Regulierung der digitalen Resilienz im Finanzsektor
Ziel von DORA
DORA etabliert ein verbindliches und umfassendes Rahmenwerk für das Risikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT) im EU-Finanzsektor. Es definiert technische Standards, die bis zum 17. Januar 2025 von Finanzunternehmen und deren kritischen externen Technologiedienstleistern umgesetzt werden müssen.
Zielgruppe
DORA gilt für alle Finanzinstitute innerhalb der EU, einschließlich traditioneller Finanzunternehmen wie Banken, Kreditinstitute und Wertpapierfirmen sowie nicht-traditioneller Anbieter wie Krypto-Asset-Dienstleister und Crowdfunding-Plattformen. Zudem umfasst die Regulierung Drittanbieter, die Finanzunternehmen mit IKT-Systemen, Cloud-Services oder Rechenzentren unterstützen.
Hauptziele von DORA
Verbindliches IKT-Risikomanagement
Ein zentrales Ziel von DORA ist die Einführung eines verbindlichen Frameworks für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Dies soll sicherstellen, dass Finanzinstitute systematisch und umfassend gegen IKT-Risiken gewappnet sind.
Harmonisierung der Vorschriften
DORA zielt darauf ab, die Vorschriften für das Risikomanagement EU-weit zu harmonisieren. Damit sollen Inkonsistenzen und Überschneidungen zwischen verschiedenen nationalen Regelungen beseitigt werden, um sicherzustellen, dass alle Finanzinstitute einheitlichen Standards folgen.
DORA-Anforderungen
Durch DORA werden technische Anforderungen in vier Bereichen festgelegt. Zu berücksichtigen ist, dass die Anforderungen proportional durchgesetzt werden, wonach für kleinere Unternehmen nicht der gleiche Maßstab wie für große Institute herangezogen wird.
IKT-Risikomanagement und -Governance
DORA verlangt die Implementierung angemessener Risikomanagementstrategien sowie die Entwicklung umfassender Frameworks für das IKT-Risikomanagement. Unternehmen müssen regelmäßig Analysen durchführen, um die Auswirkungen von Störungen auf ihre Geschäftsabläufe zu bewerten. Zudem sind Business-Continuity- und Notfallwiederherstellungspläne für verschiedene Cyberrisikoszenarien erforderlich.
Reaktion auf Vorfälle und Berichterstellung
Es müssen Systeme eingerichtet werden, um IKT-bezogene Vorfälle zu überwachen, zu verwalten, zu protokollieren, zu klassifizieren und zu melden. Abhängig von der Schwere des Vorfalls kann eine Meldung bei den Aufsichtsbehörden sowie bei betroffenen Kunden und Partnern erforderlich sein. Es gibt drei Berichtstypen für kritische Vorfälle: einen ersten Bericht zur Benachrichtigung der Behörden, einen Zwischenbericht zum Fortschritt der Lösung, und einen Abschlussbericht zur Ursachenanalyse.
Testen der digitalen operationellen Resilienz
IKT-Systeme müssen regelmäßig getestet werden, um die Wirksamkeit der Schutzmaßnahmen zu bewerten und potenzielle Sicherheitslücken zu identifizieren. Die Ergebnisse dieser Tests sowie Pläne zur Behebung von Schwachstellen müssen der zuständigen Behörde vorgelegt und von dieser validiert werden.
Risikomanagement anderer Anbieter
Bei der Auslagerung kritischer Funktionen müssen Finanzinstitute spezifische vertragliche Vereinbarungen treffen, die unter anderem Ausstiegsstrategien, Prüfungen und Leistungsziele für Zugänglichkeit, Integrität und Sicherheit betreffen. Verträge mit IKT-Anbietern, die diese Anforderungen nicht erfüllen, dürfen nicht geschlossen werden. Verträge, die den Vorschriften nicht entsprechen, können von der zuständigen Behörde ausgesetzt oder gekündigt werden.
Die Umsetzung von DORA sollte strukturiert und systematisch erfolgen:
1. Implementierung eines robusten IKT-Risikomanagementsystems
Der Kern der DORA-Umsetzung liegt in der Einrichtung eines soliden IKT-Risikomanagementsystems. Dies umfasst die Identifikation, Bewertung, Minderung sowie die kontinuierliche Überwachung und Überprüfung von Risiken.
2. Untersuchung der Zusammenarbeit mit IKT-Drittparteien
Analysieren Sie potenzielle Risiken bei der Zusammenarbeit mit IKT-Drittparteien durch Vertragsprüfungen, Due-Diligence-Prüfungen und kontinuierliche Überwachung.
3. Testen der digitalen operationellen Resilienz
Führen Sie regelmäßige Tests zur Bewertung der digitalen operationellen Resilienz durch. Dies umfasst Situationsanalysen, Sicherheitsüberprüfungen und die Behebung von Schwachstellen.
4. Reaktion auf IKT-bezogene Vorfälle
Stellen Sie sicher, dass Sie auf IKT-bezogene Vorfälle schnell und effektiv reagieren. Dazu gehören die Erfassung, Analyse und Meldung von Vorfällen.
5. Informationsaustausch über Bedrohungen und Vorfälle
Fördern Sie den Austausch von Informationen über Bedrohungen und Vorfälle auf Plattformen und Netzwerken, um die kollektive Resilienz zu stärken.
6. Dokumentation und Berichterstattung
Sorgen Sie für umfassende Dokumentation und regelmäßige Berichterstattung, um die zuständigen Behörden über den Fortschritt und die Wirksamkeit der umgesetzten Maßnahmen zu informieren.
Überblick der Normen der Informationssicherheit
Als bestellter Informationssicherheitsbeauftragter unterstützen wir Sie umfassend bei der Umsetzung des gewählten Standards und begleiten Sie bei der Implementierung Ihres maßgeschneiderten Informationssicherheits-Managementsystems (ISMS). Je nach Aufwand können so verschiedene Sicherheitsniveaus erreicht werden.
Unser Versprechen
Wir analysieren und dokumentieren
Wir liefern alle erforderlichen Prozessdokumente
Wir kennen Ihr benötigtes Schutzniveau
Ihr ISMS: verständlich - effizient - effektiv
Ihr kompletter Geltungsbereich
Ihre Maßnahmen: pragmatisch und umsetzbar
Unser Versprechen
Wir analysieren und dokumentieren
Wir liefern alle erforderlichen Prozessdokumente
Wir kennen Ihr benötigtes Schutzniveau
Ihr ISMS: verständlich - effizient - effektiv
Ihr kompletter Geltungsbereich
Ihre Maßnahmen: pragmatisch und umsetzbar
Über 500 Kunden vertrauen actago zur Einhaltung ihrer Compliance
Ihre Vorteile mit der actago GmbH
Schlüsselfertig
Kundenorientiert
Unterschriftsreif
Innovative Beratung
Persönliche Beratung
Ihr Ansprechpartner
Maximilian Nuss | Geschäftsführer
Telefon: +49 9951/99990-20
E-Mail: info@actago.de
actago GmbH
Weidenstr. 66 | 94405 Landau a. d. Isar, Deutschland