Advertorial: Cyberresilienz stärken
Wie DORA Ihr Unternehmen schützt
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die operationelle Resilienz des Finanzsektors verbessern soll. Er gilt für fast alle Finanzinstitutionen, darunter Banken, Kredit- und Zahlungsinstitute, Fintechs, Wertpapierfirmen, Rating-Agenturen und Versicherungen.
Auch IKT-Drittdienstleister und Unternehmen, die Dienstleistungen für Finanzinstitute erbringen, fallen unter die Verordnung.
Der Hintergrund: Die in DORA gestellten Forderungen sollen Finanzinstitute befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und Betriebsrisiken zu stärken. Dadurch werden Risiken wie Geschäftsunterbrechungen, wirtschaftliche Verluste und juristische Konsequenzen verringert. Grundsätzlich möchte die EU mit der Verordnung das finanzielle Ökosystem gegenüber Cyberbedrohungen widerstandsfähiger machen. Denn die Finanzbranche ist zunehmend vernetzt, stark von digitalen Technologien abhängig und verarbeitet große Mengen an personenbezogenen Daten, wie Bankdaten, Sozialversicherungsnummern und Finanzinformationen.
Das bietet Cyberkriminellen zahlreiche Angriffsflächen, auch weil noch einheitliche Sicherheitsrichtlinien fehlen: 2022 war laut Statista der Finanzsektor neben der Versicherungsbranche am stärksten von Cyberangriffen betroffen. Eine Umfrage des International Monetary Fund (IMF) zeigt, dass 56 Prozent der Zentralbanken und Aufsichtsbehörden keine nationale Cyberstrategie haben. In 42 Porzent der EU-Länder gibt es keine Vorschriften zum Cybersicherheits- und Risikomanagement, und in 64 Prozent aller Länder sind Sicherheitsprüfungen nicht verpflichtend.
Die fünf Kernelemente von DORA im Detail
Mit DORA werden nun konsistente Sicherheitsstandards eingeführt und Anforderungen an die Unternehmen im Finanzsektor definiert. Die Vorgaben lassen sich in fünf Kernelemente unterteilen.
1. IKT-Risikomanagement implementieren
Mit einem Risikomanagement lässt sich die digitale betriebliche Resilienz bewerten, die auf früheren Sicherheitsvorfällen und auf der Leistungsfähigkeit der aktuellen Sicherheitsmaßnahmen basiert. Eine Strategie zum Umgang mit IKT-Risiken und zur Wiederherstellung des Sicherheitsstatus ist daher eine DORA-Forderung an Finanzunternehmen. Dazu sind Richtlinien, Prozesse und Protokolle für das Management von IKT-Risiken zu definieren sowie Kennzahlen festzulegen, um das Erreichen der Sicherheitsziele zu messen.
DORA nennt mehrere Maßnahmen, unter anderem sollten Finanzinstitute fortschrittliche IKT-Technologien und -Prozesse nutzen, um ihre Informationssicherheit zu stärken. Es müssen Mechanismen vorhanden sein, um verdächtige Aktivitäten und Bedrohungen zeitnah zu melden. Für Mitarbeitende und Führungskräfte ist auch ein verpflichtendes Training erforderlich, um sie im Bereich Cybersicherheit zu sensibilisieren.
2. IKT-bezogene Vorfälle behandeln, klassifizieren und melden
Die DORA-Verordnung verlangt, dass Finanzinstitutionen ein Meldesystem implementieren, um die Schwere eines IKT-Sicherheitsvorfalls zu bestimmen und mögliche grenzüberschreitende Auswirkungen zu beurteilen. Dadurch werden die Ursachen ermittelt und dokumentiert, und es wird festgelegt, wie zukünftige Vorfälle vermieden werden können.
3. Tests der digitalen operationalen Resilienz (DOR) durchführen
Ein weiterer wichtiger Aspekt der Sicherheit ist die Bewertung der Abwehrbereitschaft und potenzieller Schwachstellen. Zur DORA-Compliance gehört daher die Anforderung an Finanzinstitutionen, Tests zur digitalen operationalen Resilienz durchzuführen, wie Schwachstellenscans, Fragebögen, Quellcodeprüfungen sowie Kompatibilitäts- und Leistungstests usw. Test werden vor der Einführung von Anwendungen mit kritischen und wichtigen Funktionen des Finanzunternehmens empfohlen.
4. Das Risiko von IKT-Drittparteien verwalten
Wer mit externen IKT-Dienstleistern arbeitet, muss auch die Risiken aus der Zusammenarbeit mit Drittanbietern verwalten. Alle relevanten Risiken in den vertraglichen Vereinbarungen mit Drittanbietern müssen ermittelt und bewertet werden. DORA gibt vor, welche Elemente in Verträgen über die Nutzung von kritischen und nicht kritischen IKT-Dienstleistungen enthalten sein müssen. Kritische Dienstleister sind zum Beispiel solche, die die Stabilität, Kontinuität und Qualität der erbrachten Finanzdienstleistungen beeinflussen können.
5. Informationen und Erkenntnisse austauschen
Finanzunternehmen können relevante Informationen über IKT-bezogene Risiken innerhalb vertrauenswürdiger Gemeinschaften austauschen. Diese offene Kommunikation stärkt die digitale operationale Resilienz und reduziert die Risiken insgesamt für die Finanzbranche.
- Wie DORA Ihr Unternehmen schützt
- Die Roadmap zur DORA-Compliance
Lesen Sie mehr zum Thema
