16 Januar 2024
In einer zunehmend digitalisierten Welt sehen sich Finanzunternehmen mit einer wachsenden Anzahl von Risiken der Informations- und Kommunikationstechnologie (ICT) konfrontiert. Um diese Herausforderungen zu bewältigen, hat die Europäische Union die DORA-Verordnung (Digital Operational Resilience Act) eingeführt. DORA zielt darauf ab, einen robusten und umfassenden IKT-Risikomanagementrahmen zu schaffen, um die Sicherheit, Stabilität und Kontinuität von Finanzdienstleistungen zu gewährleisten. In diesem Blog befassen wir uns mit den wichtigsten Komponenten von DORA und seiner Bedeutung für den Finanzsektor.
Der Digital Operational Resilience Act beschreibt einen breiten und weitreichenden Rahmen, der sich mit verschiedenen ICT-Risiken befasst, denen Finanzunternehmen ausgesetzt sind. Die Verordnung umfasst eine breite Palette von Aspekten, darunter ICT-Risikomanagement, Sicherungsrichtlinien, Erkennungsmechanismen, Reaktions- und Wiederherstellungsverfahren, Kommunikationsstrategien und mehr.
Das Herzstück der DORA ist der Rahmen für das ICT-Risikomanagement. Die Finanzinstitute sind verpflichtet, ein solides, umfassendes und gut dokumentiertes Konzept für den effizienten Umgang mit ICT-Risiken zu entwickeln. Dieser Rahmen soll sowohl Informationen als auch ICT-Vermögenswerte, einschließlich Computersoftware, Hardware und sensibler Infrastrukturen, vor unbefugtem Zugriff, Beschädigung und Nutzung schützen.
Zuständigkeit für: Geschäftsleitung, Chief Information Officer (CIO), Chief Technology Officer (CTO), IT-Sicherheitsteam, Risikomanagementteam
Die Finanzunternehmen müssen ICT-Systeme, -Protokolle und -Werkzeuge einsetzen und auf dem neuesten Stand halten, die dem Umfang ihrer Geschäftstätigkeit entsprechen. Diese Systeme müssen zuverlässig, in der Lage sein, Daten genau und unverzüglich zu verarbeiten, und technologisch widerstandsfähig sein, um mit widrigen Situationen umgehen zu können.
Zuständigkeit für: IT-Abteilung
Um anomale Aktivitäten und potenzielle Bedrohungen sofort zu erkennen, müssen Finanzunternehmen alle ICT-gestützten Geschäftsfunktionen, Informationswerte und Abhängigkeiten identifizieren und klassifizieren. Die Erkennungsmechanismen müssen mehrere Kontrollebenen ermöglichen, Warnschwellen definieren und Prozesse zur Reaktion auf Vorfälle auslösen.
Zuständigkeit für: IT-Sicherheitsteam, Incident Response Team, IT-Betriebsteam
DORA schreibt die Umsetzung von ICT-Business-Continuity-Strategien sowie Reaktions- und Wiederherstellungsverfahren vor, um die Kontinuität kritischer Funktionen zu gewährleisten. Diese Maßnahmen umfassen Sicherungs- und Wiederherstellungsmethoden sowie eine sichere Datenverwaltung.
Verantwortung für: Business Continuity Manager, Incident Response Team, IT Operations Team
Finanzunternehmen müssen über Krisenkommunikationspläne verfügen, um Kunden, Geschäftspartnern und der Öffentlichkeit größere ICT-bezogene Vorfälle verantwortungsbewusst mitzuteilen. Sie müssen auch interne und externe Kommunikationsrichtlinien aufstellen, die sicherstellen, dass Mitarbeiter und Interessengruppen rechtzeitig und relevant informiert werden.
Zuständigkeit für: Krisenkommunikationsteam, Team für Öffentlichkeitsarbeit (PR), leitende Angestellte
Eine Lernkultur ist für ein wirksames Management von IKT-Risiken unerlässlich. Finanzunternehmen müssen Informationen über Schwachstellen sammeln, Cyber-Bedrohungen und -Vorfälle analysieren und nach einem Vorfall Überprüfungen durchführen , um Verbesserungen zu erzielen.
Verantwortung für: Incident Response Team, Risikomanagement-Team
Bestimmte kleine und nicht vernetzte Finanzunternehmen sind von den umfassenden DORA-Anforderungen ausgenommen. Stattdessen folgen sie einem vereinfachten ICT-Risikomanagement-Rahmen, der auf ihre Bedürfnisse zugeschnitten ist und den Schwerpunkt auf ein schnelles und effizientes Risikomanagement bei gleichzeitiger Aufrechterhaltung der Systemsicherheit und -festigkeit legt. Bestimmte kleine und nicht vernetzte Finanz unternehmen sind von den umfassenden DORA-Anforderungen ausgenommen. Stattdessen folgen sie einem vereinfachten ICT-Risikomanagement-Rahmen, der auf ihre Bedürfnisse zugeschnitten ist und den Schwerpunkt auf ein schnelles und effizientes Risikomanagement bei gleichzeitiger Wahrung der Sicherheit und Widerstandsfähigkeit des Systems legt.
Die DORA-Verordnung ist ein bedeutender Schritt nach vorn bei der Sicherung der digitalen Landschaft für Finanzunternehmen. Durch die Einführung eines umfassenden ICT-Risikomanagementrahmens können Organisationen ihre Abläufe sichern, sensible Daten schützen und die Kontinuität kritischer Funktionen gewährleisten. Der vereinfachte Rahmen für berechtigte Unternehmen fördert auch die Anpassungsfähigkeit und Widerstandsfähigkeit und ermöglicht es ihnen, sich in der digitalen Welt sicher zu bewegen. Durch gemeinsame Anstrengungen und kontinuierliches Lernen kann der Finanzsektor DORA als Katalysator für eine stärkere digitale operative Widerstandsfähigkeit nutzen.
16 Januar 2024
23 Januar 2024
11 Oktober 2023
What are the differences between NIS2 and DORA? What are the requirements? Learn more in this blog.