DORA: Neue Standards für Cyber-Risikomanagement im Finanzsektor
Die Digitalisierung des Finanzsektors bietet viele Chancen, bringt jedoch auch neue Herausforderungen und Risiken mit sich. Um diesen Risiken effektiv zu begegnen und die Widerstandsfähigkeit der Finanzinstitutionen gegenüber digitalen Bedrohungen zu stärken, hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt. In diesem Blogbeitrag stellen wir Ihnen die wesentlichen Elemente von DORA vor und zeigen, wie GFT Sie bei der Umsetzung unterstützen kann.
Was ist DORA?
DORA, der Digital Operational Resilience Act, ist eine umfassende Regulierung, die auf die Harmonisierung der Regeln für das Cyber-Risikomanagement im gesamten europäischen Finanzsektor abzielt. Mit DORA hat die Europäische Union eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz im Finanzsektor geschaffen.
Die Verordnung bietet einen standardisierten Ansatz für das Management von IKT-Risiken (Informations- und Kommunikationstechnologien-Risiken). Zu diesen Risiken zählen beispielsweise Datenlecks oder Systemausfälle, die sowohl aus internen Fehlern als auch aus externen Ereignissen wie Cyber-Attacken resultieren können.
Wesentliche Elemente von DORA
Verwaltung und Management
Eine der zentralen Anforderungen von DORA ist die Schaffung eines soliden Governance-Rahmens für die Verwaltung der digitalen operativen Resilienz. Dies umfasst:
- Die Entwicklung von Strategien und Verfahren zum Umgang mit IKT-Risiken
- Die laufende Identifizierung und Klassifizierung von digitalen Risiken und Schwachstellen
Operative Belastbarkeitstests
Regelmäßige Tests zur Bewertung der Resilienzmaßnahmen sind ein weiterer wichtiger Bestandteil von DORA. Diese Tests umfassen auch szenariobasierte Übungen, um sicherzustellen, dass die Institutionen auf verschiedene Arten von Cyber-Bedrohungen vorbereitet sind.
Risikomanagement für Drittparteien
Die Einhaltung der DORA-Bestimmungen durch Drittanbieter, wie z.B. Cloud-Anbieter, ist entscheidend. Finanzinstitutionen müssen sicherstellen, dass ihre Verträge mit Drittanbietern entsprechend strukturiert sind und dass diese Anbieter die erforderlichen Sicherheitsstandards erfüllen.
Incident Reporting
Ein klarer Prozess zur Klassifizierung und Meldung von IKT-bezogenen Vorfällen ist unerlässlich. DORA verlangt eine obligatorische Berichterstattung über wichtige Vorfälle, um eine schnelle und koordinierte Reaktion zu ermöglichen.
Informationsaustausch
Um die kollektive Widerstandsfähigkeit zu stärken, fordert DORA die Beteiligung an Informationsaustausch-Vereinbarungen. Dies hilft, Bedrohungen schneller zu erkennen und zu bewältigen.
Risikomanagement
Die Verantwortung für die Einhaltung der DORA-Bestimmungen liegt bei der Geschäftsleitung. So muss eine IKT- Risikokontrollfunktion eingerichtet sowie ein IKT-Risikomanagement implementiert werden.
Einführung und Umsetzung von DORA
Die Vorbereitung und Verhandlung von DORA auf EU-Ebene begann bereits 2020. Am 17. Januar 2023 trat die DORA-Verordnung in Kraft. Im Jahr 2023 und 2024 wurden die Rechtstexte erstellt, öffentlich konsultiert und von der EU-Kommission angenommen. Ab dem 17. Januar 2025 wird DORA offiziell angewendet, und eine Überprüfung durch die EU-Kommission ist für 2028 geplant.
Wie GFT Sie unterstützen kann
GFT bietet umfassende Dienstleistungen zur Unterstützung bei der Umsetzung von DORA. Dazu gehören:
IKT-Risikomanagement
Im Rahmen des IKT-Risikomanagements bieten wir IKT-Sicherheitsschulungen, die Implementierung von Verfahren zur Erkennung von IKT-Vorfällen und die Entwicklung einer umfassenden IKT-Sicherheitsstrategie an. Wir definieren Richtlinien für die IKT-Geschäftsfortführung und integrieren IKT-Risiken in das Risikohandbuch sowie die Risikoinventur. Übergreifende Risiken werden in die Risikostrategie und -prozesse aufgenommen. Darüber hinaus erarbeiten wir die notwendigen Vorstandsbeschlüsse und bereiten die interne und externe Risikokommunikation vor.
IKT-Drittparteirisikomanagement
Unsere Leistungen umfassen die Analyse bestehender Dienstleistungsverträge hinsichtlich ihrer IKT-Relevanz, die Einarbeitung und Bewertung neuer Klauseln sowie die Erstellung von Vorlagen für neue Verträge. Wir integrieren neue Bewertungskriterien für die Risikoanalyse von Verträgen, erstellen und pflegen das IKT-Informationsregister und entwickeln Prozesse zur Vermeidung von Redundanzen hinsichtlich der Auslagerungs- und Dienstleistersteuerung. Zudem integrieren wir die Rückmeldungen der Europäischen Aufsichtsbehörden (ESA) in die Risikobewertung und Dokumentation.
Testen der digitalen operationalen Resilienz
Wir prüfen die Schwachstellen von Auslagerungen und Service-Providern, führen jährliche Schwachstellen- und Penetrationstests durch und entwickeln einen Prozess für das Vorfallmanagement. Außerdem bewerten wir die Dringlichkeit, die Art des Risikos und die Kritikalität der relevanten Faktoren und führen fortgeschrittene TLPT-Tests für systemrelevante Finanzunternehmen durch. Zusätzlich unterstützen wir beim Informationsaustausch und begleiten unsere Kunden durch sektorübergreifende Notfallübungen.
IKT-Vorfallmeldewesen
Wir klassifizieren und definieren IKT-Vorfälle nach festgelegten Kriterien, legen angemessene Toleranzschwellen fest und implementieren einen Meldeprozess für IKT-bezogene Vorfälle.
Die Umsetzung von DORA stellt Finanzinstitutionen vor erhebliche Herausforderungen. GFT steht Ihnen als kompetenter Partner zur Seite, um diese Herausforderungen zu meistern.
Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren und wie wir Sie bei der erfolgreichen Umsetzung von DORA unterstützen können.