DORA - Ein neues Zeitalter der Cybersicherheit

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine regulatorische Initiative der Europäischen Union, die darauf abzielt, die digitale Widerstandsfähigkeit und Sicherheit des Finanzsektors zu stärken. Dieses Gesetz stellt einen umfassenden Rahmen für Finanzunternehmen und ihre Dienstleister dar, um sicherzustellen, dass sie effektiv auf Informationstechnologie (IT)-bezogene Störungen und Bedrohungen reagieren können.

Kernpunkte von DORA:

• Erhöhte Sicherheitsanforderungen: DORA setzt strenge Anforderungen an die IT-Sicherheit und das Management von IT-Risiken für Finanzunternehmen und ihre Dienstleister.

• Umgang mit Drittanbietern: Es legt besonderen Wert auf das Risikomanagement im Zusammenhang mit der Nutzung von Dienstleistungen Dritter, einschließlich Cloud-Diensten.

• Aufsichts- und Compliance-Rahmen: DORA schafft einen harmonisierten Aufsichtsrahmen innerhalb der EU, um einheitliche Standards für digitale Resilienz zu gewährleisten.

• Berichterstattung und Transparenz: Finanzunternehmen müssen über ihre digitalen Resilienzstrategien berichten und zeigen, wie sie den Anforderungen von DORA entsprechen.

• Förderung der Zusammenarbeit: Das Gesetz fördert den Austausch von Informationen und Best Practices zwischen den Unternehmen und den Aufsichtsbehörden.

DORA ist ein entscheidender Schritt in Richtung einer sichereren und widerstandsfähigeren digitalen Finanzinfrastruktur in der EU, die darauf abzielt, das Finanzsystem vor den wachsenden Herausforderungen durch Cyber-Bedrohungen zu schützen.

Welche Unternehmen sind von der DORA-Richtlinie betroffen?

Die DORA-Richtlinie (Digital Operational Resilience Act) betrifft eine breite Palette von Unternehmen im Finanzsektor der Europäischen Union. Zu den betroffenen Unternehmen gehören:

• Banken und Kreditinstitute: Diese umfassen traditionelle Banken sowie Kredit- und Finanzierungsgesellschaften.

• Versicherungsunternehmen: Dazu zählen sowohl Lebens- als auch Sachversicherer.

• Investmentfirmen: Unternehmen, die sich mit der Verwaltung von Anlagen und Wertpapieren befassen.

• Zahlungsdienstleister und E-Geld-Institute: Unternehmen, die Zahlungsdienste und elektronisches Geld anbieten.

• Krypto-Asset-Dienstleister: Unternehmen, die Dienstleistungen im Zusammenhang mit Kryptowährungen und anderen digitalen Assets anbieten.

• Börsen und Handelsplattformen: Einrichtungen, die den Handel mit Finanzinstrumenten ermöglichen.

• Wertpapierverwahrstellen: Unternehmen, die mit der Verwahrung und Verwaltung von Wertpapieren beauftragt sind.

• Kritische Drittanbieter: Dazu gehören IT-Dienstleister und Cloud-Anbieter, die wesentliche Dienstleistungen für Finanzunternehmen erbringen.

DORA zielt darauf ab, sicherzustellen, dass all diese Unternehmen über robuste Maßnahmen zur Gewährleistung ihrer digitalen Resilienz verfügen. Dies beinhaltet die Fähigkeit, IT-bezogene Störungen und Cyberbedrohungen zu erkennen, darauf zu reagieren und sich davon zu erholen, um die Kontinuität ihrer Dienstleistungen zu gewährleisten.

Was beinhaltet die DORA-Richtlinie für Unternehmen?

Die DORA-Richtlinie (Digital Operational Resilience Act) umfasst eine Reihe von Anforderungen und Maßnahmen, die Unternehmen im Finanzsektor der Europäischen Union erfüllen müssen, um ihre digitale Betriebsresilienz zu stärken. Zu den Hauptbestandteilen der DORA-Richtlinie für Unternehmen gehören:

• Risikomanagement: Unternehmen müssen robuste Risikomanagement-Strategien und -Prozesse implementieren, um digitale Risiken effektiv zu identifizieren, zu bewerten, zu steuern und zu überwachen.

• Incident Reporting: Unternehmen sind verpflichtet, bedeutende Cyber- und IT-Vorfälle zu melden. Dies soll eine schnelle Reaktion und eine effektive Kommunikation mit den Aufsichtsbehörden ermöglichen.

• Testing und Audits: Unternehmen müssen regelmäßige Tests ihrer digitalen Resilienz durchführen, einschließlich Penetrationstests und möglicherweise auch Stresstests, um Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren.

• Management von Drittanbieter-Risiken: Unternehmen müssen das Risiko, das mit der Nutzung von Dienstleistungen Dritter (wie Cloud-Diensten) verbunden ist, effektiv managen. Dies beinhaltet die Überwachung und Bewertung der Sicherheitspraktiken dieser Drittanbieter.

• Informationssicherheitspolitik: Unternehmen müssen klare Richtlinien und Verfahren zur Informationssicherheit einführen, um ihre Daten und IT-Systeme zu schützen.

• Awareness und Schulungen: Unternehmen sind angehalten, regelmäßige Schulungen und Awareness-Programme für ihre Mitarbeiter durchzuführen, um das Bewusstsein für Cyber-Risiken zu erhöhen und eine Kultur der Cybersicherheit zu fördern.

• Kontinuitäts- und Wiederherstellungspläne: Unternehmen müssen Pläne für die Geschäftskontinuität und die Wiederherstellung nach IT-Störungen entwickeln, um sicherzustellen, dass kritische Funktionen und Dienstleistungen aufrechterhalten werden können.

• Überwachung und Reporting: Unternehmen müssen die Wirksamkeit ihrer digitalen Resilienzmaßnahmen kontinuierlich überwachen und über ihre Compliance und Leistung in diesem Bereich berichten.

Durch diese Maßnahmen zielt DORA darauf ab, die Widerstandsfähigkeit des Finanzsektors gegenüber digitalen Bedrohungen zu stärken und die Stabilität und Integrität des Finanzsystems insgesamt zu sichern.