Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Alltag!
Nein, DORA ist kein Vorname oder der Eis-Hit des Sommers, sondern die Kurzform des „Digital Operational Resilience Act“ (DORA). Dabei handelt es sich um eine angesichts von Cybersicherheits- und IKT-Risiken geschaffenen Verordnung der EU mit der Zielsetzung der Stärkung der digitalen operationalen Resilienz des gesamten EU-Finanzsektors unter einem einheitlichen Rahmen, um ein effektives und umfassendes Informationssicherheitsmanagement auf den Finanzmärkten zu ermöglichen. Es geht auch um die Einführung eines Mindeststandards, denn nur wenn alle die gleichen Regelungen und einen konsistenten Reifegrad in Sachen Cybersicherheit haben, ist eine höhere Resilienz möglich, was zu einem signifikant höheren Sicherheitsniveau für alle führt.
Die Experten Klaus Kilvinger und Sven Staender stellen Ihnen in diesem Beitrag das neue Regelwerk vor und zeigen, welche Schwerpunkte und Anforderungen DORA konkret für Ihr Finanzinstitut setzt.
DORA gilt für alle „Finanzunternehmen“, zum Beispiel Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen, Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie für weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste definiert sowie IKT-Drittdienstleister. Die Verordnung ist seit dem 17.01.2023 verbindlich, es bleiben also nur noch rund 18 Monate für die Umsetzung bis zum 17.01.2025!
Der Schwerpunkt liegt bei DORA nicht in Finanzfragen, sondern in:
Operational Resilience und Risikomanagement
Relevant sind die IKT-Governance & die Organisation mit harmonisierten und einheitlichen Prinzipien sowie die Festlegung der Gesamtverantwortung der Geschäftsleitung als allumfassendes Prinzip.
Management von IKT-Vorfällen und Cyber Security
Wichtig ist die Aufrechterhaltung und Wiederherstellung der Funktionsfähigkeit des Finanzunternehmens und eine proportionale und risikoorientierte Umsetzung. Umfassende Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne sind daher zu entwickeln.
Digital Operational Resilience Testing
Zu Testzwecken für die digitale operationale Widerstandsfähigkeit fordert DORA die Etablierung eines risikobasierten allgemeinen Testprogramms sowie für bedeutende Finanzunternehmen additive Tests (zum Beispiel Threat Led Penetration Testing (TLPT)) mit Orientierung am Rahmenwerk TIBER-EU (Threat Intelligence-based Ethical Red Teaming).
Governance und Management von Drittparteien
Die Finanzunternehmen müssen auch ihre Fähigkeiten verbessern, eine übergreifende Kontrolle und ein Verständnis für alle wichtigen Abhängigkeiten zwischen Ihrem Unternehmen und Ihren Dienstleistern zu erkennen, zu managen und zu verbessern. Das Third Party Risk Management wird intensiviert werden müssen, um die Widerstandsfähigkeit der Dienstleister einzubeziehen.
Informationsaustausch
Zudem soll damit die Anpassung der einschlägigen Leitlinien der europäischen Aufsichtsbehörden (ESAs) auf einer einheitlichen Basis erfolgen, der Austausch und die Anerkennung der Testergebnisse zwischen den europäischen Aufsichtsbehörden ist daraufhin erst möglich.
Viele DORA-Vorgaben sind weitgehend identisch mit Vorschriften aus bereits bekannten Regularien wie zum Beispiel MaRisk/BAIT, MaGo / VAIT, den EBA-Guidelines for ICT and Security Risk Management. Allerdings enthält DORA auch einige Abweichungen bzw. Detaillierungen und Ergänzungen gegenüber diesen Regularien. Die erweiterten Anforderungen führen nach allen Einschätzungen insgesamt zu einem hohen Umsetzungsaufwand in der Finanzbranche, aber auch zu mehr Sicherheit!
Das Seminar „DORA – IT-Sicherheit im Fokus der Aufsicht“ dient dem Wissensaufbau zu dem Thema, zeigt aber auch Hinweise auf Umsetzungsoptionen und hält verschiedene Blickwinkel bereit.
Nutzen Sie unser Weiterbildungsangebot speziell für Banken und Finanzinstitute, um sich zuverlässige Updates zu den aktuellen Anforderungen an Ihr Institut zu verschaffen. Profitieren Sie vom Know-how führender Finanzexperten und erhalten Sie Tipps für den sicheren Umgang mit Vorgaben, Technologien und Trends.
Kommentare
Keine Kommentare