.png)
Der Digital Operational Resilience Act (DORA) ist die EU-Rechtsvorschrift zur digitalen Widerstandsfähigkeit von Finanzunternehmen. DORA zielt darauf ab, in der gesamten EU ein einheitlich hohes Niveau an digitaler Resilienz zu erreichen. Sie legt einheitliche Anforderungen für Informationsnetzwerke und Systeme fest, die finanzielle Geschäftsprozesse unterstützen.
DORA schreibt umfassende Anforderungen für den Schutz, die Erkennung, die Isolierung, die Wiederherstellung und die Behebung eines Sicherheitsvorfalls vor . Darüber hinaus beinhaltet der Rahmen ein gründliches Risiko- und Vorfallsmanagement, die Weitergabe von Cyber-Bedrohungen und -Schwachstellen, Bestimmungen für Belastbarkeitstests und die Verpflichtung, Vorfälle den zuständigen Behörden zu melden.
Wir haben den DORA-Anforderungsrahmen für Cyberday im Herbst 2024 veröffentlicht - Sie können ihn über den Abschnitt "Rahmen bearbeiten" im Dashboard "Organisation" aktivieren. In diesem Blog werden wir einen umfassenderen Blick darauf werfen, was DORA ist und was es enthält, für wen der Anforderungsrahmen tatsächlich gilt und wie DORA aussieht, wenn es sich in Cyberday befindet. Fangen wir also an!
Da sich die digitale Landschaft immer weiter ausbreitet, steht der Finanzsektor unter unerbittlichem Druck, sich gegen Cyber-Bedrohungen zu schützen. Hier kommt der Digital Operational Resilience Act ins Spiel, ein von der Europäischen Union eingeführter Rechtsakt zur Stärkung der Cyber-Resilienz von Finanzinstituten. Der am 14. Dezember 2022 in Kraft getretene DORA stellt einen grundlegenden Wandel in der Art und Weise dar, wie Finanzinstitute mit digitalen Bedrohungen umgehen müssen.
DORA zeigt, dass Finanzinstitute sich auf operationelle Risiken konzentrieren müssen, und nicht nur auf finanzielle Risiken. DORA ist nicht nur eine weitere Vorschrift, die es zu befolgen gilt - es ist eine Chance für Finanzunternehmen, ihre digitale Abwehr zu stärken. Indem sie DORA in die Praxis umsetzen, können Finanzinstitute ihre Reaktion auf IT-Ausfälle oder Cyberangriffe standardisieren und so das Finanzsystem stärker und widerstandsfähiger machen.
Der Countdown für DORA läuft, denn das Gesetz soll bis zum 17. Januar 2025 in Kraft treten. Während sich Unternehmen auf die Erfüllung dieser kritischen Anforderungen vorbereiten, haben sie eine wichtige Gelegenheit, ihre Cybersicherheitsmaßnahmen zu verfeinern und zu verbessern. Indem sie eine proaktive Haltung einnehmen, stellen sie nicht nur die Einhaltung der Vorschriften sicher, sondern stärken auch das Vertrauen und die Stabilität in der digitalen Welt. Die Umsetzung von DORA bedeutet, die Details zu verstehen und den Schutz vor Cyber-Bedrohungen zu verbessern.
Der Anwendungsbereich von DORA umfasst ein breites Spektrum von Finanzunternehmen, die in der Europäischen Union tätig sind, und schließt auch Nicht-EU-Unternehmen ein. Ziel ist es, sicherzustellen, dass diese Unternehmen allen Arten von Störungen und Bedrohungen im Bereich der Informations- und Kommunikationstechnologie (IKT) widerstehen, darauf reagieren und sich davon erholen können. Hier finden Sie eine detailliertere Aufschlüsselung des Anwendungsbereichs von DORA:
DORA legt den Schwerpunkt nicht nur auf den Schutz der technischen Infrastruktur, sondern auch auf die Aufrechterhaltung der digitalen operationellen Widerstandsfähigkeit, so dass es für die Unternehmen von entscheidender Bedeutung ist, sowohl digitalen Bedrohungen als auch operationellen Risiken zu begegnen. DORA gilt für ein breites Spektrum von Finanzinstituten, einschließlich, aber nicht beschränkt auf:
Der Anwendungsbereich von DORA ist breit gefächert, aber der Schwerpunkt liegt auf Unternehmen, die einen direkten oder signifikanten Einfluss auf das Finanzsystem der EU haben, so dass bestimmte kleinere Unternehmen oder Finanzinstitute, die nicht zum Kerngeschäft gehören, möglicherweise nicht unter die Anforderungen fallen. Dabei kann es sich beispielsweise um Klein- und Kleinstunternehmen (KMU) in bestimmten nicht zum Kerngeschäft gehörenden Finanzsektoren handeln, die keine großen Mengen an sensiblen Finanzdaten verarbeiten, sowie um IKT-Dienstleister, die dem Finanzsektor unkritische oder nicht zum Kerngeschäft gehörende Dienstleistungen anbieten.
Mit der Verordnung soll sichergestellt werden, dass alle diese Einrichtungen unabhängig von ihrer Größe oder Art über kohärente Cybersicherheitsmaßnahmen verfügen, wobei der Schwerpunkt auf ihrer betrieblichen Widerstandsfähigkeit gegenüber IKT-Risiken liegt.
Der Digital Operational Resilience Act (DORA) ist ein Rechtsrahmen der Europäischen Union, der auf die Stärkung der Cybersicherheit und der operativen Widerstandsfähigkeit von Finanzunternehmen in der EU abzielt. DORA ist zwar kein Cybersicherheitsrahmen im eigentlichen Sinne, aber er legt einen Rechtsrahmen fest, der Elemente verschiedener bekannter Cybersicherheitsgrundsätze und -praktiken integriert. Im Wesentlichen verbessert DORA die digitale operative Widerstandsfähigkeit des Finanzsektors. Aber welche konkreten Maßnahmen sind dafür erforderlich?
Legt Anforderungen für das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) fest, einschließlich der Einrichtung von Governance-Rahmenwerken, der Durchführung von Risikobewertungen und der Implementierung von Kontrollen zur Minderung ermittelter Risiken.
Durch die Ausrichtung der Finanzinstitute und ihrer Zulieferer an einheitlichen Standards und Anforderungen wie dem ISO 27001-Standard und dem NIST CSF wird die Verteidigung gegen eine sich entwickelnde Bedrohungslandschaft gestärkt . Diese Konsistenz vereinfacht die Einhaltung der Vorschriften und stellt sicher, dass kein Institut Cyberrisiken ausgesetzt ist. Kapitel II ist thematisch breit angelegt und stellt die Anforderungen an die Informationssicherheit im Allgemeinen vor. Einige der hervorzuhebenden Artikel sind:
Artikel 9a: Schutz: Dieser Artikel befasst sich speziell mit dem Schutz von Informationssystemen; Unternehmen müssen ihre IKT-Systeme ständig überwachen und kontrollieren, um die Sicherheit zu gewährleisten, Risiken zu minimieren und auf das Schlimmste vorbereitet zu sein. Zu den Maßnahmen können z. B. die Zugangsverwaltung, die Verschlüsselung von Sicherungsdaten und physische Schutzmaßnahmen gehören.
Artikel 9b: Vorbeugung: Da es im ersten Teil um den Schutz geht, werden im zweiten Teil von Artikel 9 die Anforderungen an die Finanzunternehmen zum Schutz und zur Vermeidung von Risiken für ihre IKT-Systeme beschrieben. Maßnahmen zur Risikoprävention können beispielsweise die Festlegung von Zugriffsrechten, die Sensibilisierung des Personals sowie die Dateiverwaltung umfassen .
Die Finanzunternehmen entwickeln und dokumentieren eine Informationssicherheitspolitik, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, Informations- und IKT-Vermögenswerten, gegebenenfalls auch derjenigen ihrer Kunden, festgelegt sind.
Artikel 10: Aufdeckung: Die Finanzunternehmen müssen Maßnahmen ergreifen, um Probleme oder Schwachstellen in ihren IKT-Netzen schnell zu erkennen. Diese Mechanismen sollten mehrschichtige Kontrollen, klar definierte Warnschwellen und automatische Benachrichtigungen zur Unterstützung der Reaktion auf Vorfälle umfassen.
In Kapitel III wird ein standardisierter Ansatz für die Meldung bedeutender IKT-bezogener Vorfälle an die zuständigen Behörden vorgeschrieben. Damit soll eine rechtzeitige und genaue Mitteilung von Vorfällen gewährleistet werden, die die Finanzstabilität oder die Verbraucher beeinträchtigen könnten.
DORA verbessert die Reaktion auf Vorfälle, indem es die Berichterstattungs- und Reaktionsprozesse rationalisiert und es den Unternehmen ermöglicht, schnell und effektiv zu handeln.
Dora verlangt eine regelmäßige Prüfung der betrieblichen Widerstandsfähigkeit von IKT-Systemen, die Schwachstellenbewertungen, Penetrationstests und bedrohungsgesteuerte Penetrationstests (TLPT) umfassen kann.
Die Sicherstellung der Widerstandsfähigkeit von Systemen gegen Angriffe ist ein Hauptanliegen. DORA verlangt von den Unternehmen, dass sie strenge Tests zur digitalen Widerstandsfähigkeit durchführen. Dies bedeutet regelmäßige und gründliche Bewertungen, um die Wirksamkeit der Sicherheitsmaßnahmen zu validieren und sicherzustellen, dass Schwachstellen erkannt und umgehend beseitigt werden.
Der Schwerpunkt liegt dabei auf dem Risikomanagement im Zusammenhang mit externen IKT-Dienstleistern. Dazu gehören Regeln für das Outsourcing, die Überwachung und die Risikobewertung von Beziehungen zu Dritten sowie die Gewährleistung, dass diese Anbieter die Grundsätze der Sicherheit und Widerstandsfähigkeit einhalten.
DORA stärkt das Risikomanagement von Drittanbietern, indem es eine strenge Aufsicht und Bewertung von IKT-Anbietern erzwingt, um sicherzustellen, dass ausgelagerte Partner dieselben Sicherheitsstandards erfüllen, und um Schwachstellen im vernetzten Finanzökosystem zu verringern.
Kapitel VI ermutigt Finanzunternehmen zum Austausch von Bedrohungsdaten und Informationen über Cyber-Bedrohungen, -Vorfälle und -Schwachstellen innerhalb des Sektors, um eine gemeinsame Verteidigung gegen Cyber-Risiken zu fördern. Der obligatorische Informationsaustausch hilft den Organisationen, aus Vorfällen zu lernen, die Auswirkungen zu verringern und zukünftige Vorfälle zu verhindern.
DORA verfolgt einen breit angelegten, risikobasierten Ansatz und verlangt von den Unternehmen robuste Cybersicherheitspraktiken, die sich gut an weltweit anerkannte Rahmenwerke wie ISO 27001, NIST CSF und CIS Controls anlehnen, aber auch die besonderen Bedürfnisse des Finanzsektors berücksichtigen.
Wie bereits erwähnt, kann DORA auf Cyberday genutzt werden. Unter Cyberday besteht Dora aus 5 Klauseln und 42 Anforderungen, die in priorisierte Richtlinien und Aufgaben unterteilt sind. Auf Cyberday finden Sie auch viele andere in diesem Blog erwähnte Rahmenwerke, wie den ISO 27001-Standard und das NIST-Rahmenwerk für Cybersicherheit. Sie können also mit DORA allein oder in Kombination mit anderen verfügbaren Rahmenwerken arbeiten. Wenn Sie noch keine Gelegenheit hatten, Cyberday auszuprobieren, können Sie hier eine kostenlose 14-tägige Testversion anfordern.
DORA dient sowohl als regulatorischer Leitfaden als auch als kollaborativer Standard, der die Prozesse im Finanzsektor vereinheitlicht, um gemeinsame Herausforderungen der digitalen Resilienz zu bewältigen. Die klaren Richtlinien zum Risikomanagement, zur Meldung von Vorfällen und zur Prüfung der Widerstandsfähigkeit ermöglichen es Organisationen jeder Größe, die Cybersicherheit mit Zuversicht anzugehen und eine proaktive und konsistente Verteidigung gegen sich entwickelnde Bedrohungen zu fördern.
Letztendlich legt DORA nicht nur Richtlinien fest, sondern baut aktiv ein kollaboratives Ökosystem auf, in dem Einrichtungen besser darauf vorbereitet sind, Cyber-Bedrohungen zu bekämpfen, Daten zu schützen und das Vertrauen ihrer Stakeholder zu erhalten. Für Institutionen, die durch die Komplexität digitaler Bedrohungen navigieren, ist DORA ein verlässlicher Verbündeter in ihrer Cybersicherheitsstrategie.
Fehlt Cyberday ein Framework, an dem Sie gerne arbeiten würden? DORA wurde auf Cyberday dank der Wünsche unserer Nutzer veröffentlicht. Unser Team arbeitet ständig daran, neue Frameworks zur Verfügung zu stellen. Wünschen Sie sich also Ihr Lieblingsframework, vielleicht geht Ihr Wunsch in Erfüllung ⭐️ Zu den Frameworks.
