-bezogenen Vorfällen ist unerlässlich. DORA verlangt eine obligatorische Berichterstattung über wichtige Vorfälle, um eine schnelle und koordinierte Reaktion zu ermöglichen.

Informationsaustausch

Um die kollektive Widerstandsfähigkeit zu stärken, fordert DORA die Beteiligung an Informationsaustausch-Vereinbarungen. Dies hilft, Bedrohungen schneller zu erkennen und zu bewältigen.

Risikomanagement

Die Verantwortung für die Einhaltung der DORA-Bestimmungen liegt bei der Geschäftsleitung. So muss eine IKT- Risikokontrollfunktion eingerichtet sowie ein IKT-Risikomanagement implementiert werden.

Einführung und Umsetzung von DORA

Die Vorbereitung und Verhandlung von DORA auf EU-Ebene begann bereits 2020. Am 17. Januar 2023 trat die DORA-Verordnung in Kraft. Im Jahr 2023 und 2024 wurden die Rechtstexte erstellt, öffentlich konsultiert und von der EU-Kommission angenommen. Ab dem 17. Januar 2025 wird DORA offiziell angewendet, und eine Überprüfung durch die EU-Kommission ist für 2028 geplant.

Wie GFT Sie unterstützen kann

GFT bietet umfassende Dienstleistungen zur Unterstützung bei der Umsetzung von DORA. Dazu gehören:

IKT-Risikomanagement

Im Rahmen des IKT-Risikomanagements bieten wir IKT-Sicherheitsschulungen, die Implementierung von Verfahren zur Erkennung von IKT-Vorfällen und die Entwicklung einer umfassenden IKT-Sicherheitsstrategie an. Wir definieren Richtlinien für die IKT-Geschäftsfortführung und integrieren IKT-Risiken in das Risikohandbuch sowie die Risikoinventur. Übergreifende Risiken werden in die Risikostrategie und -prozesse aufgenommen. Darüber hinaus erarbeiten wir die notwendigen Vorstandsbeschlüsse und bereiten die interne und externe Risikokommunikation vor.

IKT-Drittparteirisikomanagement

Unsere Leistungen umfassen die Analyse bestehender Dienstleistungsverträge hinsichtlich ihrer IKT-Relevanz, die Einarbeitung und Bewertung neuer Klauseln sowie die Erstellung von Vorlagen für neue Verträge. Wir integrieren neue Bewertungskriterien für die Risikoanalyse von Verträgen, erstellen und pflegen das IKT-Informationsregister und entwickeln Prozesse zur Vermeidung von Redundanzen hinsichtlich der Auslagerungs- und Dienstleistersteuerung. Zudem integrieren wir die Rückmeldungen der Europäischen Aufsichtsbehörden (ESA) in die Risikobewertung und Dokumentation.

Testen der digitalen operationalen Resilienz

Wir prüfen die Schwachstellen von Auslagerungen und Service-Providern, führen jährliche Schwachstellen- und Penetrationstests durch und entwickeln einen Prozess für das Vorfallmanagement. Außerdem bewerten wir die Dringlichkeit, die Art des Risikos und die Kritikalität der relevanten Faktoren und führen fortgeschrittene TLPT-Tests für systemrelevante Finanzunternehmen durch. Zusätzlich unterstützen wir beim Informationsaustausch und begleiten unsere Kunden durch sektorübergreifende Notfallübungen.

IKT-Vorfallmeldewesen

Wir klassifizieren und definieren IKT-Vorfälle nach festgelegten Kriterien, legen angemessene Toleranzschwellen fest und implementieren einen Meldeprozess für IKT-bezogene Vorfälle.

Die Umsetzung von DORA stellt Finanzinstitutionen vor erhebliche Herausforderungen. GFT steht Ihnen als kompetenter Partner zur Seite, um diese Herausforderungen zu meistern.

Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren und wie wir Sie bei der erfolgreichen Umsetzung von DORA unterstützen können.