Kennen Sie DORA? Was Finanzinstitute darüber wissen müssen

Teilen Sie diese Seite
Kostenloser Download

Weiterbildungsprogramm für Banken & Finanzinstitute

Jetzt herunterladen
Updates via Newsletter

Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Alltag!

31. Juli 2023
Banken
0 Kommentare

Nein, DORA ist kein Vorname oder der Eis-Hit des Sommers, sondern die Kurzform des „Digital Operational Resilience Act“ (DORA). Dabei handelt es sich um eine angesichts von Cybersicherheits- und IKT-Risiken geschaffenen Verordnung der EU mit der Zielsetzung der Stärkung der digitalen operationalen Resilienz des gesamten EU-Finanzsektors unter einem einheitlichen Rahmen, um ein effektives und umfassendes Informationssicherheitsmanagement auf den Finanzmärkten zu ermöglichen. Es geht auch um die Einführung eines Mindeststandards, denn nur wenn alle die gleichen Regelungen und einen konsistenten Reifegrad in Sachen Cybersicherheit haben, ist eine höhere Resilienz möglich, was zu einem signifikant höheren Sicherheitsniveau für alle führt.

Die Experten Klaus Kilvinger und Sven Staender stellen Ihnen in diesem Beitrag das neue Regelwerk vor und zeigen, welche Schwerpunkte und Anforderungen DORA konkret für Ihr Finanzinstitut setzt.

Experte Klaus Kilvinger

Klaus Kilvinger

Geschäftsführender Gesellschafter | Opexa Advisory GmbH

Zum Profil
Experte Sven Staender

Sven Staender

Opexa Advisory GmbH

Zum Profil

Für wen gilt das Regelwerk von DORA und ab wann ist es gültig?

DORA gilt für alle „Finanzunternehmen“, zum Beispiel Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen, Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie für weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste definiert sowie IKT-Drittdienstleister. Die Verordnung ist seit dem 17.01.2023 verbindlich, es bleiben also nur noch rund 18 Monate für die Umsetzung bis zum 17.01.2025!

Wo liegen die Schwerpunkte der Regulatorik durch DORA?

Der Schwerpunkt liegt bei DORA nicht in Finanzfragen, sondern in:

Operational Resilience und Risikomanagement
Relevant sind die IKT-Governance & die Organisation mit harmonisierten und einheitlichen Prinzipien sowie die Festlegung der Gesamtverantwortung der Geschäftsleitung als allumfassendes Prinzip.

Management von IKT-Vorfällen und Cyber Security
Wichtig ist die Aufrechterhaltung und Wiederherstellung der Funktionsfähigkeit des Finanzunternehmens und eine proportionale und risikoorientierte Umsetzung. Umfassende Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne sind daher zu entwickeln.

Digital Operational Resilience Testing
Zu Testzwecken für die digitale operationale Widerstandsfähigkeit fordert DORA die Etablierung eines risikobasierten allgemeinen Testprogramms sowie für bedeutende Finanzunternehmen additive Tests (zum Beispiel Threat Led Penetration Testing (TLPT)) mit Orientierung am Rahmenwerk TIBER-EU (Threat Intelligence-based Ethical Red Teaming).

Governance und Management von Drittparteien
Die Finanzunternehmen müssen auch ihre Fähigkeiten verbessern, eine übergreifende Kontrolle und ein Verständnis für alle wichtigen Abhängigkeiten zwischen Ihrem Unternehmen und Ihren Dienstleistern zu erkennen, zu managen und zu verbessern. Das Third Party Risk Management wird intensiviert werden müssen, um die Widerstandsfähigkeit der Dienstleister einzubeziehen.

Informationsaustausch
Zudem soll damit die Anpassung der einschlägigen Leitlinien der europäischen Aufsichtsbehörden (ESAs) auf einer einheitlichen Basis erfolgen, der Austausch und die Anerkennung der Testergebnisse zwischen den europäischen Aufsichtsbehörden ist daraufhin erst möglich.

Wie lautet das Fazit zu den DORA-Anforderungen für Finanzinstitute?

Viele DORA-Vorgaben sind weitgehend identisch mit Vorschriften aus bereits bekannten Regularien wie zum Beispiel MaRisk/BAIT, MaGo / VAIT, den EBA-Guidelines for ICT and Security Risk Management. Allerdings enthält DORA auch einige Abweichungen bzw. Detaillierungen und Ergänzungen gegenüber diesen Regularien. Die erweiterten Anforderungen führen nach allen Einschätzungen insgesamt zu einem hohen Umsetzungsaufwand in der Finanzbranche, aber auch zu mehr Sicherheit!

Das Seminar „DORA – IT-Sicherheit im Fokus der Aufsicht“ dient dem Wissensaufbau zu dem Thema, zeigt aber auch Hinweise auf Umsetzungsoptionen und hält verschiedene Blickwinkel bereit.

Kostenloser Download

Weiterbildungsprogramm 2024 für Banken & Finanzinstitute

Nutzen Sie unser Weiterbildungsangebot speziell für Banken und Finanzinstitute, um sich zuverlässige Updates zu den aktuellen Anforderungen an Ihr Institut zu verschaffen. Profitieren Sie vom Know-how führender Finanzexperten und erhalten Sie Tipps für den sicheren Umgang mit Vorgaben, Technologien und Trends.

Jetzt herunterladen
Gefällt Ihnen, was Sie lesen? Teilen Sie diesen Beitrag oder hinterlassen Sie uns einen Kommentar!

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich

Die Management Circle AG mit Sitz in Eschborn im Taunus ist spezialisiert auf die berufliche Weiterbildung in Form von Seminaren, Konferenzen und Kongressen für Fach- und Führungskräfte.

© Management Circle 2024