Was ist Dora? Digital Operational Resilience Act für Finanzdienstleistungen
von
Zuletzt aktualisiert: 4 Lesezeit: 4 Minuten
Verabschiedet: November 2022
In Kraft getreten: 16. Januar 2023
Gilt ab: 17. Januar 2025 (Datum der vollständigen Einhaltung)
Das Gesetz über die digitale operative Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) ist eine verbindliche EU-Verordnung, die darauf abzielt, die digitale operative Widerstandsfähigkeit des Finanzsektors zu stärken. DORA ersetzt nicht die bestehenden Finanzvorschriften, sondern ergänzt diese durch die Schaffung eines einheitlichen Rahmens für das Management von IKT- und operativen Risiken in Finanzinstituten und bei ihren kritischen Technologieanbietern.
Ab dem 17. Januar 2025 müssen alle betroffenen Finanzunternehmen und relevanten IKT-Drittanbieter, die innerhalb der EU tätig sind, die Anforderungen der DORA erfüllen.
Das Ziel von DORA ist es, sicherzustellen, dass Organisationen Störungen im Zusammenhang mit IKT, einschließlich Cyberangriffen, verhindern, ihnen standhalten, darauf reagieren und sich davon erholen können, während gleichzeitig die Kontinuität kritischer Finanzdienstleistungen aufrechterhalten wird.
Ansicht: Deloittes neue Regeln für die Einhaltung der DORA-Vorschriften
Wichtigste Erkenntnisse
- DORA ist eine verabschiedete EU-Rechtsvorschrift, kein Vorschlag, deren Einhaltung ab dem 17. Januar 2025 verpflichtend ist.
- Es gilt für EU-Finanzinstitute und die sie unterstützenden IKT-Dienstleister.
- DORA basiert auf fünf obligatorischen Säulen, die IKT-Risiken, Vorfallbearbeitung, Tests und die Überwachung durch Dritte abdecken.
- Organisationen müssen strukturierte Fähigkeiten zum IKT-Risikomanagement und zur Reaktion auf Vorfälle aufbauen.
- Schwerwiegende IKT-Vorfälle müssen innerhalb strenger gesetzlicher Fristen klassifiziert und gemeldet werden.
- Die Aufsicht über kritische IKT-Drittanbieter (CTPPs) wird von den Europäischen Aufsichtsbehörden (ESAs) wahrgenommen.
Was bedeutet das Gesetz zur digitalen Betriebsstabilität (DORA) für Ihr Unternehmen?
DORA führt wesentliche Änderungen hinsichtlich der Art und Weise ein, wie Finanzinstitute ihre digitale und operative Widerstandsfähigkeit verwalten. Gemäß der Verordnung müssen Organisationen ein umfassendes Rahmenwerk für das IKT-Risikomanagement implementieren, das definierte Richtlinien, Verfahren, Kontrollen und Governance-Mechanismen umfasst.
Finanzinstitute sind verpflichtet, dokumentierte Notfallpläne und Wiederherstellungspläne zu führen, in denen detailliert beschrieben ist, wie sie Störungen der IKT, einschließlich Cybervorfällen wie Phishing-Angriffen, Ransomware oder Dienstausfällen, erkennen, darauf reagieren und diese beheben.
Darüber hinaus fallen auch externe IKT-Dienstleister, die Finanzinstitute unterstützen, in den Geltungsbereich der DORA und unterliegen strengeren Verpflichtungen in Bezug auf Verträge, Überwachung und Risikomanagement.
Vereinfachen Sie Dora mit PowerDMARC!
Geltungsbereich und Anwendbarkeit von DORA
DORA gilt für:
- Finanzinstitute, die innerhalb der EU tätig sind (einschließlich Banken, Versicherungen, Wertpapierfirmen, Fintech-Unternehmen und Zahlungsinstitute)
- ICT-Drittanbieter, die diese Finanzinstitute unterstützen
Als kritisch eingestufte IKT-Anbieter unterliegen der direkten Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs), um sicherzustellen, dass ihre Widerstandsfähigkeit und Risikokontrollen den DORA-Standards entsprechen.
DORA bietet keine freiwillige Zertifizierung für Organisationen außerhalb dieses Geltungsbereichs an. Nichtfinanzielle Organisationen können ähnliche bewährte Verfahren anwenden, aber sie können gemäß der Verordnung nicht als „DORA-konform“ angesehen werden.
Kernanforderungen gemäß DORA
DORA basiert auf fünf obligatorischen Säulen:
für das IKT-Risikomanagement Einführung von Governance, Richtlinien, Kontrollen und Verfahren zum Management von IKT-Risiken
Meldung von Vorfällen im Zusammenhang mit IKT
Klassifizierung schwerwiegender Vorfälle und Meldepflicht gegenüber Aufsichtsbehörden innerhalb festgelegter Fristen
(einschließlich einer ersten Meldung innerhalb weniger Stunden, gefolgt von Aktualisierungen und einem Abschlussbericht)
Digitale Tests zur Überprüfung der Betriebsstabilität
Regelmäßige Tests von Systemen, Prozessen und Kontrollen zur Identifizierung von Schwachstellen
ICT-Risikomanagement durch Dritte
Management von Risiken, die sich aus ausgelagerten ICT-Dienstleistungen ergeben, durch Verträge, Überwachung und Ausstiegsstrategien
Informationsaustausch-
Förderung des freiwilligen Austauschs von Informationen über Cyber-Bedrohungen innerhalb des Finanzsektors
Diese Maßnahmen sollen sicherstellen, dass sowohl Finanzinstitute als auch ihre IKT-Partner auch bei schwerwiegenden digitalen Störungen sicher arbeiten können.
Erfüllung der DORA-Vorschriften
Um die DORA-Anforderungen zu erfüllen, sollten Organisationen ein klar definiertes Programm für IKT-Risiken und Resilienz implementieren, das in der Regel Folgendes umfasst:
- Laufende Risikobewertungen und Schwachstellentests
- Verfahren zur Erkennung, Klassifizierung und Reaktion auf Vorfälle
- Geschäftskontinuität und Notfallwiederherstellungsplanung
- Mitarbeiterbewusstsein und Schulungsprogramme
- Überwachung von IKT-Lieferanten und Subunternehmern
Ein dokumentiertes und konsequent umgesetztes Rahmenwerk hilft Unternehmen dabei, Compliance nachzuweisen und Vertrauen innerhalb des Finanzökosystems aufzubauen.
Das DORA-Gesetz: Grundlegende Bedingungen und Ziele
DORA soll sicherstellen, dass der Finanzsektor der EU angesichts zunehmender digitaler Bedrohungen sicher, stabil und widerstandsfähig bleibt. Zu den wichtigsten regulatorischen Erwartungen gehören:
- Ein klar definierter Plan für die Reaktion auf und die Wiederherstellung nach IT-Vorfällen
- Kontinuierliche Bewertung und Minderung von IKT-Risiken
- Starke Sicherheitskontrollen über Netzwerke, Systeme und Infrastruktur hinweg
- Zeitnahe und strukturierte Meldung schwerwiegender IKT-Vorfälle an die Regulierungsbehörden
- Maßnahmen zur Gewährleistung der Kontinuität kritischer Dienste bei Störungen
Mit PowerDMARC der DORA-Konformität einen Schritt näher gekommen
Während Unternehmen ihre digitale Widerstandsfähigkeit als Reaktion auf DORA stärken, bleibt E-Mail ein kritischer Angriffsvektor, der im Rahmen einer umfassenderen IKT-Sicherheitsstrategie geschützt werden muss.
DORA schreibt zwar keine E-Mail-Authentifizierungsprotokolle ausdrücklich vor, verlangt jedoch von Unternehmen, ihre Netzwerke, Systeme und Kommunikationsinfrastruktur zu sichern. Die Implementierung strenger E-Mail-Sicherheitskontrollen steht im Einklang mit den übergeordneten Zielen von DORA hinsichtlich Risikominderung und Vorfallprävention.
PowerDMARC ist eine Multi-Tenant-SaaS-Plattform, die Unternehmen dabei hilft, die Sicherheit ihrer E-Mail-Kanäle durch eine Full-Stack-E-Mail-Authentifizierungssuite zu verbessern. Wir sind ISO 27001-, SOC 2 Typ II- und DSGVO-konform und arbeiten mit Finanzinstituten zusammen, um E-Mail-basierte Bedrohungen zu reduzieren und die Transparenz hinsichtlich Authentifizierungsrisiken zu verbessern.
Wir helfen Ihnen:
- Schützen Sie sich mit DMARC vor Spoofing und Identitätsdiebstahl.
- Reduzieren Sie Risiken durch Downgrade- und Interception-Angriffe mit MTA-STS.
- Verschaffen Sie sich durch DMARC-Berichte einen Überblick über die Ergebnisse der E-Mail-Authentifizierung.
- Vermeiden Sie SPF-Lookup-Fehler durch automatisierte SPF-Flattening
Kontaktieren Sie uns noch heute, um Ihre E-Mail-Sicherheit als Teil einer DORA-konformen IKT-Risikostrategie zu stärken.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
