Das Gesetz über die digitale Betriebsresilienz (DORA) ist eine regulatorische Initiative der Europäischen Kommission (EU), die darauf abzielt, die Cybersicherheitsmaßnahmen im Finanzdienstleistungssektor der EU zu stärken. Mit einem Inkrafttreten ab Januar 2025 legt DORA wichtige Schritte fest, um die Widerstandsfähigkeit der Schlüsselteilnehmer im Finanzsystem gegen zunehmende Cyberbedrohungen und andere Risiken zu stärken.
DORA umfasst einen umfassenden Satz von Vorschriften, die darauf abzielen, die Anforderungen an das Risiko der Informations- und Kommunikationstechnologie (IKT) in allen Finanzsektoren zu konsolidieren und zu erhöhen. Dieses Rahmenwerk stellt sicher, dass alle Teilnehmer einen gemeinsamen Satz von IKT-Risikostandards einhalten, und schafft so eine einheitliche und robuste Verteidigung gegen potenzielle Störungen.
Die Hauptziele von DORA konzentrieren sich auf Risikomanagement, Berichterstattung über Vorfälle, Resilienztests, Management von Risiken im Zusammenhang mit Dritten und Informationsaustausch. Diese Anforderungen legen Finanzinstitute sowie wesentliche externe Anbieter, wie Cloud-Service-Provider (CSPs), auf bestimmte Prozesse und Verfahren fest.
Hauptanforderungen
Unternehmen, die DORA unterliegen, müssen fünf grundlegende Anforderungen erfüllen:
- Vorfallreaktionsplan: Unternehmen müssen einen detaillierten Vorfallreaktionsplan erstellen, in dem Cyberangriffe definiert sind, geeignete Mitarbeiterreaktionen und die Verfahren zur Wiederherstellung der Betriebsabläufe nach einer Sicherheitsverletzung.
- Cybersicherheitsprogramm: Die Einführung eines umfassenden Cybersicherheitsprogramms wird vorgeschrieben, einschließlich einer Bewertung von Bedrohungen im Zusammenhang mit Cyberangriffen und entsprechenden Plänen zur Begrenzung dieser Bedrohungen.
- Sicherheitskontrollen: Unternehmen müssen solide Sicherheitskontrollen über ihre digitale Infrastruktur aufrechterhalten, einschließlich Verschlüsselung, Authentifizierung, Zugriffskontrolle, Audit-Protokolle, Überwachungssysteme, Vorfallsverwaltungssysteme.
- Vorfallsberichte: Eine zeitnahe Berichterstattung von Vorfällen wird gefordert, die es den Aufsichtsbehörden ermöglicht, die Anfälligkeit zu bewerten und Empfehlungen zur Verbesserung der Sicherheitslage zu geben.
- Dienstleistungskontinuität: Die Festlegung eines Plans zur Gewährleistung der Dienstleistungskontinuität bei Störungen ist notwendig, um die Vorschriften einzuhalten.
Die von DORA festgelegten Aufsichtsrahmen verpflichten die EU-Regulierungsinstanzen zur Überprüfung und Bewertung der Kontrollen von Unternehmen, um die Einhaltung der von DORA festgelegten Standards und die Fähigkeit zur Aufrechterhaltung einer sicheren und widerstandsfähigen Umgebung zur Verwaltung von Finanzdaten zu gewährleisten.
Es ist zu beachten, dass der Einfluss von DORA nicht auf die EU begrenzt ist, da Regulierungsbehörden, einschließlich der US-amerikanischen Securities and Exchange Commission (SEC), parallele Vorschläge eingeführt haben. In Reaktion auf diese Änderungen passen sich Unternehmen wie SS&C Advent aktiv an die Anforderungen von DORA an und unterstreichen die Bedeutung von Sicherheit, Konformität und Resilienz in der heutigen ständig entwickelnden digitalen Landschaft.
Welche Organisationen fallen unter DORA?
- Kreditinstitute;
- Zahlungsinstitute;
- Dienstleister für Kontoinformationen;
- Institutionen für elektronisches Geld;
- Finanzdienstleistungsinstitute;
- Externe Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT); und Dienstleister für Krypto-Assets, die gemäß der Verordnung des Europäischen Parlaments und des Rates über die Märkte für Krypto-Assets und Asset-Backed-Token-Emitter zugelassen sind.
- Handelszentren;
- Handelsregister;
- Manager von alternativen Investmentfonds;
- Verwaltungsgesellschaften;
- Datenanbieter für die Finanzberichterstattung;
- Crowdfunding-Dienstleister;
- Verbriefungsregister;
- Zentralverwahrer;
- Versicherungs- und Rückversicherungsunternehmen;
- Versicherungsmakler, Rückversicherungsmakler und Hilfsversicherungsmakler;
- Institutionen für betriebliche Altersversorgungspläne;
- Ratingagenturen;
- Manager von kritischen Benchmarkwerten;
DORA verlangt von Finanzorganisationen, dass sie die von den Anbietern erzeugten Risiken überwachen und verwalten, mit denen sie zusammenarbeiten. Dies betrifft sowohl Einzelpersonen als auch Organisationen, die Dienstleistungen für diese Finanzunternehmen erbringen – sie müssen die DORA-Regeln einhalten.
Es sollte jedoch beachtet werden, dass DORA nicht für alle Unternehmen im Finanzsektor gilt. Einige von ihnen sind ausgenommen, wie z. B. Organisationen, die Rentenpläne für weniger als 15 Personen verwalten, kleine Unternehmen wie Versicherungsmakler und einige andere Organisationen. Die vollständige Liste finden Sie in Artikel 2.3.
Zeitplan zur Erfüllung der DORA-Anforderungen
DORA wurde offiziell am 16. Januar 2023 genehmigt und Finanzinstitutionen haben zwei Jahre Zeit, sich darauf vorzubereiten. Dies bedeutet, dass sie bis zum 17. Januar 2025 die DORA-Regeln einhalten müssen. Obwohl es scheinen mag, dass es viel Zeit gibt, lohnt es sich für Finanzunternehmen, jetzt mit der Implementierung der neuen Regeln zu beginnen. Sie müssen nicht bis zur letzten Minute warten – sie können anfangen, Änderungen vorzunehmen, um die Anforderungen zu erfüllen.
Wie können wir helfen?
Bei Z3X verstehen wir die Herausforderungen, denen Unternehmen gegenüberstehen, wenn sie sich an die Bestimmungen des Digital Operational Resilience Act (DORA) anpassen. Mit unserem Wissen über regulatorische Rahmenbedingungen sind wir hier, um Ihr Unternehmen bei der Einhaltung der DORA-Anforderungen zu unterstützen.
Unsere maßgeschneiderten Lösungen sind darauf ausgelegt, Finanzinstituten bei der Umsetzung der von DORA vorgeschriebenen Maßnahmen zu helfen. Von der Entwicklung umfassender Risikomanagementstrukturen bis hin zur Etablierung solider Notfallreaktionspläne verfügt unser Team bei Z3X über die richtigen Werkzeuge, um Ihr Unternehmen durch den gesamten Prozess zu führen.
Wir bieten einen proaktiven Ansatz und helfen Ihrer Organisation, der Konkurrenz einen Schritt voraus zu sein, indem wir den Umsetzungsprozess frühzeitig beginnen. Mit unserem Wissen und unserer Erfahrung können Sie die Annahme der DORA-Vorschriften vereinfachen und eine reibungslose Transition gewährleisten und Störungen im Betrieb minimieren.
Arbeiten Sie mit Z3X zusammen, um nicht nur die regulatorischen Anforderungen zu erfüllen, sondern auch die allgemeine Belastbarkeit und Sicherheit Ihres Unternehmens in einer sich verändernden digitalen Umgebung zu erhöhen. Unser Ziel ist es, praktikable Lösungen zu liefern, die auf die spezifischen Bedürfnisse Ihrer Organisation zugeschnitten sind, um eine effektive und effiziente Reise zur DORA-Konformität zu gewährleisten. Lassen Sie Z3X Ihr vertrauenswürdiger Partner sein, um mit der Komplexität der Regulierungsvorschriften umzugehen und die Zukunft Ihres Unternehmens zu sichern.
Die vollständige DORA-Verordnung finden Sie hier.
—
Wenn Sie diesen Artikel lieber in Englisch lesen möchten, finden Sie ihn hier: Was ist DORA und was bedeutet es für Ihr Unternehmen?