DORA ist eine neue EU-Verordnung, die darauf abzielt, die digitale operationelle Resilienz von Finanzunternehmen zu stärken. Dies erfordert robuste IKT-Systeme, gut durchdachte Prozesse und klare Vereinbarungen mit Dienstleistern. Erfahren Sie mehr darüber, wie wir Ihnen bei der Umsetzung von DORA helfen können, um die Anforderungen dieser wichtigen Verordnung zu erfüllen.
Digital Operational Resilience Act
DORA-Verodnung
Mit DORA zu einer wirksamen Abwehr von digitalen Bedrohungen
Finanzunternehmen müssen funktionieren
Die DORA-Verordnung schafft innerhalb der EU einen einheitlichen Rahmen für Finanzunternehmen und ihre IT-Dienstleister zur Erhöhung der IT-Resilienz. Diese Verordnung trägt nicht nur dazu bei, die Risiken von Cyberangriffen und technischen Ausfällen zu minimieren, sondern stärkt auch das Vertrauen von Verbrauchern und Investoren in den gesamten Finanzsektor.
DORA: Konformität alternativlos. Nicht chancenlos.
Inklusive Schnell-Checkliste und KI-Optionen
Erfahren Sie in unserem Whitepaper mehr über die wichtigsten Bestandteile von DORA sowie die Auswirkungen und Handlungsanforderungen für Finanzunternehmen. Unsere kompakte Checkliste ermöglicht Ihnen, den eigenen DORA-Reifegrad besser einzuschätzen.
Kernthemen der DORA-Verordnung
Der IKT-Risikomanagementrahmen stärkt das Informationsrisiko- und Informationssicherheitsmanagement in Finanzunternehmen. Dies umfasst die Konzeption und den Betrieb von robusten IKT-Systemen und -Prozessen, die auch in Störungs- und in Notfällen wirksam funktionieren. Hierfür muss eine kontinuierliche Überwachung von IKT-Risiken und die Festlegung von Schutzmaßnahmen gewährleistet sein. Regelmäßige Tests sichern die Wirksamkeit aller Vorgaben, Pläne und Maßnahmen für einen dauerhaft stabilen Geschäftsbetrieb.
Das Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen umfasst die folgenden Punkte: Planung und Durchführung von Tests der IKT-Komponenten, Erkennung von Schwachstellen und deren Bewertung & Behandlung sowie die Durchführung von bedrohungsgesteuerten Penetrationstests (TLPT) für IKT-Dienste für kritische Funktionen mit der Einbindung von IKT-Drittdienstleistern.
Finanzunternehmen müssen zuverlässige Verfahren zur Behandlung von IKT-Vorfällen entwickeln. Um den Anforderungen gerecht zu werden, wird ein einheitliches Verfahren zur Überwachung, Klassifizierung und Meldung von IKT-Vorfällen an die Aufsichtsbehörden eingeführt.
Das IKT-Risikomanagement beinhaltet verstärkte Anforderungen an das 3rd & 4th Party Risk Management. Finanzunternehmen müssen die Risiken von IKT-Drittdienstleistern identifizieren und angemessen behandeln. Erstellung und Meldung eines Verzeichnisses der ausgelagerten Tätigkeiten sowie die Berücksichtigung der definierten Mindestvertragsinhalte mit den IKT-Dienstleistern.
Der regelmäßige Austausch von Informationen und Erkenntnisse über Cyberbedrohungen zwischen Finanzunternehmen und den Aufsichtsbehörden ist ein wichtiger Bestandteil transparenter Kommunikation.
Wer sind die handelnden Akteure?
Die Anforderungen der DORA-Verordnung (Artikel 2 Absatz 1) gelten für alle:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- (Rück-)Versicherungsvermittler
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen
- Schwarmfinanzierungsdienstleister
- und weitere
Es gibt zwei Gruppen von Finanzunternehmen
-
Erfüllung hoher BaFin-Anforderungen
Dazu gehören Banken, Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften.
Diese Unternehmen kennen Ihre geltenden „Aufsichtlichen Anforderungen an die IT“ der BaFin (xAIT) und besitzen typischerweise funktionierende Managementsysteme für Informationssicherheit, Risiken, Notfälle und Dienstleister und betreiben ein abgestimmtes IT-Servicemanagement.
DORA erweitert die bereits vorhandenen Themenbereiche um verschiedene Aspekte.
Die Herausforderung besteht darin, die neuen Anforderungen zu bewerten und passgenau in die vorhandenen Managementsysteme zu integrieren.
adesso führt mit Ihnen einen Soll-Ist-Abgleich durch und unterstützen Sie bei der Bewertung und Umsetzung von Behandlungsmaßnahmen.
-
Gewährleistung von Grundabsicherung
Hier gilt es, einen kompletten Durchlauf über alle Anforderungen durchzuführen.
Bewährt haben sich hierfür sogenannte „Readiness-Checks“, die durch gezielte Fragestellungen eine strukturierte Abarbeitung der Anforderungen ermöglichen, um daraus Maßnahmenpläne zu entwickeln.
DORA definiert Verhältnismäßigkeitsschwellen, um die Aufwände für Finanzunternehmen erfüllbar zu halten und differenziert nach Unternehmensgröße und Umsatz.
Finanzunternehmen müssen für alle Beschäftigten und gegebenenfalls für IKT-Drittdienstleister verpflichtende Schulungen zur IKT-Sicherheit und zur digitalen operationalen Resilienz entwickeln und regelmäßig durchführen.
Die Schulungen müssen komplex und dem „jeweiligem Aufgabenbereich angemessen“ (Art. 13 Abs. 6 DORA) sein.
Die DORA-Verodnung und IKT-Drittdienstleister
Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Finanzunternehmen stellen außerdem sicher, dass vertragliche Vereinbarungen definierte Mindeststandards erfüllen.
Neben den betroffenen Finanzunternehmen nimmt DORA auch deren Dienstleister in die Pflicht, eine stabile Dienstleistungserbringung zu gewährleisten. Ein „IKT-Drittdienstleister“ ist gemäß Art. 3 Nr. 19 DORA „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.
„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.
(Art. 3 Nr. 19 DORA)
Zeitlicher Ablauf
Aufsichtsbehörden
DORA ist zwar veröffentlicht, aber noch nicht vollständig konkretisiert worden.
Ab Januar 2024 werden von der Europäischen Bankenaufsicht technische Regulierungsstandards bereitgestellt, u.a. zu den Themen:
- Netzwerksicherheit
- Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten
- Kontrollen von Zugangs- und Zugriffsrechten
- Erkennung anomaler Aktivitäten & Überwachung anomalen Verhaltens sowie Reaktionsprozesse
- IKT-Geschäftsfortführungsplanung
- Überprüfung des IKT-Risikomanagementrahmens
- Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
- Meldungen über schwerwiegende IKT-bezogene Vorfälle
- Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT
- Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos
- Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten
Rahmenbedingungen für Sanktionen
Die EU-Mitgliedstaaten werden dazu verpflichtet, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam beaufsichtigen.
Geldbußen sollen unter Berücksichtigung der Umstände des Einzelfalls „wirksam, verhältnismäßig und abschreckend“ (Artikel 50 Abs. 3 DORA) sein.
Behörden können jegliche „Art von Maßnahme, auch finanzieller Art“ (Art. 50 Abs. 4c DORA) ergreifen, um Finanzunternehmen zu zwingen, Verstöße gegen die DORA-Vorgaben zu beheben.
DORA.KI
Verträge mittels KI schnell und einfach auf DORA-Compliance überprüfen
Automatisieren Sie den Vertragsprüfungsprozess mittels DORA.KI und senken Sie Zeit, Kosten und Compliance-Risiken. Das Tool analysiert Verträge vollautomatisch auf DORA-Konformität, überwacht kontinuierlich Änderungen und stellt sicher, dass Ihre Organisation jederzeit auf dem neuesten Stand ist. So können Sie sich auf Ihr Kerngeschäft konzentrieren und die Sicherheit Ihrer IKT-Infrastruktur gewährleisten.
Das adesso Serviceangebot
adesso verfügt über ein breites Erfahrungsspektrum in den Themenbereichen, die für eine erfolgreiche Umsetzung der DORA-Anforderungen erforderlich sind. Dies gilt insbesondere für das Informationssicherheitsmanagement (ISM), Informationsrisikomanagement (IRM), Business Continuity Management (BCM) und das Providermanagement. Die Erfüllung aller Anforderungen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus.
Für Finanzunternehmen und IKT-Dienstleister ist es daher wichtig, frühzeitig folgende Schritte einzuleiten:
Step 1 - Analyse: Anforderungen bewerten & Erfüllungsgrad feststellen in einem DORA Readiness-Check
Step 2 - Maßnahmenplanung: Handlungsfelder identifizieren & Roadmap erstellen
Step 3 - Umsetzung: Arbeitspakete umsetzen und organisatorisch verankern in der Projektmanagement & Umsetzungsunterstützung
Weitere Themen im Überblick
Haben Sie Fragen zu DORA?
Sprechen Sie uns an und lassen Sie uns gemeinsam über Ihre konkreten Herausforderungen diskutieren.
Wir freuen uns über einen Austausch mit Ihnen – vor Ort oder digital.
Principal Consultant Tobias Dieter tobias.dieter@adesso.de