Was ist DORA?
DORA steht für den Digital Operational Resilience Act der Europäischen Union (EU). Er wurde im Jahr 2022 verabschiedet, um den EU-Finanzsektor vor Cyberbedrohungen zu schützen, indem ein gemeinsamer Rahmen für das Risikomanagement geschaffen wird. DORA schreibt Schritte vor, die EU-Finanzinstitute unternehmen müssen, um ihre Informations- und Kommunikationstechnologien (IKT) zu schützen.
Anwendungsbereich
Der DORA-Anwendungsbereich ist umfassend. Er schreibt bestimmte Technologiestandards vor, die Finanzinstitute und ihre Dienstleister in ihren IKT-Systemen implementieren müssen. Diese Standards gelten nicht nur für EU-Organisationen, sondern für alle Finanzinstitute und deren Drittdienstleister, die innerhalb der EU tätig sind.
Historischer Kontext und Weg der Gesetzgebung
Die Europäischen Kommission implementierte den Digital Operational Resilience Act aufgrund der hohen Nutzung und Abhängigkeit der Finanzinstitute von IKT-Technologien. Da Cyberangriffe zunahmen und Cyberrisiken explodierten, wollte die Kommission Best Practices für die Cybersicherheit gesetzlich verankern, um die IKT-Systeme des Finanzsektors zu schützen. Das Ziel ist, die Sicherheit von IKT-Systemen zu stärken und ihre operative Resilienz sicherzustellen. Ein weiteres Ziel war die Angleichung der unterschiedlichen Regeln für das Risikomanagement, die in der EU entstanden waren.
Die Bedeutung von DORA für Finanzunternehmen im digitalen Zeitalter
Sobald der Digital Operational Resilience Act im Januar 2025 vollständig in Kraft tritt, haben Finanzinstitute strenge Datenmanagement-Anforderungen zu erfüllen. Diese haben weitreichende Auswirkungen auf IKT-Technologien und verbundene Systeme und Prozesse.
Zudem gehen diese Anforderungen weit über die einzelnen Finanzinstitute hinaus. Die Anforderungen an die Compliance werden sehr umfangreich sein, da alle Drittanbieter geprüft und als konform zertifiziert werden müssen.
Die Kernstruktur von DORA: Die fünf Säulen
Der Digital Operational Resilience Act basiert auf fünf Grundprinzipien bzw. Säulen. Gemeinsam repräsentieren diese Säulen die Kernaspekte der digitalen Resilienz.
1. Anforderungen an das IKT-Risikomanagement
Der Digital Operational Resilience Act setzt voraus, dass Finanzinstitute ein Risikomanagementprogramm entwickeln und umsetzen. Die Struktur dieses Programmes sollte auf internationalen Standards basieren und muss eine Strategie für die digitale Resilienz, Cybersicherheitsschulungen für alle Mitarbeitenden einschließlich des Managementteams und regelmäßige Audits umfassen. Organisationen müssen Sicherheitsmaßnahmen zum Schutz von IKT-Vermögenswerten implementieren und über Pläne verfügen, um diese im Falle eines Angriffs oder einer Katastrophe wiederherzustellen.
2. Berichterstattung über IKT-bezogene Vorfälle
Ein grundlegendes Ziel des Digital Operational Resilience Act ist die Fähigkeit, Cybersicherheitsvorfälle schnell und effizient zu erkennen und darauf zu reagieren. Die Verordnung setzt voraus, dass Finanzinstitute über umfassende Systeme und Prozesse verfügen, um Cybersicherheitsvorfälle, die IKT-Systeme gefährden, zu erkennen, darauf zu reagieren und sich davon zu erholen. Außerdem sind Ursachenberichte für wichtige Probleme vorgesehen.
DORA setzt voraus, dass Finanzinstitute IKT-Vorfälle innerhalb eines Monats nach Feststellung des Vorfalls melden. Im Rahmen von DORA erfasst ein zentraler EU-Hub Daten zu IKT-bezogenen Vorfällen, anstatt diese Informationen lokal von den zuständigen nationalen Behörden erheben zu lassen.
3. Tests der digitalen betrieblichen Resilienz
Der Digital Operational Resilience Act verlangt von Unternehmen, dass sie ihre ITK-Systeme regelmäßig testen. Diese Tests sollten eine Bewertung der Verfahren, Tools und Methoden umfassen, um Schwachstellen zu identifizieren und zu priorisieren und ggf. direkt Abhilfemaßnahmen zu ergreifen.
DORA setzt einmal im Jahr formelle Tests und alle drei Jahre bedrohungsorientierte Penetrationstests (TLPT, Threat-Led Penetration Testing) voraus. Um den Testaufwand zu verringern, orientiert sich der DORA-Testrahmen am TIBER-EU-Rahmen, einem von der Europäischen Zentralbank entwickelten freiwilligen Testleitfaden, der detailliert beschreibt, wie Finanzinstitute ihre Cyberresilienz testen sollten.
4. Verwaltung der Risiken von Dritten, einschließlich Dienstleistern
Um mit Cyberrisiken, die von Drittanbietern ausgehen, umzugehen, verpflichtet der Digital Operational Resilience Act Finanzinstitute, jegliche Abhängigkeiten von Drittanbietern zu dokumentieren und alle Risiken zu bewerten, die von diesen Partnern ausgehen. Dazu gehören Risiken, die ihre Cyberresilienz beeinträchtigen, zu einer Datenverletzung führen oder sie Angriffen auf die Lieferkette aussetzen könnten. Finanzinstitute sind verpflichtet, Risikobewertungen durchzuführen und jährliche Berichte über alle IKT-Partner und -Lieferanten vorzulegen.
5. Austausch von Informationen zwischen Finanzunternehmen
Um den Überblick über die Risiko- und Bedrohungslandschaft der EU-Finanzorganisationen zu verbessern und die Zusammenarbeit bei der Abwehr von Cyberbedrohungen zu fördern, unterstützt der Digital Operational Resilience Act den Informationsaustausch. Indem Finanzinstitute untereinander Informationen austauschen, soll das Bewusstsein für Cyberbedrohungen und die Reaktionen darauf verbessert werden. Letztendlich sollen so Cyberrisiken in der gesamten Branche sinken
Für wen gilt DORA?
Der Digital Operational Resilience Act (DORA) gilt für alle Organisationen, die Finanzdienstleistungen in der EU erbringen, unabhängig davon, wo sie ihren Sitz haben. Das Hauptaugenmerk der Verordnung liegt auf der Finanzbranche, sie betrifft aber auch Drittanbieter und andere Dienstleister im Finanzsektor.
Vollständige Liste der Unternehmen, die die Anforderungen erfüllen müssen
Gemäß Artikel 2, Anwendungsbereich, müssen folgende Finanzdienstleister den Digital Operational Resilience Act einhalten:
- Anbieter von Kontoinformationsdiensten
- Verwalter von kritischen Benchmarks
- Zentrale Gegenparteien
- Zentrale Wertpapierverwahrstellen
- Kreditinstitute
- Rating-Agenturen
- Crowdfunding-Dienstleister
- Kryptowährungs-Dienstleister, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte für Kryptowährungen zugelassen sind
- Anbieter von Datenübermittlungsdiensten
- E-Geldinstitute, einschließlich E-Geldinstitute, die gemäß der Richtlinie 2009/110/EG ausgenommen sind
- IKT-Drittanbieter
- Einrichtungen der betrieblichen Altersvorsorge
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsmakler, Rückversicherungsmakler und Versicherungsmakler in Nebentätigkeit
- Investmentfirmen
- Verwaltungsgesellschaften
- Verwalter von alternativen Investmentfonds
- Zahlungsinstitute, einschließlich Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgenommen sind
- Verwahrstellen für Verbriefungen
- Transaktionsregister
- Handelsplätze
Die Compliance-Verpflichtungen unter DORA
- Audit-Zugang für Regulierungsbehörden und Finanzinstitute, die Anbieter bewerten
- Austausch von Informationen über Cyberbedrohungen zwischen Finanzinstituten
- Verfahren zur Meldung von Vorfällen im zentralen EU-Hub von DORA
- Dokumentation aller Drittanbieter von IKT-Dienstleistungen und Bewertung der Risikoposition
- Retrospektive Analyse von IKT-Vorfällen
- Risikomanagement- und Governance-Struktur mit entsprechenden Richtlinien und Programmen
- Sicherheitstestprogramme mit Berichterstattung über allgemeine Tests und Penetrationstests
Die Rolle der europäischen Aufsichtsbehörden bei der Durchsetzung
Für Finanzunternehmen wird der Digital Operational Resilience Act von den zuständigen Regulierungsbehörden in jedem EU-Mitgliedstaat durchgesetzt. Sie sind befugt, verwaltungs- und strafrechtliche Sanktionen gegen Organisationen zu verhängen, die die Verordnung nicht einhalten. Jeder EU-Mitgliedstaat legt die spezifischen Sanktionen selbst fest.
IKT-Dienstleister, die von der Europäischen Kommission als kritisch eingestuft werden, werden von drei Europäischen Aufsichtsbehörden beaufsichtigt:
- Europäische Bankenaufsichtsbehörde (EBA)
- Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA)
- Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)
Die Aufsicht über die IKT-Dienstleister in Bezug auf DORA wird von einem Lead Overseer wahrgenommen, der von den Europäischen Aufsichtsbehörden ernannt wird. Sie werden von anderen Agenturen unterstützt, darunter die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und andere zuständige EU-Behörden.
Der Lead Overseer kann gegen nicht-konforme IKT-Dienstleister Geldbußen in Höhe von bis zu 1 % ihres Jahresumsatzes verhängen. IKT-Dienstleister können bis zu sechs Monate lang täglich mit Geldbußen belegt werden, bis die Compliance erreicht ist.
Die Umsetzung von DORA in Ihrem Unternehmen
Wie bei vielen Vorschriften geht es auch bei der Umsetzung des Digital Operational Resilience Act oft darum, bestehende Systeme und Prozesse anzupassen und zu erweitern. Die größte Neuerung für die meisten Unternehmen ist die Anforderung, externe IKT-Dienstleister zu bewerten und zu überwachen. Im Folgenden finden Sie einen Überblick darüber, wie Sie den DORA effektiv umsetzen können.
Schritte zur Erreichung der Compliance mithilfe der DORA-Vorschriften
Nachfolgend finden Sie allgemeine Schritte, die Finanzunternehmen dabei helfen, den Digital Operational Resilience Act einzuhalten.
- Bestimmen Sie den Anwendungsbereich.
Prüfen Sie die Liste der Einheiten, die DORA anwenden müssen, in Artikel 2 des Digital Operational Resilience Act, um zu ermitteln, ob die DORA-Vorschriften für Ihr Unternehmen gelten. - Verstehen Sie die Compliance-Anforderungen.
Ermitteln Sie, was vom Unternehmen verlangt wird, um die im Digital Operational Resilience Act festgelegten Anforderungen zu erfüllen. - Führen Sie eine Cyberrisikobewertung durch.
Überprüfen Sie, ob die Systeme und Prozesse des Unternehmens und seiner externen IKT-Dienstleister mit den Anforderungen des Digital Operational Resilience Act übereinstimmen und dokumentieren Sie Lücken. - Binden Sie Teams im gesamten Unternehmen ein.
Schließen Sie auch Teams außerhalb der IT-Abteilung ein, um sicherzustellen, dass alle Cyberrisiken und -lücken ermittelt werden. Dadurch wird auch sichergestellt, dass die Compliance-Strategie umfassend ist und den Bedürfnissen anderer Abteilungen entspricht. - Entwickeln Sie eine betriebliche Resilienzstrategie.
Falls bereits eine Resilienzstrategie vorhanden ist, überprüfen Sie diese, um sicherzustellen, dass sie die Anforderungen des Digital Operational Resilience Act erfüllt, und passen Sie sie entsprechend an. Falls keine Strategie entwickelt wurde, erstellen Sie eine umfassende Strategie zur Sicherstellung der Geschäftskontinuität im Falle eines Sicherheitsvorfalls, der sich auf IKT-Systeme auswirkt, sowie zur Reaktion auf Cyberbedrohungen, Datenschutzverletzungen und andere Probleme oder Unterbrechungen. - Legen Sie Zuständigkeiten fest.
Nach dem Digital Operational Resilience Act sind der Vorstand und das Führungsteam für die Verwaltung von IKT-Risiken und die Gewährleistung der betrieblichen Resilienz verantwortlich. Es ist von entscheidender Bedeutung, dass die Funktionen von der Führungsebene delegiert und überwacht werden. Zu den wichtigsten Fokusbereichen gehören: - Identifizieren und bewerten Sie Drittanbieter von IKT-Dienstleistungen.
Erstellen Sie eine Liste aller Drittanbieter von IKT-Dienstleistungen und entwickeln Sie einen Plan zur Bewertung ihres Cyberrisikos und ihrer Cyberresilienz auf der Grundlage der Kriterien des Digital Operational Resilience Act. Implementieren Sie Prozesse für die laufende Überwachung und regelmäßige Tests. - Testen Sie Systeme und Prozesse.
Führen Sie regelmäßig Tests der digitalen betrieblichen Resilienz durch, um die Compliance zu bestätigen und etwaige Mängel oder optimierungsbedürftige Bereiche zu ermitteln. Bedrohungsorientierte Penetrationstests (TLPT) sollten ebenfalls mindestens alle drei Jahre unter Anwendung anerkannter Strukturen wie TIBER-EU und CBEST Intelligence-Led Testing durchgeführt werden. - Entwickeln Sie einen Vorfallreaktionsplan.
Sie müssen bereit sein, schnell und effektiv auf einen Vorfall zu reagieren, indem Sie einen umfassenden Vorfallreaktionsplan entwickeln. Dieser sollte sowohl technische Reaktionen als auch Kommunikationsprotokolle umfassen. Weisen Sie jeder Funktion Rollen zu und üben Sie diese ein. Außerdem muss dieser Plan regelmäßig getestet und überprüft werden. - Erstellen Sie ein Schulungsprogramm.
Implementieren Sie ein Schulungsprogramm für Mitarbeiter, das deren Bewusstsein für digitale Resilienz und die Rolle jedes Einzelnen bei deren Aufrechterhaltung schafft und stärkt. Konzentrieren Sie sich auf die Bedeutung der Cybersicherheit und die Schritte zur Minimierung des Cyberrisikos. - Überwachen Sie IKT-Systeme.
Nutzen Sie Tools zur automatischen Überwachung von IKT-Systemen, um Cyberrisiken und Cyberbedrohungen proaktiv zu erkennen. - Sicherheitsrichtlinien zur Gewährleistung der Datensicherheit
- Verwaltung und Steuerung von IKT-bezogenen Funktionen und Systemen
- Überprüfung der Strategie für die digitale betrieblichen Resilienz und der damit verbundenen Systeme und Programme
- Beurteilungen von IKT-Dienstleistern
- Budget zur Unterstützung betrieblicher Resilienzmaßnahmen
Implementierung eines Rahmens für das IKT-Risikomanagement
Im Folgenden werden die grundlegenden Schritte zur Umsetzung eines IKT-Risikomanagementrahmens gemäß des Digital Operational Resilience Act beschrieben. Für jedes Unternehmen gelten eigene Anforderungen und Teilschritte, aber diese Schritte geben einen groben Überblick darüber, was dies beinhaltet.
- Bereiten Sie sich vor, indem Sie sich mit allen Anforderungen an das IKT-Risikomanagement sowie allen beteiligten Stellen und Personen vertraut machen.
- Kategorisieren Sie Ihre IKT-Systeme und beschreiben Sie deren Funktionen, die gesammelten Daten, die Verbindungen zu anderen Systemen und den Benutzerzugriff.
- Wählen und implementieren Sie Sicherheitskontrollen für IKT-Systeme, einschließlich solcher, die den technischen, betrieblichen und physischen Schutz sowie die digitale Resilienz abdecken.
- Bewerten Sie die Genauigkeit und Wirksamkeit der IKT-Sicherheitskontrollen, um etwaige Lücken oder Schwachstellen zu ermitteln.
- Führen Sie Verfahren zur kontinuierlichen Überwachung von IKT-Systemen ein, um Bedrohungen und Cyberrisiken schnellstmöglich zu erkennen und darauf zu reagieren.
Bewährte Praktiken für die Meldung von Vorfällen und die Prüfung der Resilienz
Die Meldung von Vorfällen und das Testen der Resilienz sind Säulen des Digital Operational Resilience Act. Zu den bewährten Verfahren für diese kritischen Aufgaben gehören die Folgenden.
Um bewährte Verfahren für die Berichterstattung über Vorfälle festlegen zu können, müssen Sie zuerst den Begriff „Vorfall“ definieren und Kategorien von Vorfällen festlegen. Nach einem Vorfall sollte ein umfassender Bericht Folgendes enthalten:
- Allgemeine Informationen über den Vorfall – wann er sich ereignet hat und eine Zusammenfassung des Geschehens
- Chronologie des Vorfalls und der Reaktionsmaßnahmen
- Umgebung oder Umfeld, in dem sich der Vorfall ereignet hat
- Betroffene Menschen, Organisationen und Systeme sowie Schäden
- Zeugen und Teams, die an der Aufdeckung und Behebung des Vorfalls beteiligt waren und was sie gesehen und getan haben
- Unterstützendes Bildmaterial bei physischen Vorfällen
- Sofortige Reaktionstaktiken sowie geplante Abhilfemaßnahmen
Um die Effizienz eines Cyberresilienz-Plans zu gewährleisten, ist es wichtig, ihn zu testen. Bei der Durchführung von Tests der Cyberresilienz sind folgende Punkte zu beachten
- Definition von Kennzahlen zur Cyberresilienz, wie die Zeit bis zur Wiederherstellung
- Festlegung von Basiswerten für die Kennzahlen zur digitalen Resilienz
- Simulation von Cyberangriffen oder Systemunterbrechungen
- Testen Sie die digitale Resilienz und die Reaktionspläne auf Vorfälle sowie die Kenntnisse der Mitarbeiter über Resilienz, die besten Cybersicherheitspraktiken sowie ihre Rollen
- Verwenden Sie die Testergebnisse zur Aktualisierung und Verbesserung der Strategien für die digitale Resilienz und der zugehörigen Pläne
Verwaltung von Risiken im Zusammenhang mit Dritten und IKT
Bei der Bewertung der Verwaltung von IKT-Risiken, die von externen Dienstleistern ausgehen, sollten folgende Punkte berücksichtigt werden, um die Anforderungen des Digital Operational Resilience Act zu erfüllen.
Bei der Beurteilung potenzieller IKT-Dienstleister ist zunächst die Wichtigkeit der zu erbringenden Dienstleistung zu ermitteln. Die Tiefe der Bewertung sollte sich dem anpassen.
Nach der Auswahl eines IKT-Dienstleisters sollten Mindestanforderungen an die digitale Resilienz und Cybersicherheit in den Vertrag aufgenommen werden. Außerdem müssen Prozesse und Kennzahlen für die Überwachung und Prüfung der Einhaltung dieser Anforderungen festgelegt werden.
Stellen Sie sicher, dass für alle IKT-Dienstleister Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung des Betriebs vorhanden sind. Dies sollte auch Sicherungskopien aller kritischen Daten umfassen.
Es wird erwartet, dass der Digital Operational Resilience Act den Gesamtbetrieb und die Sicherheit der Finanzdienstleistungsbranche sowohl in der EU als auch im Ausland wesentlich verbessern wird.
Der Grund dafür sind die Anforderungen an Drittanbieter von IKT-Dienstleistungen und die Tatsache, dass sich die Verordnung auf alle in der EU tätigen Organisationen auswirkt.
Verbesserung der betrieblichen Resilienz bei digitalen Bedrohungen
Die spezifischen Anforderungen an die Cybersicherheit, die im Digital Operational Resilience Act festgelegt sind, sollen die Geschäftskontinuität im Falle eines Cyberangriffs oder anderer Vorfälle, die sich auf IKT-Systeme auswirken, gewährleisten. Die Verordnung schreibt bewährte Cyberpraktiken in einem Gesetz fest und wendet sie auf das weit verzweigte Ökosystem der Finanzdienstleistungen an.
Die Rolle von DORA für ein harmonisiertes europäischen Finanzökosystems
Eine wichtige Triebfeder für den Digital Operational Resilience Act war die Harmonisierung der Standards in der EU. DORA schafft ein einheitliches regulatorisches Umfeld, das die Compliance vereinfacht und Finanzinstituten und Drittanbietern von IKT-Dienstleistungen hilft, dasselbe hohe Niveau an Resilienz und Cybersicherheit zu bieten.
Mögliche Herausforderungen und Überlegungen für die Zukunft
Die wirksame Umsetzung von Prozessen und Systemen zur Erfüllung der Anforderungen des Digital Operational Resilience Act wird für viele Unternehmen eine Herausforderung darstellen. Zu den häufig genannten Problemen gehören:
- Keine klare Definition der betrieblichen Resilienz
- Fehlende Verfahren und Infrastruktur für Berichterstattung und Informationsaustausch
- Einschränkungen bei der Bewertung und Identifizierung aller Cyberrisiken, die sich auf die digitale Resilienz auswirken
Fazit: Digitale operative Resilienz sorgt für nachhaltigen Erfolg
Die Einhaltung der Anforderungen des Digital Operational Resilience Act hilft Unternehmen nicht nur, Strafen zu vermeiden, sondern bietet auch ein Modell für nachhaltige Cyberresilienz und Cybersicherheit.
Zusammenfassung der wichtigsten Erkenntnisse über DORA
Die fünf Säulen des Digital Operational Resilience Act sind von entscheidender Bedeutung, um die Compliance zu gewährleisten und eine optimale Performance aller Systeme und Abläufe sicherzustellen. Jedes Finanzinstitut kann, unabhängig davon, ob es DORA unterliegt, von den in den fünf Säulen dargelegten Leitlinien profitieren:
- Anforderungen an das IKT-Risikomanagement
- Berichterstattung über IKT-bezogene Vorfälle
- Tests der digitalen betrieblichen Resilienz
- Verwaltung des Risikos durch Dritte, einschließlich Dienstleistern
- Austausch von Informationen zwischen Finanzunternehmen
Die Bedeutung einer proaktiven Auseinandersetzung mit den Anforderungen des DORA
Angesichts des sich rasch entwickelnden technischen Ökosystems und der Bedrohungslandschaft müssen Unternehmen wachsam bleiben. Nehmen Sie sich Zeit, sich über die neuesten verfügbaren Lösungen zur Unterstützung der digitalen Resilienz und der Cybersicherheit zu informieren. Verfolgen Sie außerdem Bedrohungsdaten aus internen und externen Quellen, um Strategien und Taktiken für die Cyberabwehr und die digitale Resilienz zu entwickeln.
Abschließende Gedanken zur Vorbereitung auf eine resiliente digitale Zukunft im Finanzwesen
Der Digital Operational Resilience Act bietet Finanzunternehmen die Möglichkeit, ihre Sicherheit und Resilienz zu bewerten und zu verbessern. Die Anforderungen an Drittanbieter von IKT-Dienstleistungen stellen sicher, dass dies auch für die breitere Geschäftswelt gilt. Dies hat weitreichende Vorteile, da Unternehmen besser darauf vorbereitet sind, ein hohes Maß an digitaler Resilienz zu erreichen.