Kontakt
Unterstützung
Anmeldung
Datenschutz als Dienstleistung
4 Minuten lesen

5 wichtige Schritte zur Einhaltung von DORA

Während sich Finanzinstitute auf den Digital Operational Resilience Act (DORA) vorbereiten, beschreibt unser neuester Leitfaden fünf wichtige Schritte zur Einhaltung der Vorschriften. Von der Risikobewertung bis zum Aufbau einer Strategie für die betriebliche Widerstandsfähigkeit erfahren Sie, wie Sie sicherstellen, dass Ihr Unternehmen die DORA-Anforderungen erfüllt und seinen betrieblichen Rahmen stärkt.

Geschrieben von
Andy Fernandez
Veröffentlicht am
18. September 2024
Auf sozialen Netzwerken teilen

Während sich Finanzunternehmen auf die Umsetzung des Digital Operational Resilience Act (DORA) vorbereiten, ist es wichtig, einen klaren Fahrplan für die Einhaltung der Vorschriften zu haben. Aufbauend auf unseren früheren Artikeln"Implementing DORA: Lessons from a CTO" und "What is the Digital Operational Resilience Act (DORA)?" bietet dieser Beitrag einen Leitfaden für die fünf wichtigsten Schritte, die Unternehmen unternehmen sollten, um die Einhaltung des DORA zu gewährleisten und ihre operative Widerstandsfähigkeit zu stärken.

1. Bewertung von Risiken und Anforderungen

Die Grundlage von DORA liegt in einem gründlichen Verständnis des aktuellen Risikostatus Ihres Unternehmens und der spezifischen Anforderungen, die Sie erfüllen müssen.

Führen Sie eine umfassende Risikobewertung durch

  • Identifizierung und Katalogisierung aller kritischen IKT-Systeme und -Infrastrukturen
  • Bewertung potenzieller Schwachstellen und Bedrohungen für diese Systeme
  • Bewertung der potenziellen Auswirkungen von IKT-bedingten Unterbrechungen auf Ihren Geschäftsbetrieb
  • Berücksichtigen Sie sowohl interne als auch externe Risikofaktoren, einschließlich Cyber-Bedrohungen, Systemausfälle und Risiken Dritter.

Die DORA-Anforderungen verstehen

  • Überprüfen Sie die DORA-Gesetzgebung und achten Sie dabei auf die spezifischen Bestimmungen für Ihre Art von Finanzunternehmen
  • Identifizierung von Lücken zwischen Ihren derzeitigen Verfahren und den DORA-Anforderungen
  • Priorisierung von Bereichen, die sofortige Aufmerksamkeit erfordern, basierend auf dem Risikoniveau und den Einhaltungsfristen

Bestehende Rahmenwerke nutzen

  • Abgleich der DORA-Anforderungen mit bestehenden Bemühungen zur Einhaltung der Vorschriften (z. B. DSGVO, NIS- und NIS2-Richtlinien), um Synergien zu ermitteln und Doppelarbeit zu vermeiden

2. Entwicklung einer umfassenden Strategie

Wenn Sie sich über Ihre Risiken und Anforderungen im Klaren sind, besteht der nächste Schritt darin, eine solide Strategie für die Einhaltung der DORA-Vorschriften und die betriebliche Ausfallsicherheit zu entwickeln.

Aufbau einer operationellen Resilienzstrategie

  • Definieren Sie klare Ziele für Ihr IKT-Risikomanagement und Ihre operative Widerstandsfähigkeit
  • Entwicklung von wichtigen Leistungsindikatoren und Messgrößen zur Messung der Fortschritte
  • Erstellung eines Fahrplans mit kurz- und langfristigen Zielen für die Erreichung und Einhaltung der Vorschriften

Schaffung eines Governance-Rahmens

  • Definieren Sie Rollen und Verantwortlichkeiten für die Einhaltung der DORA-Vorschriften in Ihrem Unternehmen
  • Einrichtung eines funktionsübergreifenden DORA-Lenkungsausschusses zur Überwachung der Umsetzung
  • Entwicklung und Dokumentation von Strategien und Verfahren für das IKT-Risikomanagement, die Reaktion auf Zwischenfälle und die Geschäftskontinuität
  • Gewährleistung der Aufsicht durch die Geschäftsleitung und regelmäßige Berichterstattung über die Einhaltung der DORA-Bestimmungen

Reaktion auf Zwischenfälle und Planung der Geschäftskontinuität

  • Entwicklung detaillierter Notfallplänefür verschiedene IKT-bezogene Szenarien
  • Erstellung und regelmäßige Aktualisierung von Betriebskontinuitätsplänen, die den DORA-Anforderungen entsprechen
  • Erstellung klarer Kommunikationsprotokolle für interne und externe Beteiligte bei Zwischenfällen

3. Umsetzung robuster Sicherheitsmaßnahmen

Die Einhaltung der DORA-Vorschriften erfordert strenge Sicherheitskontrollen und -praktiken, um sich vor IKT-Risiken zu schützen und die betriebliche Ausfallsicherheit zu gewährleisten.

Stärkung der Cybersicherheitskapazitäten

  • Implementierung mehrschichtiger Sicherheitskontrollen, einschließlich:  
  • Starke Zugriffsverwaltung und Authentifizierung (z. B. Multi-Faktor-Authentifizierung)
  • Datenverschlüsselung für sensible Informationen im Ruhezustand und bei der Übertragung
  • Firewalls der nächsten Generation und Systeme zur Erkennung und Verhinderung von Eindringlingen
  • Endpunkt-Erkennungs- und Reaktionslösungen (EDR)
  • alle Systeme und Software regelmäßig aktualisieren und patchen
  • Implementierung einer Netzwerksegmentierung, um die Ausbreitung potenzieller Verstöße zu begrenzen

Verbesserung der Backup- und Recovery-Prozesse

  • Implementieren Sie eine solide Sicherungsstrategie nach der 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 externes Medium)
  • Regelmäßige Tests der Sicherungs- und Wiederherstellungsverfahren, um die Integrität der Daten und die Wiederherstellungsfähigkeit des Systems zu gewährleisten
  • Implementierung unveränderlicher Backups zum Schutz vor Ransomware-Angriffen

Risiken von Drittparteien angehen

  • Entwicklung eines umfassenden Risikomanagementprogramms für Dritte
  • Durchführung einer Due-Diligence-Prüfung bei allen kritischen IKT-Dienstleistern
  • Aufnahme von DORA-Anforderungen in Verträge mit Drittanbietern
  • Regelmäßige Bewertung und Prüfung der Sicherheitsmaßnahmen Dritter und der operativen Belastbarkeit

4. Regelmäßige Tests und Audits durchführen

Kontinuierliche Tests und Audits sind entscheidend für die Einhaltung der DORA-Vorschriften und die Verbesserung der betrieblichen Stabilität im Laufe der Zeit.

Implementierung eines umfassenden Testprogramms

  • Führen Sie regelmäßig Penetrationstests durch, um Schwachstellen in Ihren Systemen und Netzen zu ermitteln.
  • Führen Sie häufige Disaster Recovery (DR)-Tests durch, um die Wirksamkeit Ihrer Wiederherstellungspläne zu gewährleisten.
  • Durchführung von Business-Continuity-Übungen, um die Reaktion Ihrer Organisation auf verschiedene IKT-bezogene Szenarien zu testen
  • Beziehen Sie gegebenenfalls Drittanbieter in Ihre Testaktivitäten ein.

Automatisieren Sie die Erkennung von und Reaktion auf Bedrohungen

  • Implementierung von SIEM-Lösungen (Security Information and Event Management) zur Erkennung von Bedrohungen in Echtzeit
  • Einsatz von künstlicher Intelligenz und maschinellem Lernen zur Verbesserung der Fähigkeiten zur Erkennung von Bedrohungen
  • Entwicklung und regelmäßige Aktualisierung von Playbooks für die automatisierte Reaktion auf Vorfälle

Schaffung eines soliden Prüfungsrahmens

  • Durchführung regelmäßiger interner Audits, um die Einhaltung der DORA-Vorschriften und die Wirksamkeit Ihrer IKT-Risikomanagementstrategien zu bewerten
  • Beauftragen Sie externe Prüfer mit einer unabhängigen Bewertung Ihrer Bemühungen zur Einhaltung der DORA-Vorschriften
  • Entwicklung eines Verfahrens zur Verfolgung und Umsetzung von Prüfungsfeststellungen und Empfehlungen

5. Ausbildung und Zusammenarbeit

Die erfolgreiche Einhaltung der DORA-Vorschriften erfordert eine Kultur des Bewusstseins und der Zusammenarbeit in Ihrem Unternehmen.

Umfassende Mitarbeiterschulungen anbieten

  • Entwicklung rollenspezifischer Schulungsprogramme zu den DORA-Anforderungen und Verfahren zur Einhaltung der Vorschriften
  • Durchführung regelmäßiger Schulungen zum Thema Cybersicherheit für alle Mitarbeiter
  • Simulation von Phishing- und Social-Engineering-Angriffen, um die Bereitschaft der Mitarbeiter zu testen und zu verbessern

Förderung der funktionsübergreifenden Zusammenarbeit

  • Einrichtung regelmäßiger Treffen zwischen IT, Rechtsabteilung, Risikomanagement und Geschäftsbereichen zur Erörterung der DORA-Einhaltung
  • Schaffung von Kanälen für den Austausch von Informationen und bewährten Verfahren zwischen verschiedenen Teams und Abteilungen

Interaktion mit externen Stakeholdern

  • Zusammenarbeit mit Aufsichtsbehörden, um über die Auslegungen und Erwartungen von DORA informiert zu bleiben
  • Aufbau von Beziehungen zu Cybersecurity-Partnern und -Anbietern, um Ihre Bedrohungsdaten und Reaktionsmöglichkeiten zu verbessern

Die Einhaltung der DORA-Vorschriften zu erreichen und aufrechtzuerhalten ist eine komplexe, aber wesentliche Aufgabe für in der EU tätige Finanzunternehmen. Durch die Befolgung dieser fünf Schlüsselschritte - Bewertung von Risiken und Anforderungen, Entwicklung einer umfassenden Strategie, Umsetzung robuster Sicherheitsmaßnahmen, Durchführung regelmäßiger Tests und Audits sowie Förderung einer Kultur der Schulung und Zusammenarbeit - können Organisationen nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch ihre betriebliche Widerstandsfähigkeit erheblich verbessern.

Denken Sie daran, dass die Einhaltung der DORA-Vorschriften ein fortlaufender Prozess ist und keine einmalige Angelegenheit. Überprüfen und verfeinern Sie Ihren Ansatz regelmäßig, um sicherzustellen, dass Ihr Unternehmen angesichts der sich entwickelnden IKT-Risiken und der regulatorischen Erwartungen widerstandsfähig bleibt.

Zusätzliche Ressourcen:

Shive Raja Kopfsprung

Andy Fernandez

Direktorin für Produktmanagement

Andy Fernandez ist Direktor für Produktmanagement bei HYCU, einem Unternehmen von Atlassian Ventures. Andys gesamte berufliche Laufbahn konzentrierte sich auf Datensicherung und Disaster Recovery für kritische Anwendungen. Zuvor hatte er Produkt- und GTM-Positionen bei Zerto und Veeam inne. Jetzt konzentriert sich Andy darauf, sicherzustellen, dass Unternehmen kritische SaaS- und Cloud-Anwendungen über ITSM und DevOps schützen. Wenn er nicht gerade an der Datensicherung arbeitet, besucht Andy gerne Live-Konzerte, erkundet die lokalen kulinarischen Orte und geht an den Strand.

Das könnte Sie auch interessieren...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
December 17, 2024

Salz-Taifun-Reaktion: Die wichtige Rolle des Datenschutzes bei der Eindämmung von Risiken für Dritte

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
16. Dezember 2024

Die Macht der Partnerschaften nutzen: Wie HYCU eine Vorreiterrolle im Datenschutz einnimmt

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
10. Dezember 2024

Erleben Sie die SaaS-Datenschutzplattform Nr. 1

Testen Sie HYCU selbst und werden Sie überzeugt.

HYCU kostenlos testen
Demo anfordern
HYCU-Plattform
Visualisieren mit R-GraphAuf HYCU aufbauen
Lösungen zum Schutz von Daten
DatensicherungDatenmigration und MobilitätDisaster RecoveryHybride und Multi-CloudRansomware-SchutzSicherheit und ComplianceAlle unterstützten Technologien anzeigen
Private Cloud & Rechenzentren
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
As-a-Service
Google WorkspaceEntra IDAlle anzeigen
Anwendungen und Datenbanken
SAP HANAOracleAlle anzeigen
Unternehmen
LeitungDirektoriumKarriereNewsroom
Globale Partner-Programme
Allianz- und TechnologiepartnerManaged Service-AnbieterWiederverkäufer findenWiederverkäuferEmpfehlungsschreibenPartner werdenDeal-Registrierung
Los geht's
Kostenlose TestversionDemo anfordern
Ressourcen
UnterstützungKundengeschichtenNeu bei HYCUInhaltsbibliothekBlogWebinare & VeranstaltungenRansomware & Bereitschaftsberechnung
Folgen Sie
© 2024 HYCU. Alle Rechte vorbehalten.
RechtlichesNutzungsbedingungenDatenschutzbestimmungenDatenschutz-Manager