DORA: Stärkung der digitalen Resilienz im Finanzsektor

In einer Zeit der rasant fortschreitenden Digitalisierung steht die Finanzbranche vor neuen und komplexen Herausforderungen. Der vermehrte Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Systemen und Geschäftsprozessen eröffnen enorme Chancen, bergen jedoch auch erhebliche Risiken, wie etwa Cyberbedrohungen. Diese Bedrohungen können zum Verlust hochsensibler Kundendaten führen, Systemausfälle auslösen, erhebliche finanzielle Verluste verursachen, den Betrieb stören und letztlich die Stabilität ganzer Finanzsysteme gefährden.

Aus diesem Grund tritt Anfang 2025 die neue EU-Verordnung DORA (Digital Operational Resilience Act) in Kraft. Diese Verordnung verpflichtet Unternehmen, ihre digitale betriebliche Widerstandsfähigkeit durch ein umfassendes Management der Risiken der Informations- und Kommunikationstechnologie (IKT) zu verbessern, um den wachsenden Bedrohungen zu begegnen.

Damit Sie diesen Änderungen immer einen Schritt voraus sind, erfahren Sie in diesem Blog alles, was Sie über DORA wissen müssen – von den grundlegenden Prinzipien bis hin zu praktischen Anleitungen für die Integration der Verordnung in Ihre Cybersicherheitsstrategie.

DORA (Digital Operational Resilience Act) ist eine neue EU-Verordnung, die ab Januar 2025 darauf abzielt, die Cyber-Resilienz und IKT-Sicherheitsstandards im Finanzsektor zu verbessern. Diese Regulatorik umfasst den Schutz vor IKT-Störungen und Cyberbedrohungen. Dabei soll sichergestellt werden, dass betroffene Organisationen robuste IKT-Risikomanagementsysteme implementieren, cyberbezogene Vorfälle melden und regelmäßige Resilienztests durchführen, um auch hochkomplexen Cyberbedrohungen wirksam entgegenzuwirken. Diese Maßnahmen sind darauf ausgerichtet, die Kernziele der DORA zu erreichen: die Gewährleistung von Kontinuität und Vertrauen in Finanzdienstleistungen.

In einer zunehmend digitalisierten und vernetzten Finanzwelt steigt das Risiko von Cyberangriffen und IT-Ausfällen enorm, was die Stabilität des gesamten Finanzsystems gefährden kann. Daraus ergibt sich ein Bedarf an erhöhter Sicherheit, und genau hier setzt DORA an.

Die Regulatorik soll einen einheitlichen Rahmen für digitale Resilienz im Finanzsektor schaffen, der die Prävention, Erkennung, Reaktion und Wiederherstellung im Falle von Störungen und Bedrohungen optimieren soll. Dieser systematische Ansatz kann das systemische Risiko erheblich verringern und die Stabilität der Finanzmärkte in der Europäischen Union stärken.

Die Aufsichtsbehörden werden eine entscheidende Rolle bei der Einhaltung der Bestimmungen von DORA spielen. Sie sind befugt, Inspektionen durchzuführen, Informationen anzufordern und Geldbußen oder andere Korrekturmaßnahmen gegen finanzielle Institutionen zu verhängen, die die festgelegten Standards nicht erfüllen.

DORA basiert auf fünf zentralen Säulen, die alle darauf abzielen, die Cybersicherheit zu verbessern, Risiken zu minimieren und ein einheitliches Vorgehen in der EU zu fördern:

1. Betriebliche Resilienz und Risikomanagement:
   Entwicklung und Implementierung eines robusten IKT-Risikomanagementsystems, das Governance integriert und eine Überwachung auf Vorstandsebene sicherstellt.
2. Management von IKT-Vorfällen und Cybersicherheit:
   Erstellung von Frühwarnindikatoren zur Klassifizierung, Meldung und Reaktion auf Vorfälle sowie zur Gewährleistung rechtzeitiger Nachverfolgung.
3. Testen der digitalen operationellen Resilienz:
   Konzeption von Notfallplänen, Schulungen, sowie regelmäßige Resilienztests, einschließlich bedrohungsgeleiteter Penetrationstests (TLPT), und deren Bewertung.
4. Governance und Management von Drittparteien:
   Überwachung und Bewertung der IKT-Abhängigkeiten von Drittanbieter:innen, einschließlich vertraglicher Vereinbarungen und Kontrolle kritischer Dienstleister:innen.
5. Informations- und Erkenntnisaustausch:
   Förderung des strukturierten Austauschs über Cyberbedrohungen und Sicherheitsvorfälle innerhalb der EU-Finanzbranche unter Einhaltung von Sicherheits-, Vertraulichkeits- und Wettbewerbsrichtlinien.

DORA hat umfassende Auswirkungen auf ein breites Spektrum im Finanz- und Digitalsektor, darunter:

• Banken und Kreditinstitute
• Versicherungen und Rückversicherungen
• Zahlungsdienstleister und E-Geld-Institute
• Wertpapierfirmen und Börsen

Dieser breitgefächerte Anwendungsbereich stellt sicher, dass das gesamte Finanzökosystem einheitliche Resilienzstandards einhält.

Die am 16. Januar 2023 in Kraft getretene EU-Verordnung gewährt Finanzunternehmen eine Frist von zwei Jahren zu vollständiger Umsetzung. Bis Januar 2025 müssen alle Anforderungen erfüllt sein, um die digitale Resilienz und Sicherheit zu gewährleisten.

Bereits im ersten Halbjahr 2024 wurden Vorgaben zum IKT-Risikomanagement-Framework, zur operativen Sicherheit, zur Klassifizierung von IKT-Vorfällen und zum IKT-Drittparteirisikomanagement veröffentlicht. Im zweiten Halbjahr 2024 stehen weitere Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) an, welche die Meldepflichten für IKT-Vorfälle, Kriterien und Methodologien für das Testen der digitalen operativen Resilienz sowie die Vorgaben für Sub-Outsourcing-Arrangements umfassen.

Der Einsatz der richtigen Tools ist entscheidend für die Verbesserung der Cybersicherheit und die Einhaltung von Vorschriften wie DORA. Einige der wichtigsten Bereiche, auf die sich die Unterstützung durch Tools konzentriert, sind:

• Lückenlose Implementierung: Nahtlose Abbildung aller DORA-Anforderungen.
• Einheitliche Bewertungsmethodik: Bereitstellung von Risikobewertungsvorlagen.
• Transparente Risikoportfolios: Identifizierung und Verwaltung von Risiken.
• Kataloge an Sofortmaßnahmen: Bereitstellung sofort umsetzbarer Maßnahmen zur Risikominderung.
• Spezifische Funktionalitäten: Automatisierte Risikobewertungen, Echtzeitüberwachung und Vorfallsmanagement-Workflows, die sich an den DORA-Kernprinzipien orientieren und eine schnelle Einhaltung der Meldepflichten gewährleisten.

ADOGRC bietet mehrere wichtige Vorteile, um die Einhaltung der DORA-Vorschriften zu vereinfachen und die Cybersicherheit zu verbessern:

• Effizienzsteigerung: Automatisierung von Prozessen und Reduzierung manueller Fehler.
• Transparenz: Übersichtliche Darstellung aller Risiken und Maßnahmen.
• Compliance: Sicherstellung der Einhaltung von DORA und anderen relevanten Vorschriften.
• Skalierbarkeit: Flexible Anpassung an die wachsenden Anforderungen Ihres Unternehmens.

In Anbetracht der zunehmenden Zahl von Cyberangriffen und IT-Störungen stellt die DORA-Verordnung einen wichtigen Meilenstein bei der Verbesserung der Cyber-Resilienz im europäischen Finanzsektor dar. Im Hinblick auf die näher rückende Umsetzungsfrist ist es für die finanziellen Institutionen von entscheidender Bedeutung, diese Maßnahmen zu integrieren und die notwendigen Tools einzuführen, um die Einhaltung der Vorschriften zu gewährleisten und ihre Verteidigungsmaßnahmen zu verstärken. Mit ADOGRC können Sie die Anforderungen der Aufsichtsbehörden erfüllen und Ihr Unternehmen vor den sich ständig weiterentwickelnden Cyber-Bedrohungen schützen, um so eine sicherere Zukunft für Ihr Unternehmen zu gewährleisten.