Kontakt
Unterstützung
Anmeldung
Datenschutz als Dienstleistung
4 Minuten lesen

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine umfassende EU-Verordnung, die darauf abzielt, die IT-Sicherheit und das Risikomanagement im Finanzsektor zu stärken, indem sie strenge Anforderungen für die Meldung von Vorfällen, die Prüfung der Widerstandsfähigkeit und die Aufsicht durch Dritte vorschreibt.

Geschrieben von
Bogdan Viher
Veröffentlicht am
7. August 2024
Auf sozialen Netzwerken teilen

Der Digital Operational Resilience Act(DORA) ist eine Verordnung, die das digitale Risikomanagement in der Finanzbranche der Europäischen Union (EU) verändern soll. Im Wesentlichen handelt es sich bei DORA um eine Reihe von Anforderungen für EU-Finanzinstitute, um ihre wichtigsten Geschäftsprozesse vor technologischen Risiken zu schützen und ihre Herangehensweise an digitale Risiken, das Management von Vorfällen und die Beziehungen zu Dritten neu zu gestalten.

Konkret zielt DORA darauf ab, die IT-Sicherheit von Banken, Versicherungen, Wertpapierfirmen und anderen Organisationen des Finanzsektors zu stärken.

Für Finanzunternehmen in der EU ist es wichtig, dass IT-Direktoren und Führungskräfte DORA nicht nur als eine gesetzliche Vorschrift, sondern als eine strategische Notwendigkeit verstehen und sich darauf vorbereiten. Diese Dringlichkeit wird durch die schwerwiegenden Folgen der Nichteinhaltung unterstrichen:

  1. Finanzielle Sanktionen: Geldbußen von bis zu 10 Millionen Euro, bei schweren oder wiederholten Verstößen können diese Geldbußen verdoppelt werden.
  1. Schädigung des Verbrauchervertrauens: Die Nichteinhaltung von Vorschriften kann zu einer erhöhten Anfälligkeit für Cybervorfälle führen, die möglicherweise zu Datenschutzverletzungen oder Serviceunterbrechungen führen. Diese Ereignisse können den Ruf eines Unternehmens schädigen, das Vertrauen der Verbraucher beeinträchtigen und zu Kundenabwanderung und sinkenden Marktanteilen führen.  
  1. Persönliche strafrechtliche Haftung: In Fällen schwerer Fahrlässigkeit oder vorsätzlichen Fehlverhaltens können leitende Angestellte und Vorstandsmitglieder persönlich strafrechtlich zur Verantwortung gezogen werden. Dies kann individuelle Geldstrafen, Berufsverbot und in extremen Fällen sogar Haftstrafen umfassen. Dieses persönliche Risiko unterstreicht die Notwendigkeit eines Engagements auf höchster Ebene, um die Einhaltung der DORA-Bestimmungen zu gewährleisten.

In Anbetracht dieser hohen Risiken liegt der Schwerpunkt auf IT-Direktoren und C-Suite-Führungskräften, die DORA nicht nur als eine gesetzliche Anforderung, sondern als eine strategische Notwendigkeit verstehen und sich darauf vorbereiten müssen.  

Hintergrund und Geschichte

IKT-bezogene Vorfälle in Finanzinstituten können zu erheblichen Störungen, finanziellen Verlusten und Rufschädigung führen.  

DORA ist ein Schlüsselelement der umfassenderen Strategie der Europäischen Kommission für digitale Finanzen.  

Sie zielt darauf ab:

  • Konsolidierung und Verbesserung der IKT-Risikoanforderungen innerhalb des Finanzsektors
  • Schaffung eines Rahmens für IKT-Anbieter, einschließlich Cloud-Plattformen
  • Schaffung eines Mechanismus zur Meldung von Zwischenfällen, um das Bewusstsein für Cyber-Bedrohungen zu schärfen
  • Verstärkung der Tests zur digitalen operativen Belastbarkeit

Durch die Schaffung einheitlicher Anforderungen in der gesamten EU wird die DORA dazu beitragen, die Stabilität und Integrität der Finanzsysteme insgesamt zu verbessern.

Warum DORA wichtig ist

DORA stellt einen bedeutenden Wandel bei der Schaffung eines einheitlichen Ansatzes für das IKT-Risikomanagement im gesamten EU-Finanzsektor dar. Sie geht auf die wachsende Besorgnis über Cyber-Bedrohungen und technologische Schwachstellen ein, die zu Störungen in der Finanzbranche führen könnten.

Die wichtigsten Aspekte sind:

  1. Umfassender Anwendungsbereich: DORA gilt für ein breites Spektrum von Finanzunternehmen, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen und Finanzdienstleister.
  1. Harmonisierung: Es werden EU-weit einheitliche Anforderungen an das IKT-Risikomanagement festgelegt, die den derzeitigen Flickenteppich nationaler Vorschriften ersetzen.
  1. Beaufsichtigung von Drittanbietern: DORA führt einen Rahmen für die Beaufsichtigung kritischer IKT-Drittdienstleister, einschließlich Cloud-Dienste, ein.
  1. Meldung von Zwischenfällen: Sie schreibt standardisierte Meldeverfahren für größere IKT-bezogene Vorfälle vor.
  1. Prüfung der Ausfallsicherheit: DORA verlangt regelmäßige Tests der digitalen Ausfallsicherheit.

Ein automatisch erstelltes Diagramm einer ZeitleisteBeschreibung

Schlüsselbereiche von DORA

1. IKT-Risikomanagement

DORA schreibt einen umfassenden Rahmen für das IKT-Risikomanagement vor. Dieser umfasst:

  • Identifizieren und Dokumentieren von IKT-bezogenen Geschäftsfunktionen, Ressourcen und Abhängigkeiten
  • Kontinuierliche Risikobewertung und Strategien zur Risikominderung
  • Durchführung von Schutz- und Präventionsmaßnahmen
  • Entwicklung von Aufdeckungsmöglichkeiten
  • Festlegung von Reaktions- und Wiederherstellungsverfahren

2. Meldung von Vorfällen

Implementierung von Prozessen zur Überwachung und Protokollierung von IKT-Vorfällen. Sie sind verpflichtet, diese Vorfälle anhand der von DORA festgelegten Kriterien zu klassifizieren. Darüber hinaus müssen sie wichtige Vorfälle innerhalb strenger Fristen an die zuständigen Behörden melden.

3. Reaktion und Wiederherstellung

Zu den wichtigen Schwerpunkten der Reaktions- und Wiederherstellungsfähigkeiten gehören -

Pläne für die Reaktion auf Zwischenfälle:  

  • Entwicklung, Dokumentation und Umsetzung umfassender Pläne für die Reaktion auf und die Wiederherstellung nach IKT-bezogenen Zwischenfällen.
  • In diesen Plänen sollten Verfahren für die unverzügliche Erkennung, Analyse, Eindämmung und Begrenzung von Zwischenfällen festgelegt werden.

Geschäftskontinuität:

  • Aufrechterhaltung von Geschäftskontinuitätsrichtlinien und Notfallwiederherstellungsplänen.
  • Diese Pläne müssen regelmäßig getestet werden, um ihre Wirksamkeit zu gewährleisten.

Backup-Verfahren:

  • DORA schreibt regelmäßige Backups von kritischen Systemen und Daten vor.
  • Zu den besonderen Anforderungen gehören eine festgelegte Häufigkeit der Datensicherung, eine sichere Speicherung außerhalb des Unternehmens und regelmäßige Tests der Wiederherstellungsprozesse.

Wiederherstellungszeit-Ziele (RTOs):

  • Die Fähigkeit zur Wiederherstellung von Systemen innerhalb festgelegter Zeitrahmen ist einzurichten und regelmäßig zu testen.
  • Minimieren Sie Betriebsunterbrechungen und sorgen Sie für eine schnelle Wiederherstellung nach Zwischenfällen.

Kommunikationsprotokolle:

  • Es müssen klare Verfahren für die interne und externe Kommunikation bei Zwischenfällen festgelegt werden.
  • Gewährleistung einer rechtzeitigen und wirksamen Reaktion, einschließlich der Benachrichtigung der zuständigen Behörden und Beteiligten.

Analyse nach einem Vorfall:

  • Nach schwerwiegenden Zwischenfällen müssen Unternehmen gründliche Ursachenanalysen durchführen.
  • Die daraus gezogenen Lehren sollten in die Verbesserung des Risikomanagementrahmens einfließen.

4. Prüfung der digitalen operativen Belastbarkeit

Mit DORA wird ein harmonisierter Rahmen für die Prüfung der digitalen operationellen Belastbarkeit eingeführt:

  • Grundlegende Tests wie Schwachstellenbewertungen und Netzsicherheitsscans für alle Einrichtungen
  • Fortgeschrittene Tests, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) für wichtige Einrichtungen

5. ICT-Risikomanagement für Drittparteien

Mit der zunehmenden Inanspruchnahme von Drittanbietern schafft DORA:

  • Grundsätze, die in Vereinbarungen mit IKT-Drittanbietern aufgenommen werden sollten
  • Ein neuer Aufsichtsrahmen für kritische IKT-Drittdienstleister

Eine automatisch generierte blaue und weiße textDescription
Quelle: McKinsey

6. Informationsaustausch

Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen Finanzunternehmen zur Verbesserung der kollektiven Widerstandsfähigkeit.

Umfang und Anwendung

DORA gilt für ein breites Spektrum von Finanzunternehmen, die in der EU tätig sind, einschließlich:

  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • Wertpapierfirmen
  • Handelsplätze
  • Versicherungs- und Rückversicherungsunternehmen
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter von kritischen Benchmarks
  • Anbieter von Kontoinformationsdiensten
  • Anbieter von Krypto-Vermögensdienstleistungen
  • Zentrale Wertpapierverwahrungsstellen
  • Anbieter von Datenübermittlungsdiensten
  • Drittanbieter von Dienstleistungen

Maßnahmen zur Einhaltung der Vorschriften

Um die Anforderungen von DORA zu erfüllen, sollten sich CIOs, CTOs, IT-Direktoren und andere IT-Schlüsselpersonen auf die folgenden Maßnahmen konzentrieren:

  1. Bewertung des derzeitigen Rahmens: Bewertung der bestehenden IKT-Risikomanagementprozesse anhand der Anforderungen, um Lücken zu ermitteln.
  1. Verbessern Sie das IKT-Risikomanagement: Implementierung von Prozessen zur Identifizierung, zum Schutz vor, zur Erkennung von, zur Reaktion auf und zur Wiederherstellung nach IKT-bedingten Unterbrechungen.
  1. Entwicklung von Mechanismen zur Meldung von Zwischenfällen: Einrichtung von Systemen und Verfahren zur Erkennung und Meldung größerer IKT-bezogener Vorfälle innerhalb der vorgeschriebenen Fristen.
  1. Durchführung von Ausfallsicherheitstests: Führen Sie ein Programm regelmäßiger Ausfallsicherheitstests durch, einschließlich Schwachstellenbewertungen und Penetrationstests.
  1. Überprüfung von Verträgen mit Dritten: Prüfen und aktualisieren Sie die Vereinbarungen mit IKT-Dienstleistern, um sicherzustellen, dass sie den Anforderungen entsprechen.
  1. Bereiten Sie sich auf Audits vor: Bereiten Sie sich auf potenzielle behördliche Prüfungen vor, indem Sie eine umfassende Dokumentation Ihrer IKT-Risikomanagementpraktiken führen.
  1. Umsetzung von Maßnahmen zur Geschäftskontinuität und zum Datenschutz: Entwicklung und regelmäßiger Test von Plänen für die Geschäftskontinuität und die Wiederherstellung im Katastrophenfall, Einführung sicherer Sicherungsverfahren, Verbesserung des Datenschutzes, Erstellung von Protokollen für die Krisenkommunikation und Durchführung von Mitarbeiterschulungen gemäß den Anforderungen der Artikel 10 und 11.

Fristen und Einhaltung

Die DORA ist am 16. Januar 2023 in Kraft getreten. Die Finanzunternehmen haben jedoch bis zum 17. Januar 2025 Zeit, um die vollständige Einhaltung der Vorschriften zu gewährleisten. Dieses Zwei-Jahres-Fenster ist für Organisationen entscheidend, um ihre aktuellen Systeme zu bewerten, die notwendigen Änderungen umzusetzen und sich auf das neue regulatorische Umfeld vorzubereiten.

Die Wichtigkeit, jetzt zu handeln

Auch wenn das Jahr 2025 noch in weiter Ferne zu liegen scheint, erfordern der Umfang und die Tiefe der von DORA geforderten Änderungen ein frühzeitiges Handeln. Wer jetzt mit den Vorbereitungen beginnt, ist besser aufgestellt, um:

  • Verteilung der Kosten für die Einhaltung der Vorschriften über einen längeren Zeitraum
  • Verschaffen Sie sich einen Wettbewerbsvorteil, indem Sie eine starke digitale Widerstandsfähigkeit zeigen
  • Vermeiden Sie Eile in letzter Minute und mögliche Strafen bei Nichteinhaltung
  • zur allgemeinen Stabilität und Vertrauenswürdigkeit des EU-Finanzsystems beizutragen

Weitere Informationen

Shive Raja Kopfsprung

Bogdan Viher

Senior Direktor Kanal Atlassian

Bogdan arbeitet seit mehr als 15 Jahren mit VARs, Vertriebskanälen und Vertriebspartnern zusammen. In dieser Zeit hat er ein tiefes Verständnis und eine Branchenperspektive für Datensicherung, Disaster Recovery, Migration, Backup und Ransomware-Schutz sowohl in lokalen als auch in öffentlichen Cloud-Umgebungen entwickelt. Er arbeitet eng mit unseren Atlassian Channel- und Resell-Partnern und deren Kunden zusammen, um den Wert und die Vorteile von speziell entwickelten Datensicherungs- und DR-Lösungen für Multi-Cloud- und SaaS-Umgebungen zu demonstrieren.

Das könnte Sie auch interessieren...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
December 17, 2024

Salz-Taifun-Reaktion: Die wichtige Rolle des Datenschutzes bei der Eindämmung von Risiken für Dritte

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
16. Dezember 2024

Die Macht der Partnerschaften nutzen: Wie HYCU eine Vorreiterrolle im Datenschutz einnimmt

Datenschutz als Dienstleistung
Datenschutz als Dienstleistung
10. Dezember 2024

Erleben Sie die SaaS-Datenschutzplattform Nr. 1

Testen Sie HYCU selbst und werden Sie überzeugt.

HYCU kostenlos testen
Demo anfordern
HYCU-Plattform
Visualisieren mit R-GraphAuf HYCU aufbauen
Lösungen zum Schutz von Daten
DatensicherungDatenmigration und MobilitätDisaster RecoveryHybride und Multi-CloudRansomware-SchutzSicherheit und ComplianceAlle unterstützten Technologien anzeigen
Private Cloud & Rechenzentren
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
As-a-Service
Google WorkspaceEntra IDAlle anzeigen
Anwendungen und Datenbanken
SAP HANAOracleAlle anzeigen
Unternehmen
LeitungDirektoriumKarriereNewsroom
Globale Partner-Programme
Allianz- und TechnologiepartnerManaged Service-AnbieterWiederverkäufer findenWiederverkäuferEmpfehlungsschreibenPartner werdenDeal-Registrierung
Los geht's
Kostenlose TestversionDemo anfordern
Ressourcen
UnterstützungKundengeschichtenNeu bei HYCUInhaltsbibliothekBlogWebinare & VeranstaltungenRansomware & Bereitschaftsberechnung
Folgen Sie
© 2024 HYCU. Alle Rechte vorbehalten.
RechtlichesNutzungsbedingungenDatenschutzbestimmungenDatenschutz-Manager