Was mit NIS2 auf Sie zukommt
Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als kritische Einrichtung eingestuft? Dann...
4 Min. Lesezeit
DriveLock Jul 24, 2024 12:05:55 PM
In einer zunehmend digitalisierten Welt ist der Schutz vor Cyber-Bedrohungen und die Sicherstellung der Betriebskontinuität von zentraler Bedeutung, insbesondere für den Finanzsektor. Um den Herausforderungen moderner IT-Risiken gerecht zu werden und die Stabilität des Finanzmarktes zu gewährleisten, hat die Europäische Union die Digital Operational Resilience Act (DORA) verabschiedet.
INHALT |
Diese Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken und sicherzustellen, dass sie selbst in Krisenzeiten reibungslos funktionieren. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Aspekte der DORA-Verordnung und was sie für Unternehmen im Finanzsektor bedeutet.
DORA steht für den Digital Operational Resilience Act. Es handelt sich um eine von der Europäischen Union erlassene Verordnung, die darauf abzielt, die betriebliche Widerstandsfähigkeit von Finanzunternehmen, einschließlich Banken, Wertpapierfirmen, Versicherungsgesellschaften und anderen Finanzinstituten, gegen digitale Störungen und Cyber-Bedrohungen zu stärken.
In der Digital Operational Resilience Act (DORA) spielen Drittanbieter eine zentrale Rolle, da viele Finanzunternehmen auf externe Dienstleister für wichtige IT-Dienste angewiesen sind. Die Verordnung legt daher besondere Regeln für den Umgang mit diesen Drittanbietern fest, um sicherzustellen, dass auch diese in die Risikomanagement- und Resilienzstrategien integriert sind.
Hier sind die wichtigsten Regelungen für Drittanbieter in der DORA-Verordnung:
Risikomanagement bei Drittanbietern: Finanzunternehmen müssen ein robustes Risikomanagementsystem für Drittanbieter etablieren. Dieses System soll die Identifizierung, Bewertung und Überwachung der Risiken abdecken, die aus der Zusammenarbeit mit Drittanbietern resultieren. Insbesondere müssen die Risiken, die durch die Abhängigkeit von externen IT-Dienstleistern, einschließlich Cloud-Diensten, entstehen, sorgfältig bewertet werden.
Vertragsgestaltung: DORA verlangt von Finanzunternehmen, dass sie klare und umfassende Verträge mit Drittanbietern abschließen. Diese Verträge sollten unter anderem die Verantwortlichkeiten der Dienstleister, die Einhaltung von Sicherheits- und Datenschutzanforderungen sowie die Rechte der Finanzunternehmen, Audits und Inspektionen durchzuführen, klar definieren. Zudem sollten sie Vorkehrungen für die Beendigung der Geschäftsbeziehung und den Umgang mit Notfällen enthalten.
Überwachung und Berichterstattung: Finanzunternehmen müssen eine kontinuierliche Überwachung der Leistung und der Einhaltung der vertraglichen Verpflichtungen ihrer Drittanbieter sicherstellen. Dazu gehört auch die regelmäßige Bewertung der IT-Sicherheitsmaßnahmen der Dienstleister. Bei wesentlichen Vorfällen oder Veränderungen in der Beziehung zum Drittanbieter müssen die zuständigen Aufsichtsbehörden informiert werden.
Kritische Drittanbieter: DORA enthält spezielle Bestimmungen für kritische Drittanbieter, deren Dienstleistungen als besonders wichtig für den Betrieb eines Finanzunternehmens angesehen werden. Solche Dienstleister müssen möglicherweise strengeren Überwachungs- und Berichtspflichten nachkommen und sind oft Gegenstand einer genaueren Prüfung durch Aufsichtsbehörden.
Exit-Strategien: Finanzunternehmen müssen Exit-Strategien entwickeln, um sicherzustellen, dass sie bei Bedarf von einem Drittanbieter zu einem anderen wechseln können, ohne dabei den Geschäftsbetrieb zu gefährden. Diese Strategien sollten auch Szenarien für den Fall eines plötzlichen Ausfalls oder einer schwerwiegenden Störung bei einem Drittanbieter umfassen.
Einhaltung von DORA durch Drittanbieter: Es ist von entscheidender Bedeutung, dass Drittanbieter, insbesondere solche, die als kritisch eingestuft werden, die Anforderungen der DORA-Verordnung verstehen und einhalten. Finanzunternehmen sind dafür verantwortlich, sicherzustellen, dass ihre Drittanbieter die notwendigen Sicherheits- und Resilienzstandards erfüllen, um den Anforderungen der DORA zu entsprechen.
Die Digital Operational Resilience Act (DORA) ist ein umfassendes Regelwerk, das darauf abzielt, die digitale Widerstandsfähigkeit von Finanzunternehmen in der Europäischen Union zu stärken. Um dieses Ziel zu erreichen, umfasst die Verordnung eine Reihe von Schlüsselkomponenten, die alle Aspekte des IKT-Risikomanagements, der Governance, des Vorfallsmanagements, der Resilienztests und des Umgangs mit Drittanbietern abdecken. In diesem Abschnitt werfen wir einen detaillierten Blick auf die wichtigsten Bestandteile der DORA-Verordnung und erläutern, wie diese Elemente dazu beitragen, die Sicherheit und Stabilität im Finanzsektor zu gewährleisten.
DORA gilt für ein breites Spektrum von Finanzunternehmen in der EU, darunter Banken, Wertpapierfirmen, Versicherungsunternehmen und sogar kritische Drittdienstleister. Sie gilt für Unternehmen, die unter verschiedene Finanzdienstleistungsgesetze fallen, wie MiFID II, Solvency II und PSD2.
Die DORA schreibt vor, dass Finanzinstitute über robuste betriebliche Widerstandsfähigkeitsrahmen verfügen müssen, um sicherzustellen, dass sie schwerwiegenden Störungen, einschließlich Cyberangriffen und technischen Ausfällen, standhalten und sich davon erholen können.Dazu gehören angemessene Mechanismen für die Unternehmensführung, das Risikomanagement und die interne Kontrolle.IKT-Risikomanagement:
Die Verordnung verlangt von den Unternehmen, dass sie strenge Verfahren für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) anwenden. Dazu gehören die Identifizierung, Bewertung, Verwaltung und Minderung von IKT-Risiken sowie die Gewährleistung der Sicherheit und Kontinuität kritischer IKT-Systeme.
Finanzunternehmen sind verpflichtet, ihren zuständigen Behörden wesentliche IKT-bezogene Vorfälle zu melden. Dies hilft bei der frühzeitigen Erkennung und Minderung potenzieller Systemrisiken im Finanzsektor.
Die Verordnung verlangt von den Unternehmen, dass sie strenge Verfahren für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) anwenden.Dazu gehören die Identifizierung, Bewertung, Verwaltung und Minderung von IKT-Risiken sowie die Gewährleistung der Sicherheit und Kontinuität kritischer IKT-Systeme
Die Unternehmen müssen ihre IKT-Systeme regelmäßig auf ihre Widerstandsfähigkeit testen, einschließlich Penetrationstests und anderer Bewertungen, um sicherzustellen, dass sie Störungen wirksam bewältigen können.
Die DORA legt großen Wert auf das Management von Risiken, die mit Drittanbietern von IKT-Dienstleistungen, wie z. B. Cloud-Service-Providern, verbunden sind. Finanzinstitute müssen sicherstellen, dass auch diese Anbieter robuste Sicherheits- und Ausfallsicherheitsstandards einhalten.
Die DORA schafft einen regulatorischen Rahmen für die Überwachung der digitalen operativen Widerstandsfähigkeit von Finanzunternehmen. Dazu gehören Bestimmungen für die Überwachung, Durchsetzung und Sanktionen bei Nichteinhaltung.
Die Verordnung zielt darauf ab, die Sicherheit und Stabilität des EU-Finanzsystems zu erhöhen, indem sie die wachsende Bedeutung der IKT bei Finanzdienstleistungen und die zunehmenden Risiken durch Cyber-Bedrohungen berücksichtigt. Sie ist Teil einer umfassenderen Initiative der EU zur Harmonisierung und Stärkung des Rechtsrahmens für Finanzdienstleistungen in den Mitgliedstaaten.
Die Einführung von DORA ist ein bedeutender Schritt zur Harmonisierung der regulatorischen Anforderungen in der EU und zur Stärkung der Widerstandsfähigkeit des Finanzsektors gegenüber digitalen Bedrohungen. In einer Zeit, in der Cyberangriffe immer häufiger und raffinierter werden, bietet DORA einen einheitlichen Rahmen, um diese Risiken zu bewältigen.
Für Finanzunternehmen bedeutet dies jedoch auch erhebliche Herausforderungen. Sie müssen nicht nur ihre bestehenden IKT-Systeme und -Prozesse überprüfen und gegebenenfalls anpassen, sondern auch sicherstellen, dass ihre Mitarbeiter entsprechend geschult und sensibilisiert sind. Die Einhaltung von DORA erfordert daher nicht nur technische Anpassungen, sondern auch organisatorische und kulturelle Veränderungen.
Die DORA-Verordnung ist ein wichtiger Schritt zur Verbesserung der digitalen Resilienz im Finanzsektor der EU. Sie stellt sicher, dass Finanzunternehmen in der Lage sind, sich gegen die wachsenden Risiken digitaler Störungen zu verteidigen und auch in Krisenzeiten funktionsfähig zu bleiben.
Für die betroffenen Unternehmen bedeutet dies zwar zusätzlichen Aufwand und Kosten, doch die Vorteile eines robusten und widerstandsfähigen IKT-Systems überwiegen bei weitem. Mit DORA setzt die EU einen neuen Standard für die Sicherheit und Stabilität im Finanzsektor, der auch international Maßstäbe setzen könnte.
TOP BLOG-KATEGORIEN
IT-Sicherheit
Cyber Security
Hackerangriff
Behörden
Gesundheitswesen
Phishing
Verschlüsselung
Endpoint Protection
Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als kritische Einrichtung eingestuft? Dann...
Ein Schlüsselaspekt dieses Schutzschilds ist das sogenannte "Vulnerability Management" - die Kunst, Schwachstellen zu erkennen, zu bewerten und zu...