Sicheren Informationsaustausch fördern und IKT-Risiken managen: Wichtige Anforderungen für die Einhaltung der DORA-Verordnung
Dale Waterman
Solution Designer, Strategic Market Solutions, EMEA
10. Mai 2024 • 3 Min. Lesezeit
Der Finanzsektor ist bei der Erbringung von Finanzdienstleistungen zunehmend von Technologie und Technologieunternehmen abhängig, was Finanzunternehmen anfällig für Cyberangriffe oder Sicherheitsvorfälle macht. Wenn sie nicht richtig gehandhabt werden, können Risiken der Informations- und Kommunikationstechnologie (IKT) zu Störungen bei grenzüberschreitend angebotenen Finanzdienstleistungen führen. Dies kann sich auf andere Unternehmen, Sektoren und sogar auf ganze Volkswirtschaften auswirken, was die Bedeutung der digitalen operationalen Resilienz des Finanzsektors unterstreicht.
Um diesem Problem zu begegnen, hat die EU die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), beschlossen. Ziel von DORA ist es, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen sowie von IKT-Dienstleistern zu stärken. Die Verordnung trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025.
Was ist die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA), und welche Anforderungen stellt sie?
DORA ist ein umfassender regulatorischer Rahmen, der von der Europäischen Kommission vorgeschlagen wurde. Die Verordnung zielt darauf ab, einen harmonisierten Ansatz für die operationale Resilienz in der gesamten Europäischen Union (EU) zu schaffen. Durch die Festlegung klarer Erwartungen an die operationale Resilienz will DORA die Verbraucher schützen, finanzielle Stabilität wahren und das reibungslose Funktionieren digitaler Dienste gewährleisten.
Mit der Verordnung werden strenge Anforderungen für Unternehmen eingeführt, um Risiken im Zusammenhang mit ihren digitalen Aktivitäten zu verwalten und zu mindern. Dazu gehören das IKT-Risikomanagement, die Meldung von Zwischenfällen, die Prüfung der digitalen Betriebsfestigkeit und vieles mehr.
Wichtigste Konformitätsanforderungen
Nachfolgend sind die spezifischen Anforderungen von DORA in mehrere Schlüsselkomponenten unterteilt:
- IKT-Risikomanagement: Die Unternehmen müssen ein solides Risikomanagement einrichten, das den Anforderungen der DORA entspricht, und eine Kontrollfunktion zur Überwachung der IKT-Risiken implementieren.
- Management von IKT-Drittparteirisiken: DORA führt die Anforderung für Finanzunternehmen ein, IKT-Drittparteirisiken als integralen Bestandteil von IKT-Risiken innerhalb ihres IKT-Risikomanagementrahmens zu managen. Das Leitungsorgan muss regelmäßig die Risiken überprüfen, die in Bezug auf die vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen ermittelt wurden. Die Verordnung wird auch einen Aufsichtsrahmen für kritische IKT-Drittanbieter einführen; diese werden von den Europäischen Aufsichtsbehörden (ESAs) benannt werden. Damit wird der Anwendungsbereich von DORA potenziell über Outsourcing-Vereinbarungen hinaus auf eine breite Palette von IT-bezogenen Dienstleistungen ausgeweitet, die von Finanzdienstleistungsunternehmen beschafft werden.
- Meldung von IKT-bezogenen Vorfällen: Die Unternehmen werden verpflichtet, alle größeren IKT-bezogenen Vorfälle unverzüglich zu melden. Die europäischen Aufsichtsbehörden (ESAs) entwickeln technische Standards, um die Kriterien für die Klassifizierung von IKT-Vorfällen, die Erheblichkeitsschwellen für größere Vorfälle und signifikante Cyber-Bedrohungen festzulegen.
- Prüfung der operationalen Resilienz: Die DORA schreibt regelmäßige Prüfungen der digitalen operationalen Resilienz vor. Die ESAs arbeiten an technischen Standards, um weitere Einzelheiten zu fortgeschrittenen Tests von IKT-Werkzeugen, -Systemen und -Prozessen durch bedrohungsorientierte Penetrationstests (TLPT) bereitzustellen. In diesen Standards werden auch die Kriterien für die Identifizierung von Finanzunternehmen festgelegt, die einen TLPT durchführen müssen.
- Informationsaustausch: DORA fördert den Informationsaustausch zwischen Finanzunternehmen, um einen gemeinsamen Ansatz für das Management digitaler operationeller Risiken zu fördern. Durch den Austausch von Erkenntnissen und bewährten Verfahren können Organisationen gemeinsam ihre Resilienz und Reaktionsfähigkeit verbessern.
Diese Komponenten bilden die Grundlage von DORA und stellen sicher, dass die Finanzinstitute der operationalen Resilienz Priorität einräumen und proaktive Maßnahmen zur Minderung von IKT-Risiken ergreifen. Wie bei jeder Vorschrift gibt es jedoch auch hier einige Herausforderungen, die Unternehmen bewältigen müssen, um die Vorschriften vollständig einzuhalten.
Herausforderungen bei der Einhaltung von DORA
Um die Anforderungen und Erwartungen von DORA effektiv zu erfüllen, müssen Finanzunternehmen die Einhaltung der Vorschriften strategisch angehen. Dazu gehört ein proaktiver Ansatz zur Einhaltung der Vorschriften und ein umfassendes Verständnis der Verordnung und ihrer Anforderungen.
- Komplexität: DORA umfasst ein breites Spektrum an Anforderungen und Erwartungen, die sich auf mehrere Bereiche erstrecken, wie z. B. Risikomanagement, Drittparteirisiko, Meldung von Zwischenfällen, Tests, Informationsaustausch und mehr. Jede dieser Komponenten muss sorgfältig geprüft und umgesetzt werden, um die Einhaltung der Vorschriften zu gewährleisten. Wenn die Finanzunternehmen frühzeitig damit beginnen, können sie genügend Zeit und Ressourcen aufwenden, um die Feinheiten der DORA gründlich zu verstehen und eine umfassende Strategie zur Einhaltung der Vorschriften zu entwickeln.
- Anpassung der Governance-Strukturen an eine erfolgreiche operationale Resilienz: Die Anpassung der Governance-Strukturen beinhaltet die Überprüfung und mögliche Überarbeitung bestehender Strategien, Verfahren und Entscheidungsfindungsrahmen, um sie mit den Anforderungen von DORA in Einklang zu bringen. Dies kann die Festlegung klarer Zuständigkeiten und Verantwortlichkeiten für die operationale Resilienz, die Definition von Rollen und Zuständigkeiten und die Einführung solider Berichterstattungsmechanismen umfassen, um die laufende Einhaltung der Vorschriften zu gewährleisten. Es ist von entscheidender Bedeutung, die Einhaltung von DORA in bestehende Governance-Rahmenwerke wie Risikomanagement und Geschäftskontinuität zu integrieren, um einen ganzheitlichen Ansatz für die operationale Resilienz zu schaffen.
- Identifizierung von Zusammenhängen mit aktuellen und künftigen Vorschriften: Die DORA existiert nicht isoliert; sie überschneidet sich mit anderen bestehenden und künftigen Vorschriften (NIS2, GDPR, MiFID II, PSD3, PSR, Gesetz über digitale Dienstleistungen, Gesetz über digitale Märkte), wodurch eine komplexe Regulierungslandschaft entsteht. Das Verständnis dieser Zusammenhänge ist eine wesentliche Voraussetzung für eine wirksame Einhaltung der Vorschriften und die Vermeidung von Doppelarbeit.
- Förderung des Informationsaustauschs über Cyberbedrohungen: Eine der größten Herausforderungen beim Informationsaustausch besteht darin, das richtige Gleichgewicht zwischen dem Austausch von Informationen, die für andere nützlich sind, und dem Schutz sensibler Daten zu finden. Die Finanzinstitute müssen sicherstellen, dass alle gemeinsam genutzten Informationen in geeigneter Weise anonymisiert und zusammengefasst werden, um die Identifizierung bestimmter Personen oder Organisationen zu verhindern. Dies trägt dazu bei, die Privatsphäre und die Vertraulichkeit der beteiligten Parteien zu schützen.
- Überprüfung der Beziehungen zu IKT-Dienstleistern: DORA schreibt vor, dass Finanzunternehmen die mit ihren IKT-Dienstleistern verbundenen Risiken managen. Dazu gehören die Durchführung von Due-Diligence-Prüfungen, die Aktualisierung vertraglicher Vereinbarungen und die Einrichtung laufender Überwachungsmechanismen, deren ordnungsgemäße Durchführung – wenn sie manuell erfolgt – erhebliche Ressourcen erfordern kann.
- Regelmäßiges Testen der Resilienz: Die laufende Einhaltung der DORA-Vorschriften erfordert regelmäßige Tests, um die Aufrechterhaltung der Resilienz zu gewährleisten.
- Entwicklung einer Kultur der operationellen Resilienz: Die Entwicklung einer Kultur der operationale Resilienz ist nicht einfach, aber sie ist entscheidend, um sicherzustellen, dass die Resilienz in den Werten, der Denkweise und den täglichen Abläufen des Unternehmens verankert ist.
Die Einhaltung von DORA erfordert einen proaktiven Ansatz, Technologie kann helfen
Die DORA-Verordnung stellt eine bedeutende regulatorische Veränderung dar, die Unternehmen bewältigen müssen, um im digitalen Zeitalter erfolgreich zu sein. Durch die proaktive Anpassung an die Anforderungen von DORA können Unternehmen Transparenz, Nachhaltigkeit und verantwortungsvolle Innovation fördern. Die Einhaltung der DORA-Vorschriften mindert nicht nur die Risiken, sondern bietet auch Wachstumschancen und Wettbewerbsvorteile.
Die richtige Technologie kann Ihnen helfen, Prozesse zu rationalisieren, um einen Vorsprung bei Ihren Initiativen zur Einhaltung der DORA-Vorschriften zu gewinnen.
Erfahren Sie mehr darüber, wie Diligent Ihr Unternehmen bei der Einhaltung von DORA und anderen damit verbundenen Vorschriften unterstützen kann, und vereinbaren Sie noch heute einen Termin für eine Vorführung.
Diligent Blog
Bleiben Sie über Neuigkeiten und Trends informiert, die GRC für Führungskräfte, Organisationen und den öffentlichen Sektor beeinflussen. Finden Sie Ressourcen und Einblicke, die alles abdecken, von Best Practices der Governance über ESG bis hin zu strategischem Risiko-, Compliance- und Audit-Management.