Umsetzung der Regelungen des Digital Operational Resilience Act (DORA)
August 2024
Als Teil der kritischen Infrastruktur und mit seinem hohen Digitalisierungsgrad ist das Finanzwesen prädestiniert für Cyberangriffe. Aus diesem Grund hat die Europäische Union die Verordnung 2022/2554 verabschiedet: Der „Digital Operational Resilience Act“ – kurz: DORA – soll die Cybersicherheit und operationelle Widerstandsfähigkeit im Finanzsektor der EU verbessern. In unserem Whitepaper zum Thema informieren wir darüber, welche neuen und erweiterten Anforderungen DORA für die betroffenen Organisationen mit sich bringt und zeigen entsprechende Lösungen auf.
Einheitlicher Rahmen für EU-Unternehmen
DORA richtet sich an eine Vielzahl von Akteuren im Finanzsektor, zum Beispiel Banken, Zahlungsdienstleister, Versicherungsunternehmen, Investmentfirmen, Krypto-Dienstleister und mehr. Die Verordnung ist bereits am 17. Januar 2023 offiziell in Kraft getreten, verpflichtend anzuwenden ist sie allerdings erst ab dem 17. Januar 2025. Dennoch sollten betroffene Unternehmen schnellstmöglich handeln. Denn um einen einheitlichen regulatorischen Rahmen zu schaffen und EU-weit die Resilienz des Finanzsektors sicherzustellen, sieht DORA eine Reihe von Maßnahmen vor. Die Pflichten betroffener Unternehmen umfassen unter anderem:
- Umfassende Strategien zum Bewerten und Managen von Risiken
- Prozesse zur Identifizierung und Behebung von Cyber-Security-Vorfällen
- Meldepflichten für Cyber-Security--Vorfälle an nationale Aufsichtsbehörden
- Penetrationstests und Schwachstellenmanagement zur Resilienzbewertung
- Überwachung und Steuerung von Risiken externer Dienstleister
- Erstellung von Notfallplänen zur Vorbereitung auf Ausfälle der IT
STRENGE AUFSICHT
Strenge Aufsicht soll Einhaltung sicherstellen
Um die Einhaltung der DORA-Vorschriften zu überwachen und durchzusetzen, erhalten Aufsichtsbehörden erweiterte Befugnisse. Zuständig sind in Deutschland die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und das BSI (Bundesamt für Sicherheit in der Informationstechnik), EU-weit die Europäische Bankenaufsichtsbehörde (EBA, European Banking Authority), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA, European Securities and Markets Authority) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA, European Insurance and Occupational Pensions Authority).
Anforderungen werden zur Herausforderung
Verstöße gegen DORA und vernachlässigte Pflichten können erhebliche Geldbußen zur Folge haben. Zwar decken sich Anforderungen der Verordnung teils mit Vorgaben der NIS2-Richtlinie und des IT-Sicherheitsstandards ISO 27001. In Anbetracht des Ungleichgewichts aus kurzer Zeitspanne und tiefgreifenden Veränderungen stellt DORA dennoch für viele Unternehmen eine Herausforderung dar.
INHALT WHITEPAPER
Die Inhalte des Whitepapers im Überblick
In unserem Whitepaper zum Thema DORA erfahren Sie alle wichtigen Details zu den Voraussetzungen und Anforderungen sowie unsere Lösungen zur Umsetzung der Umsetzung der Anforderungen.
- Allgemeine Informationen zur DORA Verordnung
- Zeitliche Einordnung
- Wesentliche Neuerungen
- Anwendungsbereich der DORA
- Welche Anforderungen stellt DORA?
- Aufsichtsbehörden
- Passende r-tec Services