Select your country

Not finding what you are looking for, select your country from our regional selector:

Suche

Der ICT-Risikorahmen von DORA: Wer ist für was verantwortlich?

In einer zunehmend digitalisierten Welt sehen sich Finanzunternehmen mit einer wachsenden Anzahl von Risiken der Informations- und Kommunikationstechnologie (ICT) konfrontiert. Um diese Herausforderungen zu bewältigen, hat die Europäische Union die DORA-Verordnung (Digital Operational Resilience Act) eingeführt. DORA zielt darauf ab, einen robusten und umfassenden IKT-Risikomanagementrahmen zu schaffen, um die Sicherheit, Stabilität und Kontinuität von Finanzdienstleistungen zu gewährleisten. In diesem Blog befassen wir uns mit den wichtigsten Komponenten von DORA und seiner Bedeutung für den Finanzsektor.

Die DORA-Verordnung verstehen

Der Digital Operational Resilience Act beschreibt einen breiten und weitreichenden Rahmen, der sich mit verschiedenen ICT-Risiken befasst, denen Finanzunternehmen ausgesetzt sind. Die Verordnung umfasst eine breite Palette von Aspekten, darunter ICT-Risikomanagement, Sicherungsrichtlinien, Erkennungsmechanismen, Reaktions- und Wiederherstellungsverfahren, Kommunikationsstrategien und mehr.

1. ICT-Risikomanagement-Rahmen

Das Herzstück der DORA ist der Rahmen für das ICT-Risikomanagement. Die Finanzinstitute sind verpflichtet, ein solides, umfassendes und gut dokumentiertes Konzept für den effizienten Umgang mit ICT-Risiken zu entwickeln. Dieser Rahmen soll sowohl Informationen als auch ICT-Vermögenswerte, einschließlich Computersoftware, Hardware und sensibler Infrastrukturen, vor unbefugtem Zugriff, Beschädigung und Nutzung schützen.

Zuständigkeit für: Geschäftsleitung, Chief Information Officer (CIO), Chief Technology Officer (CTO), IT-Sicherheitsteam, Risikomanagementteam

2. ICT-Systeme, Protokolle und Werkzeuge

Die Finanzunternehmen müssen ICT-Systeme, -Protokolle und -Werkzeuge einsetzen und auf dem neuesten Stand halten, die dem Umfang ihrer Geschäftstätigkeit entsprechen. Diese Systeme müssen zuverlässig, in der Lage sein, Daten genau und unverzüglich zu verarbeiten, und technologisch widerstandsfähig sein, um mit widrigen Situationen umgehen zu können.

Zuständigkeit für: IT-Abteilung

3. Identifizierung und Aufdeckung

Um anomale Aktivitäten und potenzielle Bedrohungen sofort zu erkennen, müssen Finanzunternehmen alle ICT-gestützten Geschäftsfunktionen, Informationswerte und Abhängigkeiten identifizieren und klassifizieren. Die Erkennungsmechanismen müssen mehrere Kontrollebenen ermöglichen, Warnschwellen definieren und Prozesse zur Reaktion auf Vorfälle auslösen.

Zuständigkeit für: IT-Sicherheitsteam, Incident Response Team, IT-Betriebsteam

4. Reaktion und Wiederherstellung

DORA schreibt die Umsetzung von ICT-Business-Continuity-Strategien sowie Reaktions- und Wiederherstellungsverfahren vor, um die Kontinuität kritischer Funktionen zu gewährleisten. Diese Maßnahmen umfassen Sicherungs- und Wiederherstellungsmethoden sowie eine sichere Datenverwaltung.

Verantwortung für: Business Continuity Manager, Incident Response Team, IT Operations Team

5. Kommunikation

Finanzunternehmen müssen über Krisenkommunikationspläne verfügen, um Kunden, Geschäftspartnern und der Öffentlichkeit größere ICT-bezogene Vorfälle verantwortungsbewusst mitzuteilen. Sie müssen auch interne und externe Kommunikationsrichtlinien aufstellen, die sicherstellen, dass Mitarbeiter und Interessengruppen rechtzeitig und relevant informiert werden.

Zuständigkeit für: Krisenkommunikationsteam, Team für Öffentlichkeitsarbeit (PR), leitende Angestellte

6. Lernen und sich weiterentwickeln

Eine Lernkultur ist für ein wirksames Management von IKT-Risiken unerlässlich. Finanzunternehmen müssen Informationen über Schwachstellen sammeln, Cyber-Bedrohungen und -Vorfälle analysieren und nach einem Vorfall Überprüfungen durchführen , um Verbesserungen zu erzielen.

Verantwortung für: Incident Response Team, Risikomanagement-Team

7. Vereinfachter Rahmen für förderfähige Einrichtungen

Bestimmte kleine und nicht vernetzte Finanzunternehmen sind von den umfassenden DORA-Anforderungen ausgenommen. Stattdessen folgen sie einem vereinfachten ICT-Risikomanagement-Rahmen, der auf ihre Bedürfnisse zugeschnitten ist und den Schwerpunkt auf ein schnelles und effizientes Risikomanagement bei gleichzeitiger Aufrechterhaltung der Systemsicherheit und -festigkeit legt. Bestimmte kleine und nicht vernetzte Finanz unternehmen sind von den umfassenden DORA-Anforderungen ausgenommen. Stattdessen folgen sie einem vereinfachten ICT-Risikomanagement-Rahmen, der auf ihre Bedürfnisse zugeschnitten ist und den Schwerpunkt auf ein schnelles und effizientes Risikomanagement bei gleichzeitiger Wahrung der Sicherheit und Widerstandsfähigkeit des Systems legt.

Schlussfolgerung

Die DORA-Verordnung ist ein bedeutender Schritt nach vorn bei der Sicherung der digitalen Landschaft für Finanzunternehmen. Durch die Einführung eines umfassenden ICT-Risikomanagementrahmens können Organisationen ihre Abläufe sichern, sensible Daten schützen und die Kontinuität kritischer Funktionen gewährleisten. Der vereinfachte Rahmen für berechtigte Unternehmen fördert auch die Anpassungsfähigkeit und Widerstandsfähigkeit und ermöglicht es ihnen, sich in der digitalen Welt sicher zu bewegen. Durch gemeinsame Anstrengungen und kontinuierliches Lernen kann der Finanzsektor DORA als Katalysator für eine stärkere digitale operative Widerstandsfähigkeit nutzen.

Benötigen Sie Beratung zur DORA-Verordnung?

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.