DORA: 5 Fragen, die sich Finanzdienstleister jetzt stellen sollten
Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten. Mit der neuen Verordnung will die EU die Widerstandsfähigkeit des Finanzsektors gegen Cyberrisiken stärken. Banken und andere Finanzdienstleister haben noch bis Januar 2025 Zeit, die Anforderungen von DORA zu erfüllen. enthus kann sie dabei unterstützen.
Der Countdown für die Umsetzung von DORA läuft. Mehr als acht Monate der zweijährigen Umsetzungsfrist sind bereits verstrichen. Finanzunternehmen sollten sich daher jetzt unbedingt mit den Neuerungen auseinandersetzen, die künftig auf sie zukommen. Wie gut ist die digitale Resilienz Ihrer Organisation heute bereits entwickelt? Die folgenden fünf Fragen helfen Ihnen, den Reifegrad Ihrer Strategie einzuschätzen und mögliche Lücken zu identifizieren.
1. Verfügt Ihr Unternehmen über ein umfassendes IKT-Risikomanagement?
Haben Sie kritische Funktionen im Bereich der Informations- und Kommunikationstechnologie (IKT) identifiziert und klassifiziert – und entsprechende Maßnahmen zur Risikominimierung implementiert? Dazu gehören beispielsweise Anomalie-basierte Sicherheitsverfahren, die Risikoquellen überwachen und verdächtige Aktivitäten schnell identifizieren und stoppen. Darüber hinaus erfordert ein umfassendes IKT-Risikomanagement maßgeschneiderte Business-Continuity-Maßnahmen wie individuell ausgearbeitete Notfall- und Wiederherstellungspläne.
2. Wie sieht Ihre Strategie für das Management von Sicherheitsvorfällen aus?
Auch mit den besten Security-Technologien lassen sich Sicherheitsvorfälle nicht vollständig ausschließen. Finanzdienstleister müssen in der Lage sein, alle Vorfälle professionell zu managen und zu dokumentieren. DORA schreibt vor, wie diese Berichte über IKT-bezogene Sicherheitsvorfälle auszusehen haben. Die betroffenen Unternehmen müssen diese Berichte in einem standardisierten Format erstellen und innerhalb bestimmter Fristen an die zuständigen Stellen übermitteln.
3. Überprüfen Sie die digitale Resilienz Ihrer IT regelmäßig?
DORA verpflichtet alle betroffenen Einrichtungen, mindestens einmal jährlich grundlegende Sicherheitstests der IT- und Kommunikationssysteme durchzuführen. Dienste, die sich auf kritische Funktionen auswirken, sollen regelmäßig durch bedrohungsgesteuerte Penetration Tests (Threat Lead Penetration Testing = TLPT) überprüft werden. In diese Tests sind auch Drittanbieter von IT- und Kommunikationsleistungen einzubeziehen. Werden dabei Schwachstellen, Mängel oder Sicherheitslücken aufgedeckt, müssen Unternehmen umgehend geeignete Gegenmaßnahmen ergreifen.
4. Überwachen Sie mögliche Risiken durch IKT-Drittdienstleister?
Ein besonderer Fokus von DORA liegt auf der Steuerung und Überwachung von IKT-Drittdienstleistern. Vorgeschrieben ist unter anderem, ein detailliertes Verzeichnis aller ausgelagerten Tätigkeiten zu führen, die Schlüsselelemente der Leistungen möglichst lückenlos zu überwachen und sicherzustellen, dass die Verträge mit IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten. Auch Konzentrationsrisiken, die sich aus dem IKT-Outsourcing ergeben, sollten berücksichtigt werden. Die Grundlage dafür ist die umfassende Überwachung aller administrativen Tätigkeiten.
5. Tauschen Sie sich mit anderen Finanzorganisationen über Cyberrisiken aus?
DORA ermöglicht Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen mit anderen Organisationen ihrer Branche auszutauschen. Es ist daher ratsam, entsprechende Vereinbarungen zu schließen, vertrauenswürdige Netzwerke aufzubauen und Mechanismen zu etablieren, um die erhaltenen Informationen zu validieren. Finanzunternehmen können so schneller auf neue Bedrohungen reagieren, das Sicherheitsbewusstsein in der Branche stärken und sich gegenseitig bei der Abwehr von Cyberangriffen unterstützen.
Den aktuellen Stand der DORA-Verordnung finden Sie hier. Im Laufe des kommenden Jahres sollen die technischen Regulierungsstandards (Regulatory Technical Standards = RTS) und die technischen Durchführungsstandards (Implementing Technical Standards = ITS) der Verordnung weiter konkretisiert werden.
Wir empfehlen unseren Kunden, möglichst schon jetzt mit der Umsetzung der bereits bekannten DORA-Vorschriften zu beginnen. Nur so kann der enge Zeitplan zuverlässig eingehalten werden.
Unsere Experten unterstützen Finanzinstitute dabei, die Anforderungen der DORA-Verordnung zu erfüllen. In einem Security Assessment erfassen und bewerten wir den Ist-Zustand der Sicherheitsstrategie und zeigen mögliche Risiken auf. Mit konkreten Maßnahmen bringen wir dann die Cyber-Resilienz auf den neuesten Stand.
Schlüsselmaßnahmen sind dabei:
- IT-Notfallplanung: Unsere Experten für Informationssicherheit beraten und begleiten Unternehmen beim Aufbau und Betrieb einer prozessorientierten IT-Notfallplanung.
- Business Continuity: Gemeinsam mit unseren Kunden entwickeln wir Strategien, um den Geschäftsbetrieb auch nach einem Sicherheitsvorfall aufrechtzuerhalten.
- Backup & Recovery: Mit automatisierten Lösungen für Datensicherung und -wiederherstellung stärken wir die Cyber-Resilienz unserer Kunden.
- Monitoring & Incident Response: Logging- & SIEM-Systeme helfen Unternehmen, Angriffe frühzeitig zu erkennen – und mit unseren Incident Response Experten sind Sie für die optimale Reaktion im Schadensfall bestens aufgestellt.
- Penetration Tests & Schwachstellen-Management: Unsere Experten simulieren IT-Angriffe und unterstützen bei der Beseitigung der entdeckten Sicherheitslücken.
- Third Party Monitoring & Assessments: Wir implementieren für unsere Kunden auch DORA-konforme Lösungen zur Überwachung und Bewertung von Risiken Drittanbieter entlang der gesamten Supply Chain.
Sie möchten mehr darüber erfahren, was DORA für Ihre Organisation bedeutet? Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unseren Experten.
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.