Springe zum Hauptinhalt
Test starten Kontakt
Test starten Kontakt
Linkedin X YouTube
PRODUKTE
 
SERVICES

Mega-Menü-Produkt-Services_Pfeil

HYPERSECURE Platform Zero Trust Strategy 

 

BRANCHEN
RICHTLINIEN

Compliance-Check_NIS2

Machen Sie den kostenlosen
NIS2-Compliance-Check

Jetzt prüfen

PARTNER
SUPPORT
Support
Service Desk Partner Portal

 

KATEGORIEN
MEDIEN

Mega-Menü-Blog_Pfeil

News, Informationen und Tipps zum Thema IT-Security
Zum BlogNewsletter

DORA

Der Digital Operational Resilience Act (DORA) ist ein EU-Rechtsrahmen, der die Cybersicherheit und -resilienz von Finanzinstituten und deren kritischen Dienstleistern verbessern soll.

Sie müssen vollständig NIS2-konform sein in:

00

days

00

hours

00

minutes

00

seconds

Wer ist betroffen?

  • Kredit- und Zahlungsinstitute
  • E-Geld-Institute
  • Wertpapierfirmen
  • Handelsplätze
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Versicherungs- und Rückversicherungsunternehmer
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • IKT-Drittdienstleister

 

Mit dem Näherrücken der Frist im Januar 2025 und der Fertigstellung der Normen werden sich die Durchsetzungsaufgaben auf die „zuständigen Behörden“ verlagern, d. h. die von den einzelnen EU-Mitgliedstaaten gewählten Regulierungsstellen.

 

Grafik der Finanzinstitute und Finanzen
 

Was ist DORA?

 

DORA, der Digital Operational Resilience Act, ist eine Verordnung, die 2022 von der Europäischen Union eingeführt wurde, um die Fähigkeit von Finanzunternehmen und wichtigen Drittanbietern zu stärken, mit Cyberbedrohungen umzugehen. Sie schreibt die Umsetzung umfassender Cybersicherheitsprotokolle vor, um Risiken zu minimieren und eine schnelle Wiederherstellung nach Cybervorfällen zu gewährleisten.

Als Teil der umfassenderen EU-Initiative spielt DORA eine entscheidende Rolle bei der Sicherung kritischer Finanzsysteme und der Verhinderung von Betriebsausfällen aufgrund von Cyberangriffen.

 

Was umfasst DORA?


DORA führt einen ganzheitlichen Rahmen für ein effektives Risikomanagement, IKT- und Cybersicherheitsfunktionen, die Behandlung von Vorfällen und die Berichterstattung sowie das Management von Dritten ein und gewährleistet eine konsistente Leistungserbringung über die gesamte Wertschöpfungskette.

Fünf Kernthemen spielen dabei eine besondere Rolle: IKT-Risikomanagement, IKT-Vorfallmanagement, Prüfung der digitalen Betriebsfestigkeit, Management von Drittanbietern und Informationsaustausch.

 

Ziele von DORA

DORA wurde entwickelt, um die digitale Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken und sicherzustellen, dass sie in der Lage sind, mit IT-bezogenen Störungen und Cyber-Bedrohungen umzugehen.

Stärkung der digitalen Resilienz

Finanzinstitute sollen robuste IT-Systeme und -Prozesse implementieren, um Betriebsstörungen zu vermeiden oder schnell zu bewältigen.

Einheitliche Regulierung

Einführung eines einheitlichen Rahmens in der EU, der alle Akteure im Finanzsektor gleichermaßen betrifft.

Cyberrisiken managen

Institutionen sollen effektive Systeme und Verfahren entwickeln, um Cyberbedrohungen zu erkennen, zu managen und darauf zu reagieren.

 

5 Wichtige Anforderungen von DORA


Der Digital Operational Resilience Act (DORA) stellt klare Anforderungen an Finanzinstitute, um ihre Widerstandsfähigkeit gegenüber digitalen Bedrohungen zu stärken. Im Folgenden werden fünf zentrale Vorgaben beleuchtet, die Unternehmen bei der Umsetzung der DORA-Regularien berücksichtigen müssen.

 

Warum ist DORA wichtig für die Cybersicherheit?

 

Eine einzige Sicherheitsverletzung kann zu erheblichen finanziellen Verlusten, Reputationsschäden und in schweren Fällen zu systemischen Risiken für den gesamten Finanzsektor führen. DORA geht auf diese Herausforderungen ein, indem es die Cybersicherheitspraktiken standardisiert und ein Mindestmaß an operativer Widerstandsfähigkeit vorschreibt.

DORA schreibt hohe Standards für alle Finanzinstitute vor, einschließlich Cybersicherheitsprotokollen, Datenverwaltung und Risikomanagementpraktiken.

Viele Finanzinstitute verlassen sich bei kritischen Operationen auf Drittanbieter. DORA verlangt eine strenge Bewertung dieser Anbieter, um sicherzustellen, dass sie die Sicherheitsstandards erfüllen.

Indem DORA eine prompte und strukturierte Meldung von Cybersicherheitsvorfällen vorschreibt, verbessert es die Transparenz und Rechenschaftspflicht, ermöglicht schnellere Reaktionszeiten und minimiert den potenziellen Schaden.

 

Tabellarische Darstellung

 

Im Folgenden werden die Parallelen und Überschneidungen dargestellt:

REGELWERK ÄHNLICHKEIT MIT DORA   SCHWERPUNKTE UND ANFORDERUNGEN
       
ISO 27001
Annex A		 DORA ähnelt Annex A durch die Definition spezifischer Sicherheitskontrollen. Beide fordern ein ganzheitliches Risikomanagement und Maßnahmen zur IT-Resilienz.   Kontrollgruppen: Risikomanagement, Zugriffskontrolle, Kryptografie, Betriebssicherheit, Lieferantenbeziehungen. Fokus auf die Implementierung eines Information Security Management System (ISMS) zur kontinuierlichen Verbesserung der Sicherheit. Anforderungen an Sicherheitsrichtlinien, Protokollierung und Schwachstellenmanagement.
       
NIS2 (Art. 21) NIS2 fordert wie DORA ein Risikomanagement, das die gesamte Lieferkette umfasst. Beide betonen Vorfallberichterstattung und Zugangskontrolle.   Risikomanagementmaßnahmen: Asset-Management, Zugriffskontrollen, Schwachstellenmanagement, Überwachung, Vorfalls-Management. Fokus auf die Cybersicherheitsmaßnahmen für kritische Infrastrukturen und wesentliche Dienste. Verpflichtung zur Meldung von Vorfällen und zur Kooperation mit Behörden.
       
CMMC
(Security
Domains)		 DORA hat Ähnlichkeiten mit den Security Domains des CMMC, die in kontrollierbare Kategorien unterteilt sind, z. B. Access Control und Incident Response.   Security Domains: Zugriffskontrolle, Bedrohungserkennung, Vorfallsreaktion, Wiederherstellung. Detaillierte Anforderungen für verschiedene Reifegrade (Maturity Levels), um sicherzustellen, dass Organisationen die für sie passende Sicherheitsstufe erreichen. Starker Fokus auf die Zusammenarbeit mit Drittanbietern und das Management von Lieferkettenrisiken.
       
DORA (eigene Anforderungen) DORA hebt sich durch den starken Fokus auf digitale Resilienz und spezifische Anforderungen für Finanzorganisationen hervor, wie z. B. Tests der Widerstandsfähigkeit.   Verpflichtung zu regelmäßigen Widerstandstests für IT-Systeme. Risikomanagement bei Drittanbietern ist ein zentraler Punkt. Stellt sicher, dass Organisationen auch auf IT-bezogene Betriebsunterbrechungen vorbereitet sind. Hohe Anforderungen an die Berichtspflicht und Zusammenarbeit mit Aufsichtsbehörden.

 

 

Wie hilft mir DriveLock?


Finanzunternehmen


Als Finanzunternehmen müssen sie sicherstellen, dass sie ein resilientes Management ihrer IKT-Risiken umsetzen und Sicherheitsmaßnahmen ergriffen haben, diese Risiken zu minimieren. Diese Maßnahmen sollen eine Aufrechterhaltung des Geschäftsbetriebes im Falle eines Cyberangriffs und den Schutz ihrer verarbeiteten Informationen gewährleisten. Explizit müssen sie sicherstellen, dass alle Mitarbeiterinnen und Mitarbeiter regelmäßig Schulungen und Sensibilisierungsmaßnahmen zu IKT-Risiken und Cybersicherheit erhalten.

IKT-Dienstleister


Als Dienstleister für ein Finanzunternehmen müssen sie sich verpflichten, Sicherheitsstandards zu erfüllen und technische sowie organisatorische Maßnahmen (TOMs) umzusetzen, um das Risiko von Cyberangriffen zu minimieren. Die Umsetzung solcher Sicherheitskontrollen müssen sie nachweisen.

Unser Ziel war es, das Risiko eines Datendiebstahls durch nicht gesicherte USB-Ports an den PCs auf unseren Verkaufsflächen zu verhindern. Dank DriveLock konnten wir dieses Ziel schnell umsetzen.
Torben Boockmann
CTO | Möbel Rieger GmbH & Co. KG
Wir sind sehr zufrieden mit der Lösung von DriveLock. Diese funktioniert einwandfrei und ist so flexibel, dass sie uns zahlreiche Ausbaumöglichkeiten bietet. Auch für neue Anforderungen an die IT Sicherheit sind wir mit DriveLock sehr gut aufgestellt.
Thomas Ochs
CIO | Villeroy & Boch AG
Das Application Control-Modul von DriveLock hat unsere Verwaltung bereits mehr als einmal wirksam vor Ransomware und den damit einhergehenden, schwerwiegenden Konsequenzen geschützt.
Oliver Mummert
Fachbereich IT-Service l Stadt Gütersloh
Dank DriveLock haben wir unsere Geräte abgesichert und sind damit für die Zukunft gut aufgestellt. Die Einrichtung hat durch die Hilfe von DriveLock reibungslos funktioniert.
Oliver Hoffkamp
IT-Administrator | Stiftung St. Franziskus Heiligenbronn
Generell wird ein USB-Stick nur dann auf einem Arbeitsplatz im Unternehmen zugelassen, wenn er in DriveLock autorisiert ist und mit DriveLock Encryption 2-Go oder BitLocker, der Verschlüsselungslösung von Microsoft, verschlüsselt ist.
Frank Moussé
CISO und DSB des GHT
 
Keine Verpflichtung, keine Bindung.

Jetzt unverbindlich
30 Tage kostenfrei testen.

Überzeugen Sie sich selbst. Testen Sie die Einsatzszenarien, die für Ihr Unternehmen von Bedeutung sind.

Heute testen - morgen HYPERSECURE!

30 Tage kostenlos testen
 

Frequently Asked Questions

ISO_27001_colour_en DriveLock erhält von Teletrust das IT Security Siegel - made in Germany Data LeakageLoss Prevention and Data Security_Leader PUR_S_2024_Award_Endpoint_Protection_quer PUR_S_2024_Award_Vulnerability_Management_quer microsoft-gold-partner-845x680-1 Mitglied TeleTrust Mitglied bitkom Mitgliedschaft ACS DsiN Mitglied DriveLock erhält von Teletrust das IT Security Siegel - made in EU DriveLock mit seiner Endpoint Protection Platform gewinnt den InfoSec Award des Cyber Defense Magazine Global-InfoSec-Awards-Winner-for-2024_SM Techconsult: Professional User Rating Security Solutions 2022- DriveLock als Champion in Lösungsbereich Endpoint Protection BDSV Mitglied ECSO Updated logo
 
Keine Verpflichtung, keine Bindung.

Jetzt unverbindlich
30 Tage kostenfrei testen.

Überzeugen Sie sich selbst. Testen Sie die Einsatzszenarien, die für Ihr Unternehmen von Bedeutung sind.

Heute testen - morgen HYPERSECURE!

30 Tage kostenlos testen