Was ist DORA und was ist zu erwarten?

DORA steht für "Digital Operational Resilience Act" und ist eine neue Verordnung zur digitalen operativen Widerstandsfähigkeit, die sich auf Zehntausende von Finanzdienstleistungsunternehmen in der Europäischen Union auswirken wird. Auch externe Anbieter von Informations- und Kommunikationstechnologien (IKT) sind betroffen. Die Europäische Union strebt durch ihre Maßnahmen die Schaffung eines Finanzsektors an, der den Kunden den Zugang zu innovativen Finanzprodukten ermöglicht und gleichzeitig den Verbraucherschutz und die finanzielle Stabilität gewährleistet. All dies macht die Arbeit an der Datensicherheit im Finanzsektor zu einer größeren Aufgabe als je zuvor. Was ist zu erwarten?

Was ist DORA? 

Der Digital Operational Resilience Act (DORA) ist eine wichtige Verordnung, die für die gesamte Europäische Union gilt. Sie legt einheitliche Anforderungen in Bezug auf die Sicherheit von Netzwerken und Informationssystemen im Finanzsektor sowie von wichtigen IKT-Dienstleistungsanbietern fest, die IKT-Dienste erbringen. Bisherige IKT-Vorschriften galten nur für Finanzinstitute. Die Aufsichtspraxis und der Markt haben jedoch gezeigt, dass die fehlende direkte Aufsicht über IKT-Anbieter die effektive Gewährleistung der Cybersicherheit im Finanzsektor behindert.

DORA bringt Verpflichtungen für wichtige IKT-Dienstleister mit sich. Dies reicht von einem strengen Risikomanagement mit externen Lieferanten bis hin zur kontinuierlichen Überwachung von Datensicherheitssystemen und der Verteilung von mit IKT verbundenen Risiken. Darüber hinaus legt die DORA-Verordnung ausführliche Aufsichtsbefugnisse fest, die hauptsächlich von der federführenden Aufsichtsbehörde wahrgenommen werden. Die Umsetzung von DORA erfordert einen völlig neuen Grad an Aufwand und Engagement, um die Compliance mit den Vorschriften sicherzustellen.

Zeitplan von DORA in Kürze:

• 28. November 2022: Der Europäische Rat hat DORA verabschiedet.
• 16. Januar 2023: DORA tritt nach einer 24-monatigen Übergangszeit in Kraft.
• 2023: Die Europäischen Aufsichtsbehörden (ESA) entwickeln erste technische Standards. 
• 2024: ESA wird über die Standards informieren und Leitlinien an interessierte Finanzinstitute weitergeben. 
• 17. Januar 2025: Die Anforderungen von DORA werden durchsetzbar. 
• 2025: Penetrationstests beginnen.

Was ist das Ziel von DORA?

Das Ziel von DORA ist die Stärkung der digitalen Widerstandsfähigkeit in der Europäischen Union. Es zielt darauf ab, sensible Daten, die für Finanzinstitute und ihre IKT-Dienstleister zugänglich sind, vor böswilligen Akteuren in der Cyberwelt zu schützen.

DORA schafft einen Satz von Regeln für alle in der Finanzbranche in der Hoffnung, die Bemühungen um die Datensicherheit in den Mitgliedstaaten der EU zu harmonisieren und Lücken und Inkonsistenzen in den bestehenden EU-Vorschriften zu schließen.

Was ist der Anwendungsbereich der DORA-Richtlinie?

DORA gilt für eine breite Palette von Finanzinstituten, die im europäischen Finanzsystem tätig sind, sowie für IKT-Dienstleister, die diese unterstützen. Solange ein Finanzunternehmen in irgendeiner Form auf dem EU-Markt tätig ist, muss es DORA befolgen, ebenso wie seine externen Lieferanten. Dies gilt auch für Unternehmen mit Sitz außerhalb der EU.

Für welche Finanzorganisationen gilt DORA? 

Für alle! Zum Beispiel: 

• Banken
• Zahlungsdienstleister
• Kryptowährungsunternehmen
• Investmentfirmen
• Rentenfonds
• Versicherungsunternehmen  

Der Anwendungsbereich von DORA erstreckt sich über Finanzinstitute hinaus und umfasst auch externe Dienstleister, unabhängig von ihrem Standort. Warum? Denn logischerweise kann selbst ein Finanzinstitut, das umfassende Maßnahmen zum Schutz von Daten ergreift, nicht kontrollieren, was seine Lieferanten tun.

Es ist erwähnenswert, dass DORA seine regulatorischen Vorgaben nicht nur auf Unternehmen mit Sitz in der EU beschränkt. Sie gilt auch für Finanzunternehmen außerhalb der EU, die im EU-Markt tätig sind. Das bedeutet, dass selbst wenn ein Finanzunternehmen außerhalb der EU ansässig ist, aber im EU-Markt aktiv ist, es den Bestimmungen in DORA unterliegt. 

Was sind die Hauptziele von DORA?

Lassen Sie uns die wichtigsten Ziele von DORA betrachten, um die Verordnung besser zu verstehen.

 Hier sind die fünf Hauptpfeiler von DORA:

1. Risikomanagement für IKT (Informations- und Kommunikationstechnologie)
   
   DORA zielt darauf ab, dass Organisationen proaktiv sensible Daten mithilfe robuster Cybersecurity-Management-Systeme schützen. Finanzinstitute müssen sich nicht nur auf die Prävention konzentrieren, sondern auch auf die Erkennung, Abwehr, Wiederherstellung und Behebung. Eine risikobasierte Sicherheitspolitik wird verpflichtend sein.
   
   Dieser DORA-Vorschrift betont die Notwendigkeit kontinuierlicher Überwachung und Kontrolle der ICT-Sicherheitswerkzeuge. Diese Anforderung unterstreicht die Bedeutung der Einführung fortschrittlicher Data-Loss-Prevention (DLP)-Lösungen, die automatisierte Erkennung von Vorfällen und die Möglichkeit zur Risikobewertung bieten.
    
   Ein weiteres Thema ist die Risikokonzentration. DORA untersagt Organisationen, sich auf einen einzigen Anbieter für kritische Prozesse zu verlassen, und bevorzugt stattdessen eine Vielzahl von Sicherheitsanbietern. Auf diese Weise wird das Risiko für das Finanzinstitut minimiert, wenn ein System oder Anbieter beeinträchtigt wird.
    
2. Meldung von IKT-Vorfällen
   
   Finanzinstitute sind verpflichtet, ernsthafte IKT-bezogene Vorfälle und wesentliche Cybersicherheitsbedrohungen den entsprechenden Behörden zu melden. Das Ziel ist es, die Transparenz und Koordination in Bezug auf Cyber-Vorfälle zu verbessern. Eine schnelle Reaktion ist eine effektivere Reaktion. Das bedeutet, dass sie die Behörden sofort benachrichtigen müssen, wenn etwas mit ihren digitalen Systemen schiefgeht.
   
   Darüber hinaus müssen auch Vorfälle gemeldet werden, die sich auf IKT-Dienstleister auswirken, auf die sich Finanzorganisationen verlassen. Auf diese Weise können alle potenziellen Bedrohungen erkannt werden, die sich im vernetzten Finanzökosystem ausbreiten könnten.
    
3. Tests zur operativen digitalen Widerstandsfähigkeit
   
   Diese jährlichen fortgeschrittenen Tests sollen sicherstellen, dass Finanzinstitute in der Lage sind, auf verschiedene Störungen und IKT-Bedrohungen zu reagieren und ihre Funktionsfähigkeit wiederherzustellen. Externe Anbieter müssen ebenfalls bei regelmäßigen Penetrationstests zusammenarbeiten. Alle Parteien müssen dann die durch diese Tests identifizierten Sicherheitslücken beseitigen. 
    
4. Risikomanagement für externe IKT-Dienstleister 
   
   Finanzinstitute werden für das Management und die Begrenzung von Risiken von Drittanbietern verantwortlich sein. Dies bedeutet zum Beispiel die Durchführung von Risikobewertungen für Outsourcing-Verträge oder sicherzustellen, dass Verträge mit externen IKT-Dienstleistern alle erforderlichen Details in Bezug auf Überwachung und Verfügbarkeit sowie verbindliche vertragliche Bedingungen enthalten. 
    
5. Informationsaustausch
   
   DORA ermutigt Finanzorganisationen und Aufsichtsbehörden dazu, Informationen und Erkenntnisse über Cyber-Bedrohungen und Schwachstellen auszutauschen. Durch die Zusammenarbeit können sie besser auf neue Bedrohungen reagieren. Finanzinstitute müssen Systeme zur Überprüfung und Handlungsableitung auf der Grundlage der geteilten Informationen einrichten.

Wie können Organisationen bereits jetzt Vorbereitungen für DORA treffen? 

Obwohl die ESA die technischen Standards und Anforderungen von DORA erst im nächsten Jahr vollständig entwickeln und bereitstellen wird, gibt es Schritte, die Finanzinstitute unternehmen können, um die Einhaltung von DORA reibungsloser zu gestalten, wenn die Zeit kommt.

Ein wichtiger Schritt wird die Bewertung von Lücken sein, bei der Finanzinstitute auf bestehende Vorschriften und aktuelle Sicherheitsanforderungen hinweisen können, um sicherzustellen, dass sie mit den aktuellen Sicherheitserwartungen Schritt halten. Es wird angenommen, dass DORA die meisten bestehenden Standards und Vorschriften abdecken wird, daher ist dies ein grundlegender Schritt, den Organisationen unternehmen können, um sicherzustellen, dass sie nicht zu weit hinter den Auswirkungen von DORA zurückbleiben.

Eine solche Vorschrift ist beispielsweise NIS2, die EU-Richtlinie für Netz- und Informationssicherheit. Finanzinstitute können auch ihre Informations- und Datensicherheitsmanagement-Systeme anhand des internationalen Standards ISO 27001 überprüfen. Es ist wichtig, dass Finanzinstitute ihre Datenschutzrichtlinien flexibel genug gestalten, um zusätzliche Anforderungen zu berücksichtigen, die DORA mit sich bringen wird.

Wie kann Safetica bei der Erfüllung der Anforderungen von DORA helfen?

Die Verwendung einer robusten DLP-Lösung (Data Loss Prevention) wird den Schutz vor Datenverlust erleichtern, effektiver machen und weniger zeitaufwändig gestalten. Zum Beispiel wären manuelle Überwachung und Sicherheitsbewertung im Telekommunikationsbereich ein riesiger Aufwand, der anfällig für Fehler und Verzögerungen wäre. Indem sie DLP-Lösungen wie Safetica nutzen, können Finanzorganisationen ihre Risikomanagementfähigkeiten verbessern und aufkommenden Bedrohungen auf effizientere und effektivere Weise voraus sein.

Durch den Einsatz von DLP-Lösungen mit Funktionen für schnelle Reaktion können Finanzorganisationen ihre Fähigkeit zur schnellen Identifizierung und Reaktion auf potenzielle Sicherheitsvorfälle verbessern. Mit Echtzeitwarnungen und automatisierter Risikobewertung können Finanzorganisationen schnell handeln, um Bedrohungen zu mildern und sensible Daten zu schützen. Mit Safetica und seinen DLP-Richtlinien können Sie sicherstellen, dass Sie nicht nur für DORA, sondern auch für die Einhaltung anderer Vorschriften wie der DSGVO, PCI DSS, HIPAA, CMMC und anderer bereit sind.