Am 24. September 2020 veröffentlichte die Europäische Kommission den Digital Operational Resilience Act (kurz: DORA) – eine neue Verordnung inklusive der dazugehörenden Weisungen.
« Mit der DORA-Verordnung wird ein Rechtsrahmen für die digitale Betriebsstabilität geschaffen, nach dem alle Unternehmen sicherstellen müssen, dass sie in der Lage sind, allen Arten von Störungen und Bedrohungen im Zusammenhang mit IKT standzuhalten, darauf zu reagieren und sich von ihnen zu erholen. »
(Quelle: https://www.consilium.europa.eu/de/press/press-releases/2022/05/11/digital-finance-provisional-agreement-reached-on-dora/)
Warum wurde DORA entwickelt?
Finanzorganisationen standen schon immer im Mittelpunkt des Interesses bösartiger Akteure. Hacker verstehen es, reichhaltigen Ressourcen für Ihre Zwecke zu nutzen, und Banken, Investmentgesellschaften und Kreditunternehmen nicht nur um persönliche Daten zu erleichtern, sondern auch direkten finanziellen Gewinn zu schöpfen.
Um dem entgegenzuwirken, wurde am 10. Mai 2022 der «Digital Operational Resilience Act» (DORA) als Teil eines größeren Gesetzespakets zum digitalen Finanzwesen, einschließlich der Märkte für Krypto-Assets und Distributed-Ledger-Technologie, beschlossen. Die Europäische Kommission hat diese Gesetzesänderungen zum Schutz der Bürger und zur Risikominimierung entwickelt.
Wer ist von DORA betroffen?
DORA gilt für alle in der EU tätigen Finanzinstitute, darunter Banken, Kreditinstitute, Versicherungsgesellschaften und Wirtschaftsprüfer. Dem Gesetzesvorschlag zufolge müssen auch ausländische Organisationen mit europäische Niederlassungen den Reglementierungen folgen.
DORA zielt darauf ab, die Fähigkeit von Finanzinstituten zu kontrollieren, auf Cybersicherheitsrisiken zu reagieren, darüber zu berichten und sie zu verwalten. Da Finanzinstitute von Informations- und Kommunikationstechnologien (IKT) Dritter abhängig sind, erweitert sich auch hier der Risikobereich. Daher besteht eines der Ziele von DORA darin, solche Dienste und ihre Reaktionsmöglichkeiten zu regulieren.
Welche DORA-Regeln gibt es?
Governance-Anforderungen
Das IKT-Risikomanagement ergibt sich aus der Art und Weise, wie das Unternehmen seine Geschäfts- und Cybersicherheitsstrategien aufeinander abstimmt. Der Schwerpunkt dieses Abschnitts liegt darauf, Unternehmen ein Regelwerk für IKT-bezogene Fragen in die Hand zu geben:
- Klare Rollen und Verantwortlichkeiten (wer ist wofür zuständig)
- Kontinuierliche Risikoüberwachung und –management
- Zuweisung von Investitions- und Schulungsressourcen
Risikomanagement für Drittparteien
DORA deckt die üblichen «Best Practices» für das Risikomanagement gegenüber Dritten ab:
- Aufrechterhaltung anerkannter Präventions- und Schutzmaßnahmen
- Erkennung von Anomalien
- Aktualisierung von Systemen und Protokollen
- Einrichtung geeigneter Verfahren für die Geschäftskontinuität und das Katastrophenmanagement
Berichterstattung über Vorfälle
Die Meldung von Vorfällen ist ein wesentlicher Bestandteil aller Praktiken der Cybersicherheit. Der DORA zielt darauf ab, einfache und effiziente Verfahren für alle Meldungen zu schaffen. Hier sind einige Ziele dieses Abschnitts:
- Vereinfachung der Vorlagen für Erst-, Zwischen- und Abschlussberichte
- Aufnahme eines Dialogs zwischen Behörden und Finanzorganisationen für schnelle und effiziente Antworten
- Zentralisierung des Meldesystems unter einer EU-Drehscheibe, die alle Meldungen von
Tests zur Widerstandsfähigkeit
Regelmäßige Penetrationstests für digitale Operationen sind eine der wesentlichen Komponenten, die in DORA erwähnt werden. Alle Finanzorganisationen müssen ihre Systeme regelmäßig testen, um Schwachstellen zu erkennen und Verbesserungsmöglichkeiten zu finden.
- Proportionale Testmechanismen (abhängig von der Unternehmensgröße und der Höhe des Geschäftsrisikos)
- Anforderungen an Tester in der gesamten EU
Gemeinsame Nutzung von Informationen
Diese Richtlinie berührt die Bedeutung des Informationsaustauschs zwischen Finanzorganisationen. Das ist aus mehreren Gründen entscheidend:
- Sensibilisierung für Cyberrisiken und –bedrohungen
- Durch die Sensibilisierungskomponente wird die Ausbreitung der genannten Bedrohungen eingedämmt
- Gegenseitige Unterstützung bei der Entwicklung und Durchführung von widerstandsfähigeren Verfahren zur Erkennung von Bedrohungen
Wie man sich auf die DORA-Einführung vorbereitet
Die Einführung von Vorschriften ist für Organisationen immer ein gewisser Aufwand, DORA ist da leider keine Ausnahme. Das Verständnis und die Umsetzung der angesprochenen Änderungen erfordert viel Zeit und Ressourcen, insbesondere für Finanzunternehmen aus Nicht-EU-Ländern mit Kunden in innerhalb der Europäischen Union.
Sobald DORA offiziell ist, werden kleine und mittlere Unternehmen wahrscheinlich etwa ein Jahr Zeit bekommen, um alle Anforderungen zu erfüllen. Abhängig von einigen anderen Faktoren, wie z. B. der Gefährdung durch Cyberrisiken und dem Geschäftsprofil, haben größere Unternehmen bis zu 36 Monate Zeit, um der neuen Verordnung gerecht zu werden.
Hier haben wir einige Schritte zusammengefasst, die Unternehmen bei einem reibungslosen Übergang helfen könnten:
Befolgen Sie bewährte Verfahren zur Cybersicherheit: Es gibt unzählige Leitfäden und operative Rahmenwerke, mit denen man sich vertraut machen sollte. Befolgen Sie die Richtlinien zum IKT-Risikomanagement und zu Outsourcing-Vereinbarungen.
Verbessern Sie die Systemabwehr: Installieren Sie Firewalls, ergreifen Sie Sicherheitsmaßnahmen, setzen Sie eine gute Passworthygiene durch und bieten Sie Ihren Mitarbeitern Schulungen zum Thema Cybersicherheit an. Außerdem sollten Sie sich mit der Welt der E-Mail-Sicherheitsprotokolle vertraut machen, falls Sie dies noch nicht getan haben.
Führen Sie Tests durch, um Sicherheitsprobleme zu erkennen: Penetrationstests können ein wirksames Mittel sein, um Lücken in Ihren Systemen und täglichen Abläufen aufzudecken.
Identifizieren Sie Ihre wichtigsten Ressourcen für eine bessere Verwaltung: Wenn Sie wissen, über welche Ressourcen Sie verfügen, können Sie die richtigen Rollen für deren Verwaltung bestimmen und eine ständige Überwachung gewährleisten.
Richten Sie die Einstellung für schnelle Berichterstattungsverfahren ein: Wenn Sie die Rollen und Prozesse kennen, wird es viel einfacher sein, die entsprechenden Berichte über Vorfälle umgehend zu erstellen.
Quelle: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595
Verizon kann Ihnen helfen!
DORA wird voraussichtlich Anfang 2024 in Kraft treten. Angesichts der Tatsache, dass in vielen Unternehmen noch eine große Lücke zwischen dem tatsächlichen und dem erreichbaren Resilienz-Niveau herrscht ist es ratsam sich frühzeitig mit diesem Thema zu befassen. Ein erfahrener Partner wie Verizon verfügt über das notwendige Know-how und kann Ihrem Unternehmen hier hilfreich zur Seite stehen.
Mehr Informationen erhalten Sie hier.
Haben Sie Fragen zu DORA oder benötigen Sie Hilfe bei der Umsetzung? Gerne unterstützen wir Sie bei der Umsetzung der DORA-Richtlinien in Ihrem Unternehmen. Nutzen Sie hierfür unser Kontaktformular und wir werden uns umgehend mit Ihnen in Verbindung setzen.