Das Digital Operational Resilience Act (DORA) ist eine bedeutende regulatorische Initiative der Europäischen Kommission (EU), die darauf abzielt, die Cybersecurity-Maßnahmen im Finanzdienstleistungssektor der EU zu verbessern. Mit einem wirksamen Datum für Januar 2025 legt DORA entscheidende Schritte fest, um die Widerstandsfähigkeit wichtiger Teilnehmer im Finanzsystem gegenüber den zunehmenden Bedrohungen von Cyberattacken und anderen Risiken zu stärken.
DORA umfasst eine umfassende Reihe von Vorschriften, die darauf abzielen, die Anforderungen an das Risikomanagement in der Informations- und Kommunikationstechnologie (IKT) im gesamten Finanzsektor zu konsolidieren und zu erhöhen. Dieser Rahmen stellt sicher, dass alle Teilnehmer sich an einen gemeinsamen Satz von IKT-Risikostandards halten und so eine einheitliche und robuste Verteidigung gegen potenzielle Störungen schaffen.
Die Kernziele von DORA konzentrieren sich auf das Risikomanagement, die Meldung von Vorfällen, Belastungstests der Widerstandsfähigkeit, das Risikomanagement von Drittanbietern und den Austausch von Informationen. Diese Anforderungen verpflichten Finanzinstitute sowie kritische Drittanbieter wie Cloud Dienstleister (CSPs), bestimmte Prozesse und Verfahren umzusetzen.
Hauptanforderungen
Unternehmen, die unter DORAs Zuständigkeitsbereich fallen, sind verpflichtet, fünf Hauptanforderungen zu erfüllen:
- Incident-Response-Plan: Die Unternehmen müssen einen detaillierten Incident-Response-Plan erstellen, in dem die Definition eines Cyberangriffs, angemessene Mitarbeiterreaktionen und Verfahren zur Wiederherstellung des Betriebs nach einem Sicherheitsverstoß festgelegt sind.
- Cybersecurity-Programm: Ein umfassendes Cybersecurity-Programm, einschließlich Risikobewertungen potenzieller Cyberrisiken und entsprechender Minderungspläne, ist vorgeschrieben.
- Sicherheitskontrollen: Die Unternehmen müssen robuste Sicherheitskontrollen über ihre digitale Infrastruktur aufrechterhalten, einschließlich Verschlüsselung, Authentifizierung, Zugangskontrollen, Audit Trails, Überwachungssysteme, Ereignismanagement-Systeme und Incident-Response-Pläne.
- Incident-Meldungen: Eine rechtzeitige Meldung von Vorfällen ist erforderlich, um den Regulierungsbehörden die Bewertung von Schwachstellen zu ermöglichen und Empfehlungen zur Verbesserung der Sicherheitslage abzugeben.
- Kontinuität der Dienstleistungen: Die Einrichtung eines Plans zur Sicherstellung der Kontinuität der Dienstleistungen während Unterbrechungen ist für die Einhaltung wesentlich.
Das von DORA skizzierte Aufsichtsrahmenwerk legt die Verantwortung für die Prüfung und Bewertung der Kontrollen von Unternehmen bei den europäischen Finanzregulierungsbehörden fest, um die Einhaltung der von DORA festgelegten Standards und die Fähigkeit zum Aufrechterhalten einer sicheren und widerstandsfähigen Umgebung für die Verarbeitung von Finanzdaten sicherzustellen.
Es ist bemerkenswert, dass sich die Auswirkungen von DORA nicht auf die EU beschränken, da auch Regulierungsbehörden wie die US-amerikanische Securities and Exchange Commission (SEC) ähnliche Vorschläge eingeführt haben. Als Reaktion auf diese Entwicklungen passen Unternehmen wie SS&C Advent ihre Anforderungen aktiv an DORA an und betonen die Bedeutung von Sicherheit, Compliance und Widerstandsfähigkeit in der heutigen, sich ständig weiterentwickelnden digitalen Landschaft.
Unter welche Organisationen fällt DORA?
- Kreditinstitute;
- Zahlungsinstitute;
- Kontoinformationsdienstleister;
- Elektronische-Geld-Institute;
- Investmentgesellschaften;
- Drittanbieter von Informations- und Kommunikationstechnologien sowie Krypto-Vermögensdiensteanbieter, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte für Krypto-Vermögenswerte und Herausgeber von vermögensbezogenen Tokens zugelassen sind.
- Zentrale Gegenparteien;
- Handelsplätze;
- Handelsregister;
- Verwalter von alternativen Investmentfonds;
- Verwaltungsgesellschaften;
- Dienstleister für Datenberichterstattung;
- Crowdfunding-Dienstleister;
- Verbriefungsregister;
- Zentrale Wertpapierdepots;
- Versicherungs- und Rückversicherungsunternehmen;
- Versicherungsvermittler, Rückversicherungsvermittler und sonstige Versicherungsvermittler;
- Einrichtungen der betrieblichen Altersversorgung;
- Kreditbewertungsagenturen;
- Administratoren für wichtige Benchmarks;
DORA erfordert, dass Finanzunternehmen das Risiko, das von den Lieferanten ausgeht, überwachen und steuern. Dies gilt sowohl für Einzelpersonen als auch für Organisationen, die Dienstleistungen für diese Finanzunternehmen erbringen – sie müssen die Regeln von DORA befolgen.
Es ist jedoch wichtig zu wissen, dass DORA nicht für jeden im Finanzsektor gilt. Einige sind von der Regelung befreit, wie zum Beispiel Institutionen, die Rentenpläne für weniger als 15 Personen verwalten, Kleinstunternehmen wie Versicherungsvermittler und bestimmte andere Einrichtungen. Die vollständige Liste finden Sie in Artikel 2.3.
Zeitplan für die Erfüllung der DORA-Anforderungen
DORA wurde am 16. Januar 2023 offiziell genehmigt, und Finanzinstitutionen haben zwei Jahre Zeit, alles einzurichten. Das bedeutet, dass sie bis zum 17. Januar 2025 die Regeln von DORA befolgen müssen. Obwohl es vielleicht so scheint, als ob noch viel Zeit bleibt, ist es eine gute Idee für Finanzunternehmen, bereits jetzt die neuen Regeln zu übernehmen. Sie müssen nicht bis zur letzten Minute warten – sie können damit beginnen, Änderungen vorzunehmen, um die Anforderungen zu erfüllen.
Wie können wir helfen?
Bei Z3X verstehen wir die Herausforderungen, denen Unternehmen bei der Anpassung an die Richtlinien des Digital Operational Resilience Act (DORA) gegenüberstehen. Mit unserer Expertise bei der Navigation durch regulatorische Rahmenbedingungen unterstützen wir Ihr Unternehmen dabei, die Einhaltung der Anforderungen von DORA sicherzustellen.
Unsere maßgeschneiderten Lösungen sind darauf ausgelegt, finanzielle Institutionen bei der Umsetzung der von DORA festgelegten erforderlichen Maßnahmen zu unterstützen. Vom Aufbau umfassender Risikomanagement-Rahmenwerke bis zur Etablierung robuster Vorfallsreaktionspläne steht Ihnen unser Team bei Z3X mit umfassendem Know-how zur Seite, um Ihr Unternehmen durch den gesamten Prozess zu führen.
Wir bieten einen proaktiven Ansatz, um Ihrer Organisation die Möglichkeit zu geben, frühzeitig mit dem Umsetzungsprozess zu beginnen. Durch die Nutzung unseres Wissens und unserer Erfahrung können Sie die Einführung der DORA-Richtlinien optimieren und einen reibungslosen Übergang gewährleisten, während Störungen Ihrer betrieblichen Abläufe minimiert werden.
Arbeiten Sie mit Z3X zusammen, um nicht nur Ihre regulatorischen Verpflichtungen zu erfüllen, sondern auch die allgemeine Widerstandsfähigkeit und Sicherheit Ihres Unternehmens in der sich wandelnden digitalen Landschaft zu verbessern. Unser Engagement besteht darin, praktische Lösungen anzubieten, die den spezifischen Bedürfnissen Ihrer Organisation entsprechen und den Weg zur DORA-Konformität effizient und effektiv gestalten. Lassen Sie Z3X Ihr vertrauenswürdiger Partner bei der Bewältigung der Komplexität regulatorischer Anforderungen und der Sicherung der Zukunft Ihres Unternehmens sein.
Die vollständige DORA-Verordnung finden Sie hier.
—
Wenn Sie diesen Artikel lieber auf Englisch lesen möchten, finden Sie ihn hier: What is DORA and what does it mean for you company?