Angesichts fortschreitender Digitalisierung und ständig wachsender Bedrohung durch Cyberkriminalität wird operative Resilienz immer wichtiger. Ein Whitepaper zeigt die Bedeutung von fünf Eckpunkten des Digital Operational Resilience Acts (DORA).
Der Digital Operational Resilience Act (DORA) der EU stellt einen wichtigen nächsten Schritt in der Regulierung der Finanzdienstleistungsbranche dar. Der Termin für die Umsetzung rückt unaufhaltsam näher. Ab 17. Januar 2025 muss DORA von allen Finanzdienstleistern in der EU umgesetzt werden. Die Vorbereitungen und Maßnahmen müssten also längst begonnen haben.
Klar ist: Die Stärkung der operativen Resilienz innerhalb des Finanzdienstleistungssektors ist ein notwendiges und lobenswertes Ziel. Dessen Erreichung wird allerdings nicht ohne erheblichen Aufwand an Kosten und Ressourcen gelingen.
Fünf Eckpunkte von DORA
In einem Whitepaper von Cloud Pure Storage wird gezeigt, was Dora für das Datenmanagement und die Datensicherheit bedeutet. Dabei werden die folgenden fünf Eckpunkte von DORA identifiziert:
- Fünf Säulen von DORA,
- Auswirkungen auf das gesamte Ökosystem,
- Harmonisierung und Ausweitung bestehender Vorschriften,
- Unternehmensweite Auswirkungen,
- Vorbereitung auf die Einhaltung von DORA.
1. Fünf Säulen von DORA
DORA könnte die weitreichendste Verordnung sein, die jemals erlassen wurde. Zu den fünf Säulen gehören:
- Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT),
- Berichterstattung über sicherheitsrelevante Vorfälle,
- Prüfung der digitalen operativen Resilienz,
- Risikomanagement für Drittparteien,
- Gemeinsame Nutzung von Informationen.
2. Auswirkungen auf das gesamte Ökosystem
Die Breite und Tiefe von DORA ist beispiellos. Das Gesetz gilt für Banken, Versicherungen, Wertpapierfirmen und andere Finanzinstitute, aber auch für kritische Drittparteien. Damit soll sichergestellt werden, dass Risiken, die sich aus der zunehmenden Abhängigkeit von Unternehmen ergeben, die Dienstleistungen und Support anbieten, wie z. B. Cloud-Service-Provider, ISVs und Zahlungsabwickler, direkt auf der Ebene des Service-Providers und nicht auf der Ebene der einzelnen Unternehmen behandelt werden.
3. Harmonisierung und Ausweitung bestehender Vorschriften
Das erste Ziel von DORA ist die Harmonisierung der bestehenden Vorschriften in der EU. Es geht aber darüber hinaus und erweitert den Regelungsbereich und die Anforderungen drastisch. So führt DORA beispielsweise strengere Meldepflichten für Cybersicherheitsvorfälle ein und schreibt strenge Fristen für die Meldung vor.
4. Unternehmensweite Auswirkungen
Im Gegensatz zu früheren Ansätzen im Bereich der Cybersicherheit ist die Einhaltung von DORA nicht nur eine Frage der IT. Die Unternehmen müssen einen unternehmensweiten Ansatz verfolgen und von Anfang an andere Bereiche, wie die Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und die IT-Abteilung einbeziehen.
5. Vorbereitung auf die Einhaltung von DORA
Die Durchsetzung von DORA ist für Januar 2025 geplant, daher müssen Finanzdienstleister daran arbeiten, einen reibungslosen Übergang zu gewährleisten. Es ist wichtig, dass die Unternehmen jetzt handeln, damit sie die notwendigen Änderungen rechtzeitig umsetzen können.
Die wichtigsten To-Dos für Finanzinstitute
DORA erfordert eine umfassendere Sichtweise. Die neuen Regelungen für operative Resilienz erlegen den Instituten eine breite Palette neuer Anforderungen auf. Der erweiterte Geltungsbereich bedeutet, dass mehr Bereiche in die Formulierung und Durchführung von Maßnahmen zur Verbesserung der Resilienz einbezogen werden müssen.
Mit Blick auf die künftigen Anforderungen ist es sinnvoll, ein Instrumentarium und geeignete Verfahren zu entwerfen und aufzubauen, die alle relevanten Parteien einbeziehen. Ein Schwerpunkt sollte dabei auf den neu einzubeziehenden Bereichen liegen. Bestehende Messgrößen müssen unter Umständen entweder verworfen oder grundlegend überarbeitet werden, um Prozesse und Leistung mit den neuen Anforderungen in Einklang zu bringen.
Im Mittelpunkt der neuen Resilienz-Bemühungen steht die Cybersicherheit, wobei der Schwerpunkt auf der Sensibilisierung und der Vorbereitung auf Ransomware-Angriffe sowie auf der rechtzeitigen und gründlichen Meldung von Vorfällen liegt. Unternehmen müssen über Pläne zur Aufrechterhaltung und Wiederherstellung kritischer Geschäftsprozesse sowie über einen Einblick in ihre Datenpipelines und wichtigen Arbeitsabläufe verfügen, um Anomalien zu erkennen und die Vorbeugung und Eindämmung von Sicherheitsvorfällen zu verbessern.
Daten sind das Herzstück eines jeden Unternehmens. Eine hilfreiche Methode zur Bewältigung einer neuen Herausforderung besteht darin, sie in ihre Bestandteile zu zerlegen, um nicht von der Komplexität überwältigt zu werden. Im Falle von DORA Regelungen sind Daten der gemeinsame Nenner. Daten sind das ultimative Ziel der meisten Angreifer und das grundlegende Element, das für die Gewährleistung der Widerstandsfähigkeit erforderlich ist, insbesondere in Bezug auf das IKT-Risikomanagement. Die Verwaltung, die Zugänglichkeit und der Schutz von Daten müssen im Mittelpunkt eines jeden Plans stehen.
Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Neu: Tagespass Studien
Sie wollen direkten Zugriff auf einzelne Studien, aber nicht gleich ein Premium-Abonnement abschließen? Dann ist der neue Tagespass Studien genau das richtige für Sie. Mit ihm erhalten Sie für 24 Stunden direkten Zugriff auf sämtliche Studienquellen.
>>> Tagespass Studien kaufen <<<
Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.