DORA: Neue Standards für Cyber-Risikomanagement im Finanzsektor

Der Digital Operational Resilience Act (DORA) setzt neue Maßstäbe für das Cyber-Risikomanagement im Finanzsektor. Erfahren Sie, wie die EU-Verordnung Finanzinstitutionen stärkt und wie GFT Sie bei der Implementierung unterstützt.

12. Juli 2024

Spiegelung moderner Stadtarchitektur auf Glasfassaden - DORA Header Bild auf der GFT-Website — Erleben Sie die Zukunft der Finanzarchitektur mit GFT. Dieses Bild zeigt die Spiegelung einer modernen Stadtlandschaft auf Glasfassaden, repräsentiert digitale Transformation und Resilienz im Rahmen der DORA-Verordnung.

Michael Dietrich

Manager

Lesedauer

Minuten

Artikel teilen

DORA: Stärkung der Cyber-Resilienz im digitalen Finanzsektor

Die Digitalisierung des Finanzsektors bietet viele Chancen, bringt jedoch auch neue Herausforderungen und Risiken mit sich. Um diesen Risiken effektiv zu begegnen und die Widerstandsfähigkeit der Finanzinstitutionen gegenüber digitalen Bedrohungen zu stärken, hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt. In diesem Blogbeitrag stellen wir Ihnen die wesentlichen Elemente von DORA vor und zeigen, wie GFT Sie bei der Umsetzung unterstützen kann.

Was ist DORA?

DORA, der Digital Operational Resilience Act, ist eine umfassende Regulierung, die auf die Harmonisierung der Regeln für das Cyber-Risikomanagement im gesamten europäischen Finanzsektor abzielt. Mit DORA hat die Europäische Union eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz im Finanzsektor geschaffen.

Die Verordnung bietet einen standardisierten Ansatz für das Management von IKT-Risiken (Informations- und Kommunikationstechnologien-Risiken). Zu diesen Risiken zählen beispielsweise Datenlecks oder Systemausfälle, die sowohl aus internen Fehlern als auch aus externen Ereignissen wie Cyber-Attacken resultieren können.

Wesentliche Elemente von DORA

Verwaltung und Management

Eine der zentralen Anforderungen von DORA ist die Schaffung eines soliden Governance-Rahmens für die Verwaltung der digitalen operativen Resilienz. Dies umfasst:

Die Entwicklung von Strategien und Verfahren zum Umgang mit IKT-Risiken
Die laufende Identifizierung und Klassifizierung von digitalen Risiken und Schwachstellen

Operative Belastbarkeitstests

Regelmäßige Tests zur Bewertung der Resilienzmaßnahmen sind ein weiterer wichtiger Bestandteil von DORA. Diese Tests umfassen auch szenariobasierte Übungen, um sicherzustellen, dass die Institutionen auf verschiedene Arten von Cyber-Bedrohungen vorbereitet sind.

Risikomanagement für Drittparteien

Die Einhaltung der DORA-Bestimmungen durch Drittanbieter, wie z.B. Cloud-Anbieter, ist entscheidend. Finanzinstitutionen müssen sicherstellen, dass ihre Verträge mit Drittanbietern entsprechend strukturiert sind und dass diese Anbieter die erforderlichen Sicherheitsstandards erfüllen.

Incident Reporting

Ein klarer Prozess zur Klassifizierung und Meldung von IKT-bezogenen Vorfällen ist unerlässlich. DORA verlangt eine obligatorische Berichterstattung über wichtige Vorfälle, um eine schnelle und koordinierte Reaktion zu ermöglichen.

Informationsaustausch

Um die kollektive Widerstandsfähigkeit zu stärken, fordert DORA die Beteiligung an Informationsaustausch-Vereinbarungen. Dies hilft, Bedrohungen schneller zu erkennen und zu bewältigen.

Risikomanagement

Die Verantwortung für die Einhaltung der DORA-Bestimmungen liegt bei der Geschäftsleitung. So muss eine IKT- Risikokontrollfunktion eingerichtet sowie ein IKT-Risikomanagement implementiert werden.

Spiegelung einer modernen Stadtlandschaft auf einer Glasfassade, die ein Gefühl von Transparenz und Struktur vermittelt. — Wissen und Hintergründe zur Thematik Liquiditätsverordnung

Mann und Frau betrachten gemeinsam Unterlagen an einem Tisch, der Vordergrund ist verschwommen, und neben ihnen ist eine Glastür zu sehen. Visual für Risikomanagement. — Das Bild zeigt einen Mann und eine Frau, die gemeinsam Unterlagen an einem Tisch durchsehen, während der Vordergrund verschwommen ist. Neben ihnen befindet sich eine Glastür. Dieses Visual für Risikomanagement symbolisiert die sorgfältige Analyse und Bewertung von Dokumenten und Informationen, die für effektives Risikomanagement erforderlich sind. Es hebt die Bedeutung der Zusammenarbeit und der präzisen Untersuchung in der Risikobewertung hervor und verdeutlicht den professionellen Ansatz zur Identifikation und Minimierung von Risiken.

Einführung und Umsetzung von DORA

Die Vorbereitung und Verhandlung von DORA auf EU-Ebene begann bereits 2020. Am 17. Januar 2023 trat die DORA-Verordnung in Kraft. Im Jahr 2023 und 2024 wurden die Rechtstexte erstellt, öffentlich konsultiert und von der EU-Kommission angenommen. Ab dem 17. Januar 2025 wird DORA offiziell angewendet, und eine Überprüfung durch die EU-Kommission ist für 2028 geplant.

Wie GFT Sie unterstützen kann

GFT bietet umfassende Dienstleistungen zur Unterstützung bei der Umsetzung von DORA. Dazu gehören:

IKT-Risikomanagement

Im Rahmen des IKT-Risikomanagements bieten wir IKT-Sicherheitsschulungen, die Implementierung von Verfahren zur Erkennung von IKT-Vorfällen und die Entwicklung einer umfassenden IKT-Sicherheitsstrategie an. Wir definieren Richtlinien für die IKT-Geschäftsfortführung und integrieren IKT-Risiken in das Risikohandbuch sowie die Risikoinventur. Übergreifende Risiken werden in die Risikostrategie und -prozesse aufgenommen. Darüber hinaus erarbeiten wir die notwendigen Vorstandsbeschlüsse und bereiten die interne und externe Risikokommunikation vor.

IKT-Drittparteirisikomanagement

Unsere Leistungen umfassen die Analyse bestehender Dienstleistungsverträge hinsichtlich ihrer IKT-Relevanz, die Einarbeitung und Bewertung neuer Klauseln sowie die Erstellung von Vorlagen für neue Verträge. Wir integrieren neue Bewertungskriterien für die Risikoanalyse von Verträgen, erstellen und pflegen das IKT-Informationsregister und entwickeln Prozesse zur Vermeidung von Redundanzen hinsichtlich der Auslagerungs- und Dienstleistersteuerung. Zudem integrieren wir die Rückmeldungen der Europäischen Aufsichtsbehörden (ESA) in die Risikobewertung und Dokumentation.

Testen der digitalen operationalen Resilienz

Wir prüfen die Schwachstellen von Auslagerungen und Service-Providern, führen jährliche Schwachstellen- und Penetrationstests durch und entwickeln einen Prozess für das Vorfallmanagement. Außerdem bewerten wir die Dringlichkeit, die Art des Risikos und die Kritikalität der relevanten Faktoren und führen fortgeschrittene TLPT-Tests für systemrelevante Finanzunternehmen durch. Zusätzlich unterstützen wir beim Informationsaustausch und begleiten unsere Kunden durch sektorübergreifende Notfallübungen.

IKT-Vorfallmeldewesen

Wir klassifizieren und definieren IKT-Vorfälle nach festgelegten Kriterien, legen angemessene Toleranzschwellen fest und implementieren einen Meldeprozess für IKT-bezogene Vorfälle.

Die Umsetzung von DORA stellt Finanzinstitutionen vor erhebliche Herausforderungen. GFT steht Ihnen als kompetenter Partner zur Seite, um diese Herausforderungen zu meistern.

Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren und wie wir Sie bei der erfolgreichen Umsetzung von DORA unterstützen können.