Digital Operational Resilience Act

DORA-Verodnung


Mit DORA zu einer wirksamen Abwehr von digitalen Bedrohungen

Finanzunternehmen müssen funktionieren

DORA ist eine neue EU-Verordnung, die darauf abzielt, die digitale operationelle Resilienz von Finanzunternehmen zu stärken. Dies erfordert robuste IKT-Systeme, gut durchdachte Prozesse und klare Vereinbarungen mit Dienstleistern. Erfahren Sie mehr darüber, wie wir Ihnen bei der Umsetzung von DORA helfen können, um die Anforderungen dieser wichtigen Verordnung zu erfüllen.

Die DORA-Verordnung schafft innerhalb der EU einen einheitlichen Rahmen für Finanzunternehmen und ihre IT-Dienstleister zur Erhöhung der IT-Resilienz. Diese Verordnung trägt nicht nur dazu bei, die Risiken von Cyberangriffen und technischen Ausfällen zu minimieren, sondern stärkt auch das Vertrauen von Verbrauchern und Investoren in den gesamten Finanzsektor.

Tobias Dieter, Managing Consultant im Bereich Information Security bei adesso SE


DORA: Konformität alternativlos. Nicht chancenlos.

Inklusive Schnell-Checkliste und KI-Optionen

Erfahren Sie in unserem Whitepaper mehr über die wichtigsten Bestandteile von DORA sowie die Auswirkungen und Handlungsanforderungen für Finanzunternehmen. Unsere kompakte Checkliste ermöglicht Ihnen, den eigenen DORA-Reifegrad besser einzuschätzen.


Zum Whitepaper


Kernthemen der DORA-Verordnung


Der IKT-Risikomanagementrahmen stärkt das Informationsrisiko- und Informationssicherheitsmanagement in Finanzunternehmen. Dies umfasst die Konzeption und den Betrieb von robusten IKT-Systemen und -Prozessen, die auch in Störungs- und in Notfällen wirksam funktionieren. Hierfür muss eine kontinuierliche Überwachung von IKT-Risiken und die Festlegung von Schutzmaßnahmen gewährleistet sein. Regelmäßige Tests sichern die Wirksamkeit aller Vorgaben, Pläne und Maßnahmen für einen dauerhaft stabilen Geschäftsbetrieb.

Das Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen umfasst die folgenden Punkte: Planung und Durchführung von Tests der IKT-Komponenten, Erkennung von Schwachstellen und deren Bewertung & Behandlung sowie die Durchführung von bedrohungsgesteuerten Penetrationstests (TLPT) für IKT-Dienste für kritische Funktionen mit der Einbindung von IKT-Drittdienstleistern.

Finanzunternehmen müssen zuverlässige Verfahren zur Behandlung von IKT-Vorfällen entwickeln. Um den Anforderungen gerecht zu werden, wird ein einheitliches Verfahren zur Überwachung, Klassifizierung und Meldung von IKT-Vorfällen an die Aufsichtsbehörden eingeführt.

Das IKT-Risikomanagement beinhaltet verstärkte Anforderungen an das 3rd & 4th Party Risk Management. Finanzunternehmen müssen die Risiken von IKT-Drittdienstleistern identifizieren und angemessen behandeln. Erstellung und Meldung eines Verzeichnisses der ausgelagerten Tätigkeiten sowie die Berücksichtigung der definierten Mindestvertragsinhalte mit den IKT-Dienstleistern.

Der regelmäßige Austausch von Informationen und Erkenntnisse über Cyberbedrohungen zwischen Finanzunternehmen und den Aufsichtsbehörden ist ein wichtiger Bestandteil transparenter Kommunikation.

Wer sind die handelnden Akteure?

Die Anforderungen der DORA-Verordnung (Artikel 2 Absatz 1) gelten für alle:

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Zentralverwahrer
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • (Rück-)Versicherungsvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • Schwarmfinanzierungsdienstleister
  • und weitere

Es gibt zwei Gruppen von Finanzunternehmen

  • Dazu gehören Banken, Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften.

    Diese Unternehmen kennen Ihre geltenden „Aufsichtlichen Anforderungen an die IT“ der BaFin (xAIT) und besitzen typischerweise funktionierende Managementsysteme für Informationssicherheit, Risiken, Notfälle und Dienstleister und betreiben ein abgestimmtes IT-Servicemanagement.

    DORA erweitert die bereits vorhandenen Themenbereiche um verschiedene Aspekte.

    Die Herausforderung besteht darin, die neuen Anforderungen zu bewerten und passgenau in die vorhandenen Managementsysteme zu integrieren.

    adesso führt mit Ihnen einen Soll-Ist-Abgleich durch und unterstützen Sie bei der Bewertung und Umsetzung von Behandlungsmaßnahmen.

  • Hier gilt es, einen kompletten Durchlauf über alle Anforderungen durchzuführen.

    Bewährt haben sich hierfür sogenannte „Readiness-Checks“, die durch gezielte Fragestellungen eine strukturierte Abarbeitung der Anforderungen ermöglichen, um daraus Maßnahmenpläne zu entwickeln.

    DORA definiert Verhältnismäßigkeitsschwellen, um die Aufwände für Finanzunternehmen erfüllbar zu halten und differenziert nach Unternehmensgröße und Umsatz.

    Finanzunternehmen müssen für alle Beschäftigten und gegebenenfalls für IKT-Drittdienstleister verpflichtende Schulungen zur IKT-Sicherheit und zur digitalen operationalen Resilienz entwickeln und regelmäßig durchführen.

    Die Schulungen müssen komplex und dem „jeweiligem Aufgabenbereich angemessen“ (Art. 13 Abs. 6 DORA) sein.


Die DORA-Verodnung und IKT-Drittdienstleister

Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Finanzunternehmen stellen außerdem sicher, dass vertragliche Vereinbarungen definierte Mindeststandards erfüllen.

Neben den betroffenen Finanzunternehmen nimmt DORA auch deren Dienstleister in die Pflicht, eine stabile Dienstleistungserbringung zu gewährleisten. Ein „IKT-Drittdienstleister“ ist gemäß Art. 3 Nr. 19 DORA „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.

„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.
(Art. 3 Nr. 19 DORA)

Zeitlicher Ablauf

Syber Security DORA zeitlicher Ablauf

Aufsichtsbehörden

DORA ist zwar veröffentlicht, aber noch nicht vollständig konkretisiert worden.

Ab Januar 2024 werden von der Europäischen Bankenaufsicht technische Regulierungsstandards bereitgestellt, u.a. zu den Themen:

  • Netzwerksicherheit
  • Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten
  • Kontrollen von Zugangs- und Zugriffsrechten
  • Erkennung anomaler Aktivitäten & Überwachung anomalen Verhaltens sowie Reaktionsprozesse
  • IKT-Geschäftsfortführungsplanung
  • Überprüfung des IKT-Risikomanagementrahmens
  • Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
  • Meldungen über schwerwiegende IKT-bezogene Vorfälle
  • Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT
  • Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos
  • Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten

Rahmenbedingungen für Sanktionen

Die EU-Mitgliedstaaten werden dazu verpflichtet, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam beaufsichtigen.

Geldbußen sollen unter Berücksichtigung der Umstände des Einzelfalls „wirksam, verhältnismäßig und abschreckend“ (Artikel 50 Abs. 3 DORA) sein.

Behörden können jegliche „Art von Maßnahme, auch finanzieller Art“ (Art. 50 Abs. 4c DORA) ergreifen, um Finanzunternehmen zu zwingen, Verstöße gegen die DORA-Vorgaben zu beheben.


DORA.KI

Verträge mittels KI schnell und einfach auf DORA-Compliance überprüfen

Automatisieren Sie den Vertragsprüfungsprozess mittels DORA.KI und senken Sie Zeit, Kosten und Compliance-Risiken. Das Tool analysiert Verträge vollautomatisch auf DORA-Konformität, überwacht kontinuierlich Änderungen und stellt sicher, dass Ihre Organisation jederzeit auf dem neuesten Stand ist. So können Sie sich auf Ihr Kerngeschäft konzentrieren und die Sicherheit Ihrer IKT-Infrastruktur gewährleisten.

Mehr erfahren


Das adesso Serviceangebot

adesso verfügt über ein breites Erfahrungsspektrum in den Themenbereichen, die für eine erfolgreiche Umsetzung der DORA-Anforderungen erforderlich sind. Dies gilt insbesondere für das Informationssicherheitsmanagement (ISM), Informationsrisikomanagement (IRM), Business Continuity Management (BCM) und das Providermanagement. Die Erfüllung aller Anforderungen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus.

Für Finanzunternehmen und IKT-Dienstleister ist es daher wichtig, frühzeitig folgende Schritte einzuleiten:

Step 1 - Analyse: Anforderungen bewerten & Erfüllungsgrad feststellen in einem DORA Readiness-Check

Step 2 - Maßnahmenplanung: Handlungsfelder identifizieren & Roadmap erstellen

Step 3 - Umsetzung: Arbeitspakete umsetzen und organisatorisch verankern in der Projektmanagement & Umsetzungsunterstützung

Wir freuen uns auf Ihre Anfrage


Weitere Themen im Überblick


Haben Sie Fragen zu DORA?

Sprechen Sie uns an und lassen Sie uns gemeinsam über Ihre konkreten Herausforderungen diskutieren.

Wir freuen uns über einen Austausch mit Ihnen – vor Ort oder digital.

Kontakt

Diese Seite speichern. Diese Seite entfernen.