Stellen Sie sich vor, ein großes Bankinstitut wird Opfer eines Cyberangriffs. Kundendaten werden gestohlen, und die IT-Systeme sind tagelang offline. Die Bank steht nicht nur vor einem finanziellen Desaster, sondern verliert auch das Vertrauen ihrer Kunden. Solche Szenarien sind realer denn je und verdeutlichen die Dringlichkeit robuster Sicherheitsmaßnahmen. Hier kommt die DORA ins Spiel: Die neue Verordnung zur digitalen operationalen Resilienz soll genau solche Vorfälle verhindern und die IT-Sicherheit im Finanzsektor auf ein neues Niveau heben.
Aber first things first: Was ist überhaupt die DORA?
Die Digital Operational Resilience Act (DORA) ist eine neue europäische Verordnung. Sie ist Teil der umfassenderen Strategie der EU zur Stärkung der digitalen Sicherheit und Resilienz im Finanzsektor. DORA zielt darauf ab, die Verwundbarkeit der Finanzinstitute gegenüber IT-Störungen und Cyberangriffen zu verringern und somit die Stabilität des gesamten Finanzsystems zu gewährleisten.
DORA hebt sich von anderen Vorschriften durch ihren spezifischen Fokus auf die digitale operationale Resilienz ab. Im Gegensatz zu allgemeinen IT-Sicherheitsgesetzen wie der NIS-2-Richtlinie, die für alle kritischen Infrastrukturen gilt, richtet sich DORA gezielt an den Finanzsektor. Sie legt detaillierte Mindeststandards für Cybersicherheit, Risikomanagement und Geschäftskontinuität fest.
Wer muss DORA umsetzen?
Die Verordnung gilt für eine Vielzahl von Akteuren im Finanzsektor, darunter:
- Kreditinstitute
- Zahlungsinstitute
- E-Geld-Institute
- Bestimmte Anbieter von Krypto-Dienstleistungen
- Emittenten von wertreferenzierten Token
- Versicherungs- und Rückversicherungsunternehmen
- IKT-Drittdienstleister
Kurz gesagt, alle Unternehmen, die im Finanzsektor tätig sind und deren IT-Systeme für die Finanzstabilität von Bedeutung sind, müssen die Anforderungen der DORA erfüllen.
Was ist zu tun?
- IT-Risikomanagement: Unternehmen müssen einen umfassenden IT-Risikomanagement-Rahmen etablieren. Dies umfasst:
- Die Schaffung eines internen Governance- und Kontrollrahmens für IKT-Risiken.
- Die Einsetzung einer unabhängigen Kontrollfunktion zur Überwachung des IKT-Risikos.
- Die Geschäftsleitung ist verantwortlich für das Management der IT-Risiken und muss regelmäßig Schulungen absolvieren, um ihre Kenntnisse zu aktualisieren.
- Integration in den Risikomanagementrahmen: Der IKT-Risikomanagement-Rahmen muss umfassende Strategien, Richtlinien und Verfahren beinhalten, um alle IT-Assets zu schützen. Dies schließt auch physische Komponenten wie Rechenzentren und sensible Bereiche ein.
- Interne Revision: Das IT-Risikomanagement muss regelmäßig durch interne Revisionen überprüft werden. Revisoren müssen über Kenntnisse in IT-Sicherheit verfügen.
- Technologischer Fortschritt: Finanzunternehmen müssen sicherstellen, dass ihre Technik auf dem neuesten Stand bleibt und regelmäßig getestet wird.
- Drittparteienrisikomanagement: Unternehmen müssen Risiken im Zusammenhang mit Drittanbietern verwalten. Verträge müssen Klauseln enthalten, die eine fortlaufende Überwachung der IT-Dienstleistungen ermöglichen.
- Business Continuity Management: Die Verrechtlichung des Business-Continuity-Managements erfordert eine umfassende Vorbereitung auf betriebliche Störungen, um die kontinuierliche Betriebsfähigkeit zu gewährleisten. Dazu gehört auch eine umfangreiche Teststrategie, die alle wesentlichen Bereiche abdeckt und für eine regelmäßige Durchführung von Tests sorgt. Die Ergebnisse aus den Tests müssen wiederum bewertet und ggfs. Abweichungen korrigiert werden.
Wann ist es so weit?
DORA wurde Ende 2022 veröffentlicht und muss ab dem 17. Januar 2025 von allen Finanzinstituten in den EU-Mitgliedstaaten angewendet werden. Das gibt den betroffenen Unternehmen Zeit, sich auf die neuen Anforderungen vorzubereiten und notwendige Maßnahmen zu ergreifen. Jedoch ist es empfehlenswert jetzt tätig zu werden, da die Umsetzungsfrist immer näher rückt.
Unternehmen, die die Anforderungen der DORA nicht erfüllen, laufen Gefahr, von den Aufsichtsbehörden untersucht und sanktioniert zu werden. Diese haben weitreichende Befugnisse, um die Einhaltung der Vorschriften zu überprüfen und gegebenenfalls Sanktionen zu verhängen.
Fazit
Die Einführung der DORA bringt erhebliche Änderungen für den Finanzsektor mit sich, insbesondere im Bereich der IT-Sicherheit und der operativen Widerstandsfähigkeit. Finanzinstitute müssen bis zur Umsetzungsfrist am 17. Januar 2025 umfassende Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden. Die rechtzeitige Vorbereitung und Implementierung sind entscheidend, um den gesetzlichen Anforderungen zu entsprechen und mögliche Risiken zu minimieren. Wenn Sie weitere Fragen haben oder Unterstützung benötigen, zögern Sie nicht, unsere Berater der IT-Security zu kontaktieren.
Autorin
Sophie Powierski
Sophie ist als Compliance-Beraterin bei der BREDEX tätig. Neben Daten- und Hinweisgeberschutz setzt sie sich mit neuen Gesetzen auseinander und versucht diese den Kunden oder eigenen Kollegen näherzubringen.
Jobs
Ihre Ansprechpartnerin
Gerne erzählen wir Ihnen mehr zu diesem Thema.