DORA

DORA

Der „Digital Operational Resilience Act“ (DORA) ist eine EU-Verordnung, die umfassende Regelungen für die Cybersicherheit, das Management von IKT-Risiken und die digitale operationale Resilienz im Finanzsektor einführt.

IT Security Sicherheitscluster
BvD Mitglied Datenschutz
Allianz für Cyber-Sicherheit

Regulierung der digitalen Resilienz im Finanzsektor

Ziel von DORA

Group-333-6

DORA etabliert ein verbindliches und umfassendes Rahmenwerk für das Risikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT) im EU-Finanzsektor. Es definiert technische Standards, die bis zum 17. Januar 2025 von Finanzunternehmen und deren kritischen externen Technologiedienstleistern umgesetzt werden müssen.

Zielgruppe

Group-333-6

DORA gilt für alle Finanzinstitute innerhalb der EU, einschließlich traditioneller Finanzunternehmen wie Banken, Kreditinstitute und Wertpapierfirmen sowie nicht-traditioneller Anbieter wie Krypto-Asset-Dienstleister und Crowdfunding-Plattformen. Zudem umfasst die Regulierung Drittanbieter, die Finanzunternehmen mit IKT-Systemen, Cloud-Services oder Rechenzentren unterstützen.

Hauptziele von DORA

Verbindliches IKT-Risikomanagement

Ein zentrales Ziel von DORA ist die Einführung eines verbindlichen Frameworks für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Dies soll sicherstellen, dass Finanzinstitute systematisch und umfassend gegen IKT-Risiken gewappnet sind.

Harmonisierung der Vorschriften

DORA zielt darauf ab, die Vorschriften für das Risikomanagement EU-weit zu harmonisieren. Damit sollen Inkonsistenzen und Überschneidungen zwischen verschiedenen nationalen Regelungen beseitigt werden, um sicherzustellen, dass alle Finanzinstitute einheitlichen Standards folgen.

DORA-Anforderungen

Durch DORA werden technische Anforderungen in vier Bereichen festgelegt. Zu berücksichtigen ist, dass die Anforderungen proportional durchgesetzt werden, wonach für kleinere Unternehmen nicht der gleiche Maßstab wie für große Institute herangezogen wird.

IKT-Risikomanagement und -Governance

DORA verlangt die Implementierung angemessener Risikomanagementstrategien sowie die Entwicklung umfassender Frameworks für das IKT-Risikomanagement. Unternehmen müssen regelmäßig Analysen durchführen, um die Auswirkungen von Störungen auf ihre Geschäftsabläufe zu bewerten. Zudem sind Business-Continuity- und Notfallwiederherstellungspläne für verschiedene Cyberrisikoszenarien erforderlich.

Reaktion auf Vorfälle und Berichterstellung

Es müssen Systeme eingerichtet werden, um IKT-bezogene Vorfälle zu überwachen, zu verwalten, zu protokollieren, zu klassifizieren und zu melden. Abhängig von der Schwere des Vorfalls kann eine Meldung bei den Aufsichtsbehörden sowie bei betroffenen Kunden und Partnern erforderlich sein. Es gibt drei Berichtstypen für kritische Vorfälle: einen ersten Bericht zur Benachrichtigung der Behörden, einen Zwischenbericht zum Fortschritt der Lösung, und einen Abschlussbericht zur Ursachenanalyse.

Testen der digitalen operationellen Resilienz

IKT-Systeme müssen regelmäßig getestet werden, um die Wirksamkeit der Schutzmaßnahmen zu bewerten und potenzielle Sicherheitslücken zu identifizieren. Die Ergebnisse dieser Tests sowie Pläne zur Behebung von Schwachstellen müssen der zuständigen Behörde vorgelegt und von dieser validiert werden.

Risikomanagement anderer Anbieter

Bei der Auslagerung kritischer Funktionen müssen Finanzinstitute spezifische vertragliche Vereinbarungen treffen, die unter anderem Ausstiegsstrategien, Prüfungen und Leistungsziele für Zugänglichkeit, Integrität und Sicherheit betreffen. Verträge mit IKT-Anbietern, die diese Anforderungen nicht erfüllen, dürfen nicht geschlossen werden. Verträge, die den Vorschriften nicht entsprechen, können von der zuständigen Behörde ausgesetzt oder gekündigt werden.

Die Umsetzung von DORA sollte strukturiert und systematisch erfolgen:

1. Implementierung eines robusten IKT-Risikomanagementsystems
Der Kern der DORA-Umsetzung liegt in der Einrichtung eines soliden IKT-Risikomanagementsystems. Dies umfasst die Identifikation, Bewertung, Minderung sowie die kontinuierliche Überwachung und Überprüfung von Risiken.

2. Untersuchung der Zusammenarbeit mit IKT-Drittparteien
Analysieren Sie potenzielle Risiken bei der Zusammenarbeit mit IKT-Drittparteien durch Vertragsprüfungen, Due-Diligence-Prüfungen und kontinuierliche Überwachung.

3. Testen der digitalen operationellen Resilienz
Führen Sie regelmäßige Tests zur Bewertung der digitalen operationellen Resilienz durch. Dies umfasst Situationsanalysen, Sicherheitsüberprüfungen und die Behebung von Schwachstellen.

4. Reaktion auf IKT-bezogene Vorfälle
Stellen Sie sicher, dass Sie auf IKT-bezogene Vorfälle schnell und effektiv reagieren. Dazu gehören die Erfassung, Analyse und Meldung von Vorfällen.

5. Informationsaustausch über Bedrohungen und Vorfälle
Fördern Sie den Austausch von Informationen über Bedrohungen und Vorfälle auf Plattformen und Netzwerken, um die kollektive Resilienz zu stärken.

6. Dokumentation und Berichterstattung
Sorgen Sie für umfassende Dokumentation und regelmäßige Berichterstattung, um die zuständigen Behörden über den Fortschritt und die Wirksamkeit der umgesetzten Maßnahmen zu informieren.

Überblick der Normen der Informationssicherheit

Als bestellter Informationssicherheitsbeauftragter unterstützen wir Sie umfassend bei der Umsetzung des gewählten Standards und begleiten Sie bei der Implementierung Ihres maßgeschneiderten Informationssicherheits-Managementsystems (ISMS). Je nach Aufwand können so verschiedene Sicherheitsniveaus erreicht werden.

Unser Versprechen

Wir analysieren und dokumentieren

Wir liefern alle erforderlichen Prozessdokumente

Wir kennen Ihr benötigtes Schutzniveau

Ihr ISMS: verständlich - effizient - effektiv

Ihr kompletter Geltungsbereich

Ihre Maßnahmen: pragmatisch und umsetzbar

Normen der Informationssicherheit

Normen Informationssicherheit

Klicken Sie hier für mehr Informationen zu den einzelnen Normen:

Unser Versprechen

Wir analysieren und dokumentieren

Wir liefern alle erforderlichen Prozessdokumente

Wir kennen Ihr benötigtes Schutzniveau

Ihr ISMS: verständlich - effizient - effektiv

Ihr kompletter Geltungsbereich

Ihre Maßnahmen: pragmatisch und umsetzbar

ISEC
Aufwand

Normen der Informationssicherheit

Klicken Sie hier für mehr Informationen zu den einzelnen Normen:

Sicherheitsniveau

Über 500 Kunden vertrauen actago zur Einhaltung ihrer Compliance

Therme Erding GmbH
autohaus_unterberger_gruppe-logo-content
Caritas
Stadt Bad Reichenhall
Hotel Victory Therme Erding GmbH
Logo_90px
Landkreis Rottal-Inn
prm_logo
awv_logo
Naturkostinsel
Therme Erding GmbH
autohaus_unterberger_gruppe-logo-content
Caritas
Stadt Bad Reichenhall
Hotel Victory Therme Erding GmbH
Logo_90px
Landkreis Rottal-Inn
prm_logo
awv_logo
Naturkostinsel

Ihre Vorteile mit der actago GmbH

Schlüsselfertig

Kundenorientiert

Unterschriftsreif

Innovative Beratung

Persönliche Beratung

    Kontaktformular


    Datenschutz

    Ihr Ansprechpartner

    Maximilian Nuss | Geschäftsführer

    Maximilian Nuss actago GmbH Datenschutzberatung

    Telefon: +49 9951/99990-20

    E-Mail: info@actago.de

    actago GmbH
    Weidenstr. 66 | 94405 Landau a. d. Isar, Deutschland