Was ist DORA?
DORA, kurz für Digital Operational Resilience Act, ist eine Verordnung des Europäischen Parlaments für den Finanzsektor und tritt ab Januar 2025 in Kraft. Sie befasst sich mit den Themen Cybersicherheit, IKT-Risiken (Informations- und Kommunikationstechnologie) sowie digitaler operativer Widerstandsfähigkeit und betrifft den Europäischen Wirtschaftsraum (EWR). Der EWR umfasst die Europäische Union (EU, blau) und die Europäische Freihandelsassoziation (EFTA, grün).
Unterliegt mein Unternehmen der DORA Verordnung?
Die DORA-Verordnung gilt für fast alle Unternehmen des Finanzsektors, wie z. B.
- Kreditinstitute
- Krypto-Asset-Dienstleister
- Handelsplattformen
- Crowdfunding-Dienstleister
- IKT-Drittdienstleister
Eine vollständige Liste aller einbezogenen und ausgeschlossenen Unternehmen finden Sie in DORA, Artikel 2 (S.81).
Was sind die Ziele?
Mit der fortschreitenden Digitalisierung steigen die Risiken von Cyberangriffen und deren Folgen, weshalb DORA darauf ausgerichtet ist, die Assets der Unternehmen zu schützen und den Schaden zu minimieren. Daher wurden die folgenden Hauptziele definiert:
- Standardisierung der nationalen IT-Sicherheitsvorschriften
- Stärkung des europäischen Finanzmarktes gegen Cyberangriffe
- Schutz der IKT-Dienste
- Sicherstellung der digitalen operativen Widerstandsfähigkeit
Das Hauptaugenmerk liegt dabei auf der digitalen operativen Widerstandsfähigkeit, also der Fähigkeit einer Organisation, den Geschäftsbetrieb im Falle von Störungen aufrechtzuerhalten. Dies soll in sechs verschiedenen Sektoren realisiert werden:
IKT-Risikomanagement
In diesem Bereich will DORA die Anforderungen für den gesamten Finanzsektor vereinheitlichen, damit die Funktionsfähigkeit von Finanzunternehmen erhalten bleibt oder gegebenenfalls schnell wiederhergestellt werden kann.
DORA etabliert einen umfassenden und
gut dokumentierten internen Verwaltungs- und Kontrollrahmen, der ein angemessenes IKT-Risikomanagement sicherstellt und die folgenden Punkte beinhaltet:
- Erkennung und Identifizierung
- Schutz und Prävention
- Gegenmaßnahmen und Wiederherstellung
Incident Response
Ein Finanzunternehmen ist verpflichtet, ein Managementverfahren einzuführen, das die folgenden Aspekte abdeckt:
- Angemessener Umgang mit IKT-bezogenen Vorfällen
- Überwachung und Protokollierung von IKT-bezogenen Vorfällen
- Klassifizierung von IKT-Vorfällen
- Meldung von IKT-bedingten Vorfällen
Vorfälle, die als schwerwiegend eingestuft werden, müssen der zuständigen Behörde gemeldet werden. Welche Behörde für Ihr Unternehmen zuständig ist, erfahren Sie in DORA, Artikel 46 (S.220).
Testen
Ein Finanzunternehmen ist verpflichtet, ein risikobasiertes Testverfahren für IKTs einzuführen. Dazu gehören Tests wie:
- Pentests
- Netzwerk- und physische Sicherheitstests
- Szenariobasierte Tests
- Schwachstellenbewertungen und Scans
Damit wird festgestellt, ob oder wie gut ein Unternehmen auf einen IKT-Vorfall vorbereitet ist, und es wird ein Überblick über potenzielle Schwachstellen gegeben.
Management des IKT-Drittparteirisikos
Auch die potenziellen Risiken von IKT-Dienstleistungen mit IKT-Drittdienstleistern müssen bewertet und überwacht werden. Mit Hilfe einer Risikoanalyse kann das Finanzunternehmen einschätzen, inwieweit es von der dritten Partei abhängig ist und welche Risiken auftreten könnten.
Darüber hinaus muss es eine Ausstiegsstrategie für kritische Funktionen geben, um die operative Ausfallsicherheit zu gewährleisten.
Überwachungsrahmen für kritische IKT-Drittdienstleister
DORA gilt auch für Drittdienstleister, die somit ebenfalls zur Einhaltung der Vorschriften verpflichtet sind.
Die zuständige Aufsichtsbehörde überwacht, ob der Drittdienstleister die Anforderungen an das IKT-Risikomanagement einhält.
Die Behörde spricht auch Empfehlungen aus, die von den Dienstleistern umgesetzt werden sollen. Erfüllt der Drittanbieter die grundlegenden Anforderungen nicht, kann die Behörde die Finanzunternehmen auffordern, die Nutzung des Dienstleisters auszusetzen oder sogar vollständig zu beenden.
Austausch von Informationen
DORA fördert den sektorübergreifenden Austausch von Informationen und Wissen über aufgetretene Bedrohungen. Dies hilft den Aufsichtsbehörden bei der Entwicklung von Krisenmanagement- und Notfallübungen mit Szenarien für Cyberangriffe.
Wie kann smarterSec Ihre Organisation unterstützen?
Als Managed Security Service Provider für SAP® sind wir in der Lage, die digitale Widerstandsfähigkeit Ihrer SAP®-Systeme zu gewährleisten, um die Anforderungen von DORA zu erfüllen.
IKT-Risikomanagement
Die smarterSec Security Platform (SSP) überwacht sicherheitsrelevante Aktivitäten in Ihrer SAP®-Systemlandschaft. Dabei erkennt und identifiziert die SSP potenzielle Bedrohungen und gibt Ihnen Handlungsanweisungen zur Risikominimierung.
Incident Response
Um Ihre SAP®-Assets vor Cyberangriffen zu schützen, bietet smarterSec einen umfassenden Managed Security Service für den Betrieb von SAP® Enterprise Threat Detection(ETD) an.
Testen
Unser SAP® Security Risk Assessment ist eine schnelle und einfache Möglichkeit, das aktuelle Sicherheits- und Compliance-Niveau eines Ihrer SAP®-Systeme effizient zu analysieren und von unseren erfahrenen SAP®-Sicherheits- & Compliance-Experten bewerten zu lassen.
Management des IKT-Drittparteirisikos
Der SAP® Security & Compliance Audit liefert Ihnen einen detaillierten Überblick über das Sicherheits- und Compliance-Niveau in Ihrer SAP®-Landschaft. Jedes Audit ist kundenspezifisch konzipiert und der genaue Aufwand ist abhängig vom detaillierten Umfang.
Weitere Informationen
Um das vollständige DORA-Dokument herunterzuladen, folgen Sie bitte diesem Link. Weitere Informationen finden Sie auch auf der offiziellen EU-Website EIOPA (European Insurance and Occupational Pensions Authority) oder bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).