Der Digital Operational Resilience Act (DORA) ist ein Gesetzesvorschlag, der darauf abzielt, die Widerstandsfähigkeit gegen drohende Cyberangriffe im Finanzsektor zu verbessern, und der noch in Arbeit ist. Es ist wichtig zu wissen, dass dieses Gesetz die bestehenden Vorschriften nicht ersetzt, sondern sie vielmehr ergänzt, indem es einen Rahmen für das Management von Betriebsrisiken in einem digitalen Umfeld schafft. 

Das Ziel von DORA ist es, sicherzustellen, dass Finanzinstitute in der Lage sind, Cyberangriffen zu widerstehen, indem sie bewährte Praktiken wie Datenschutz und Notfallplanung anwenden. Das bedeutet, dass die Unternehmen einen Plan für den Fall eines Angriffs haben müssen, damit sie den Betrieb aufrechterhalten und sich von den Schäden erholen können, die durch einen Angriff entstanden sind.

Ansicht: Deloittes neue Regeln für die Einhaltung von DORA

Was bedeutet der Digital Operational Resilience Act (DORA) für Ihr Unternehmen?

Der Digital Operational Resilience Act (DORA) wird die Datensicherheitspraktiken von Finanzdienstleistern erheblich verändern. Gemäß DORA müssen alle Finanzinstitute ein Cybersicherheitsprogramm einführen, das Richtlinien, Verfahren und Risikomanagementaktivitäten umfasst. Diese Richtlinien müssen jährlich von einer dritten Finanzaufsichtsbehörde überprüft werden, die auf der Grundlage von Branchenstandards beurteilt, ob sie angemessen sind oder nicht. 

Die Finanzinstitute müssen auch einen Plan für die Reaktion auf Zwischenfälle einführen, der beschreibt, wie sie reagieren werden, wenn ein Cyberangriff erfolgt oder wenn es Anzeichen dafür gibt, dass ein solcher in naher Zukunft erfolgen könnte. Dieser Plan muss eine Strategie für den Umgang mit verschiedenen Arten von Angriffen (z. B. Phishing-Betrug) sowie Verfahren zur Wiederherstellung nach einem Angriff enthalten. 

DORA skizziert bestimmte Szenarien, in denen es anwendbar sein kann: 

So unterliegen beispielsweise alle Organisationen, die als Dienstleister direkt mit Finanzinstituten und Unternehmen zusammenarbeiten, zwingend der DORA und würden direkt von einer Finanzaufsichtsbehörde beaufsichtigt.

Damit soll festgestellt werden, ob die Sicherheitsprotokolle und -praktiken des Anbieters den von DORA vorgegebenen Standards entsprechen und ob sie in der Lage sind, eine risikofreie Umgebung für den Umgang mit sensiblen Finanzdaten zu schaffen.

Organisationen, die nicht direkt mit einem Finanzinstitut zusammenarbeiten, können sich freiwillig dafür entscheiden, die Einhaltung des DORA-Gesetzes durch einen unabhängigen Prüfer zu erreichen. 

Um die DORA-Vorschriften zu erfüllen, müssen Organisationen über einen gut definierten Sicherheits- und Risikomanagementplan verfügen. Dieser Plan sollte Maßnahmen wie regelmäßige Schwachstellenbewertungen, Reaktionspläne auf Vorfälle und Schulungsprogramme für Mitarbeiter umfassen. Ein umfassender Vorschlag, der diese Maßnahmen und ihre Umsetzung beschreibt, kann Organisationen helfen, die DORA-Konformität zu erreichen und sich als vertrauenswürdiger Dienstleister in der Finanzbranche zu etablieren.

Das DORA-Gesetz: Grundlegende Bedingungen und Ziele 

Das Digital Operational Resilience Act (DORA) gewährleistet die Fähigkeit des Finanzsektors, sicher und widerstandsfähig zu arbeiten. Das Gesetz hat die folgenden Hauptanforderungen:

1. Unternehmen müssen über einen Notfallplan verfügen, der detailliert beschreibt, was ein Cyberangriff ist, wie die Mitarbeiter reagieren sollten und wie der Betrieb im Falle eines Verstoßes wiederhergestellt wird.
2. Unternehmen müssen ein Cybersicherheitsprogramm unterhalten, das eine Bewertung der von Cyberangriffen ausgehenden Risiken und einen Aktionsplan zur Abschwächung dieser Risiken umfasst.
3. Unternehmen müssen angemessene Sicherheitskontrollen für ihre digitale Infrastruktur einrichten. Zu diesen Kontrollen gehören Verschlüsselung, Authentifizierung, Zugangskontrollen, Prüfpfade, Überwachungssysteme, Ereignisverwaltungssysteme und Pläne für die Reaktion auf Zwischenfälle.
4. Die Unternehmen müssen Vorfälle melden, wenn sie auftreten, damit die Aufsichtsbehörden ihre Schwachstellen bewerten und Empfehlungen zur Verbesserung ihrer Sicherheitslage abgeben können.
5. Die Unternehmen sollten über einen Plan verfügen, der die Kontinuität des Dienstes bei eventuellen Unterbrechungen gewährleistet.

Mit PowerDMARC der DORA-Konformität einen Schritt näher gekommen

Aufgrund des DORA-Gesetzes, das nicht nur digitale, Netzwerk- und Cloud-Sicherheit, sondern auch E-Mail-Sicherheit vorschreibt, müssen Unternehmen ihre Sicherheitsvorkehrungen verbessern. Da E-Mails die Grundlage der heutigen Kommunikation sind und die zentrale Kommunikationsplattform für die meisten Unternehmen bilden, ist die Sicherung Ihrer E-Mail-Infrastruktur entscheidend für die Einhaltung des DORA-Gesetzes. 

PowerDMARC ist eine mandantenfähige SaaS-Plattform, die Ihre E-Mail-Kanäle durch den Einsatz einer umfassenden E-Mail-Authentifizierungssuite absichert. Wir sind ISO 27001-, SOC Typ 2- und GDPR-konform und haben erfolgreich mit verschiedenen Finanzunternehmen zusammengearbeitet, um ihre E-Mail-Daten und Domänen vor Sicherheitsrisiken zu schützen. 

Wir helfen Ihnen: 

• Schützen Sie Ihre E-Mails gegen Spoofing und Impersonation mit DMARC
• Schutz vor Lauschangriffen und Man-in-the-Middle-Angriffen mit MTA-STS
• Überwachen Sie die Authentifizierungsergebnisse Ihrer E-Mails und beheben Sie forensische Vorfälle mit DMARC-Berichterstattung
• Bleiben Sie unter dem SPF-Lookup-Limit, um Permerrors mit SPF-Abflachung

Setzen Sie sich noch heute mit uns in Verbindung, um die Einhaltung der Vorschriften für Ihre E-Mails zu erreichen!