Die zunehmende Häufigkeit und Raffinesse von Cyberangriffen stellt laut einem neuen Bericht des Internationalen Währungsfonds (IWF) ernsthafte Bedrohungen für die globale Finanzstabilität dar. In den letzten zwei Jahrzehnten waren fast ein Fünftel der gemeldeten Cybervorfälle auf den globalen Finanzsektor ausgerichtet und verursachten direkte Verluste von 12 Milliarden Dollar für Finanzunternehmen, so der Bericht.

Angesichts der Notwendigkeit der Resilienz finanzieller Einrichtungen hat die Europäische Union mit dem Digital Operational Resilience Act (DORA) reagiert. Diese bahnbrechende Verordnung soll die operationelle Resilienz von Finanzinstituten durch strenge Cybersicherheitsmaßnahmen verbessern.

In diesem Blogbeitrag werden wir die Einzelheiten von DORA, seinen Zweck, die Anforderungen, den Implementierungszeitplan, die Strafen bei Nichteinhaltung und wie Secureframe Ihren Weg zur Compliance vereinfachen und beschleunigen kann, genauer betrachten.

Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, Finanzunternehmen und ihre Anbieter von Informations- und Kommunikationstechnologie (IKT) dabei zu unterstützen, allen Arten von IKT-bezogenen Störungen und Bedrohungen standzuhalten, darauf zu reagieren und sich davon zu erholen. Durch die Festlegung robuster Standards für das Management von IKT-Risiken, die Meldung von Vorfällen, Tests der operationellen Resilienz und die Überwachung von Risiken Dritter soll DORA die digitale operationelle Resilienz des Finanzsektors der EU verbessern.

Obwohl DORA mit anderen Vorschriften wie der DSGVO und NIS 2 überschneidet, ist die Anwendbarkeit aller drei Rahmenwerke sehr unterschiedlich. DORA ist einzigartig in seinem Fokus auf die Stärkung der digitalen Resilienz des europäischen Finanzökosystems und gilt speziell für den Finanzsektor, während NIS2 und DSGVO viel breiter in der Organisationsanwendbarkeit sind.

DORA trat am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 verpflichtend sein. Da dieses Durchsetzungsdatum näher rückt, ist es wichtig, dass Organisationen den Umfang, den Zweck und die Anforderungen von DORA verstehen. Dies werden wir unten besprechen.

Für wen gilt DORA?

Der Anwendungsbereich von DORA ist im Finanzsektor breit gefächert. Das neue Gesetz gilt für Finanzunternehmen, zu denen die meisten Arten von Finanzdienstleistungsunternehmen gehören, die in der EU reguliert sind, wie Banken, Zahlungs- und E-Geld-Unternehmen, Wertpapierfirmen, Versicherer und Krypto-Asset-Unternehmen.

DORA gilt auch für „kritische“ IKT-Drittanbieter dieser Finanzunternehmen. Anbieter werden als kritisch eingestuft basierend auf mehreren Faktoren, einschließlich:

• den potenziellen Auswirkungen eines großflächigen Ausfalls auf die Erbringung von Finanzdienstleistungen
• der Art und Bedeutung der Unternehmen, die sich auf den Anbieter verlassen
• wie leicht der Anbieter ersetzt werden kann

Diese Anbieter müssen zeigen, dass sie die obligatorischen vertraglichen Bestimmungen gemäß DORA einhalten können, um weiterhin ihre Kunden in der EU zu bedienen.

Was ist der Zweck von DORA?

Das Hauptziel von DORA besteht darin, die operationelle Resilienz von Finanzinstituten angesichts wachsender Cyber-Bedrohungen zu stärken. Dies wird auf zwei wesentliche Arten erreicht. Erstens soll sie die verschiedenen Cybersicherheits- und Risikomanagementvorschriften, die für Finanzinstitute in der EU gelten, harmonisieren. Zweitens bietet sie einen umfassenden Rahmen, der mehrere wichtige Aspekte des Risikomanagements abdeckt.

Diese zentralen Schwerpunktbereiche sind:

• IKT-Risikomanagement: Aufbau umfassender Risikomanagement-Rahmenwerke zur Identifikation, Bewertung und Minderung von IKT-bezogenen Risiken
• IKT-bezogene Vorfälle: Verpflichtung zur zeitnahen und standardisierten Meldung signifikanter IKT-bezogener Vorfälle an die zuständigen Behörden
• Tests zur digitalen operationellen Resilienz: Regelmäßige Tests der IKT-Systeme zur Identifizierung und Behebung von Schwachstellen
• IKT-Drittparteien-Risikomanagement: Sicherstellung, dass Finanzinstitute Risiken im Zusammenhang mit Drittparteien-IKT-Dienstleistern managen
• Überwachung kritischer Drittparteien-Anbieter: Stärkung des Governance-Rahmens zur effektiven Überwachung der IKT-Risikomanagementpraktiken
• Informationsaustausch: Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen

DORA-Anforderungen: Wie man die Vorschriften einhält

Das eigentliche DORA-Dokument umfasst fast 80 Seiten und enthält 64 Artikel. Das Dokument definiert mehrere Schlüsselbereiche, auf die sich die Vorschriften konzentrieren.

Im Folgenden fassen wir die wichtigsten Anforderungen für die DORA-Compliance zusammen.

1. Einrichtung eines IKT-Risikomanagementrahmens

Betroffene Finanzinstitute müssen einen robusten IKT-Risikomanagementrahmen entwickeln und aufrechterhalten, der ihnen ermöglicht, schnell und umfassend auf Risiken zu reagieren.

Dieser Rahmen sollte mindestens Folgendes enthalten:

• Identifizierung von IKT-unterstützten Geschäftsprozessen: Klare Abbildung aller Geschäftsprozesse, die auf IKT-Systeme und -Dienste angewiesen sind.
• Ermittlung von IKT-Risiken: Katalogisierung aller potenziellen Quellen von IKT-Risiken, einschließlich Hardware, Software, Daten und Kommunikationssysteme.
• Bewältigung von Cybersicherheitsbedrohungen und -schwachstellen: Kontinuierliche Überwachung und Bewertung von Cybersicherheitsbedrohungen und -schwachstellen sowie Implementierung von Maßnahmen (wie Richtlinien, Verfahren und Tools) zum Schutz vor diesen Bedrohungen und deren regelmäßige Aktualisierung basierend auf der sich entwickelnden Bedrohungslandschaft.
• Minderung identifizierter Risiken: Entwicklung und Anwendung von Risikominderungsstrategien zur effektiven Bewältigung der identifizierten Risiken.

2. Prozesse und Verfahren zur Meldung von Vorfällen einrichten

Betroffene Einheiten sind verpflichtet, Prozesse und Verfahren zur rechtzeitigen Erkennung, Verwaltung und Meldung von IKT-bezogenen Sicherheitsvorfällen zu etablieren. Einige nächste Schritte könnten beinhalten:

• Einführung von Systemen zur Erkennung von Vorfällen, sobald sie auftreten, einschließlich automatisierter und manueller Erkennungsmechanismen.
• Entwicklung eines klaren Prozesses für den Umgang mit Vorfällen nach deren Erkennung, einschließlich Sofortmaßnahmen, Ermittlungsverfahren und Behebungsmaßnahmen.
• Definition und Einhaltung strenger Zeitvorgaben für die Meldung von Vorfällen an die zuständigen Behörden und Sicherstellung, dass diese Berichte detaillierte Informationen über die Art des Vorfalls, seine Auswirkungen und die zur Behebung ergriffenen Maßnahmen enthalten.

3. Testen Sie Ihr IKT-System regelmäßig

Regelmäßige Tests der IKT-Systeme sind obligatorisch, um die Widerstandsfähigkeit gegen potenzielle Bedrohungen zu gewährleisten. Betroffene Einheiten sind verpflichtet, die Durchführung und Ergebnisse der Resilienztests zu überwachen, einschließlich Schwachstellenbewertungen und Penetrationstests. Beide Arten von Tests können helfen, Sicherheitslücken in der IKT-Infrastruktur der Einheit zu identifizieren und zu beheben.

Es ist auch wichtig, dass betroffene Einheiten die Ergebnisse dieser Tests nutzen, um die IKT-Sicherheitsmaßnahmen entsprechend zu verbessern und zu stärken.

4. Ein System zur Verwaltung von Risiken Dritter einrichten

Betroffene Einheiten müssen sicherstellen, dass ihre Verträge mit Drittanbietern von IKT-Dienstleistungen (einschließlich neuer und bestehender Verträge) den in DORA festgelegten Anforderungen entsprechen.

Verträge müssen bestimmte Bestimmungen enthalten, die die Einhaltung der Risikomanagementstandards der Einheit vorschreiben, wie z. B. die Unterstützung beim Vorfallmanagement und die Teilnahme an der Schulung zur Sicherheitsbewusstseinsbildung und betrieblichen Resilienz der Einheit.

Betroffene Einheiten müssen ein Register mit Informationen über IKT-Dienstleister für die zuständigen Behörden mindestens alle drei Jahre oder häufiger im Falle kritischer Funktionen führen. Dieses Informationsregister sollte umfassende Sorgfaltsprüfungen, einschließlich vertraglicher Vereinbarungen und Berichtsinformationen, enthalten.

DORA-Implementierungszeitplan

Die Implementierung von DORA folgt einem strukturierten Zeitplan, um Finanzunternehmen ausreichend Zeit zur Einhaltung der neuen Anforderungen zu geben:

• Inkrafttreten: DORA trat am 16. Januar 2023 in Kraft.
• Übergangsfrist: Finanzunternehmen haben eine Übergangsfrist bis zum 17. Januar 2025, um ihre Geschäftstätigkeit an die neuen Anforderungen anzupassen.
• Compliance-Frist: Bis zum 17. Januar 2025 müssen alle Finanzinstitute innerhalb der EU vollständig mit DORA konform sein.

DORA-Verstöße und Geldstrafen: Sanktionen bei Nichteinhaltung

Die Nichteinhaltung von DORA kann zu erheblichen Strafen führen, die die stringenten Vorgaben der Verordnung widerspiegeln.

Finanzinstitute, die die DORA-Anforderungen nicht erfüllen, können mit Geldstrafen von bis zu 2 % ihres gesamten jährlichen weltweiten Umsatzes belegt werden. Einzelpersonen droht eine Höchststrafe von 1.000.000 EUR wegen Nichteinhaltung. Die Höhe hängt von der Schwere des Verstoßes und der Bereitschaft des Finanzunternehmens ab, mit den Behörden zu kooperieren. Die Nichteinhaltung der Meldepflicht für wesentliche IKT-bezogene Vorfälle oder bedeutende Cyberbedrohungen, wie in DORA vorgeschrieben, kann ebenfalls zu Geldstrafen führen.

Drittanbieter von IKT-Dienstleistungen, die von den Europäischen Aufsichtsbehörden (ESAs) als kritisch eingestuft werden, können bei Nichteinhaltung mit Geldstrafen von bis zu 5.000.000 EUR belegt werden. Einzelpersonen droht eine Höchststrafe von 500.000 EUR. 

Unternehmen können zusätzlich mit weiteren Sanktionen belegt werden, einschließlich öffentlicher Zensur, Einschränkungen der Geschäftstätigkeit oder im schlimmsten Fall dem Entzug von Lizenzen. Neben finanziellen Strafen und Sanktionen kann die Nichteinhaltung auch zu erheblichen Reputationsschäden führen, was das Vertrauen der Kunden und Investoren untergraben kann.

Wie Managed Service Provider Unternehmen helfen können, die DORA-Compliance-Frist einzuhalten

Laut einer McKinsey-Umfrage, die im März 2024 durchgeführt wurde, waren nur etwa ein Drittel der Finanzinstitute zuversichtlich, dass sie bis Januar 2025 alle regulatorischen Anforderungen von DORA erfüllen könnten. 31 % bezweifelten, dass sie die DORA-Frist einhalten würden, während 38 % neutral waren. Darüber hinaus gaben alle an, dass sie erwarteten, dass zumindest einige DORA-Anstrengungen über die Frist 2025 hinaus andauern würden. 

Ein Managed Service Provider kann den Prozess vereinfachen und beschleunigen. Durch die Nutzung der Expertise und Ressourcen von MSPs können Finanzinstitute ihre Compliance-Bemühungen straffen, schnell Lücken in ihrem IKT-Risikomanagement identifizieren und schließen und sicherstellen, dass sie die DORA-Compliance-Frist einhalten.

Hier sind einige Möglichkeiten, wie MSPs Finanzunternehmen effizient und effektiv bei der Einhaltung der DORA-Compliance unterstützen können:

• Durchführung einer Lückenanalyse: Eine Lückenanalyse ist ein entscheidender erster Schritt auf dem Weg zur Compliance. Sie hilft dabei, die Unterschiede zwischen dem aktuellen Stand des IKT-Risikomanagements einer Einrichtung und den Anforderungen von DORA zu erkennen. Nach der Bewertung vorhandener IKT-Risikomanagementprozesse, Vorfallreaktionsverfahren, Drittanbieter-Risikomanagementprozesse und Governance-Strukturen können MSPs Lücken hervorheben, in denen die aktuellen Praktiken der Einrichtung nicht den Anforderungen von DORA entsprechen, und umsetzbare Empfehlungen zur Behebung dieser Lücken und zur Anpassung der Praktiken an die regulatorischen Standards geben.
• Implementierung eines automatisierten Compliance-Tools: Über umsetzbare Empfehlungen hinaus können MSPs den DORA-Compliance-Prozess noch weiter vereinfachen, indem sie Tools implementieren, die Compliance-Aufgaben wie das Sammeln von Nachweisen, das Management von Richtlinien und die kontinuierliche Überwachung automatisieren und den manuellen Aufwand reduzieren.
• Anbieten von Fachberatung: MSPs können Finanzinstitutionen während des gesamten Compliance-Prozesses unterstützen, nicht nur während der Bereitschaftsphase. Durch das Anbieten von Fachberatung in allen Phasen können MSPs den Institutionen helfen, die Komplexitäten von DORA zu bewältigen, Best Practices für das IKT-Risikomanagement umzusetzen und ihre Bemühungen in ein bestehendes Cybersecurity- und Compliance-Programm zu integrieren.
• Durchführung fortlaufender Bewertungen: Nachdem die Einrichtung beim Aufbau und der Implementierung eines robusten IKT-Risikomanagement-Rahmenwerks sowie von Vorfallmeldeverfahren, TPRM-Prozessen und mehr unterstützt wurde, können MSPs regelmäßig den Compliance-Status der Einrichtung bewerten und aufkommende Lücken oder Probleme identifizieren.

Wenn Sie Hilfe bei der Suche nach einem Dienstleister für die DORA-Compliance benötigen, wenden Sie sich direkt an uns unter partners@secureframe.com.

Vereinfachen und beschleunigen Sie die DORA-Compliance mit Secureframe

Die Einhaltung von DORA kann ein komplexer und ressourcenintensiver Prozess sein. Tatsächlich ergab die McKinsey-Umfrage, dass die meisten Finanzinstitute erwarten, zwischen 5 und 15 Millionen Euro für DORA-Strategien, Planung, Design und Orchestrierung auszugeben – und einige frühe Schätzungen für die vollständigen Umsetzungskosten liegen bei dem Fünf- bis Zehnfachen dieses Betrags. Außerdem widmen 40 % der befragten Finanzinstitute und IKT-Anbieter mehr als sieben Vollzeitäquivalente ihrem DORA-Compliance-Programm.

Compliance-Automatisierungslösungen wie Secureframe können diesen Weg erheblich vereinfachen und beschleunigen, indem sie die erforderlichen Bemühungen und Kosten zur Einhaltung reduzieren. Hier sind einige der wichtigsten Funktionen und Eigenschaften, die Secureframe bietet:

• Automatisiertes Kontrolltest: Secureframe automatisiert das Testen der EU-DORA-Anforderungen durch Integrationen mit Ihrem vorhandenen Technologie-Stack und stellt sicher, dass die EU-DORA-Richtlinien kontinuierlich eingehalten werden, ohne dass manuelle Eingriffe erforderlich sind. Mit 110 Kontrollen, die auf die EU-DORA abgestimmt sind, können Sie sicher sein, dass Sie den Vorschriften entsprechen.
• Von Experten entwickelte Richtlinien: Secureframe bietet Richtlinien- und Verfahrensvorlagen, die von Compliance-Experten speziell für die EU-DORA entwickelt und geprüft wurden. Sie können diese Dokumentation einfach veröffentlichen, Eigentümern zuweisen und die Akzeptanz und regelmäßige Überprüfung der Richtlinien innerhalb von Secureframe verfolgen.
• Compliance-Expertise: Unser Team von Compliance-Experten und ehemaligen Sicherheits- und Compliance-Prüfern bietet wesentliche Unterstützung, um Ihnen zu helfen, die Anforderungen der EU-DORA effektiv zu erfüllen und Best Practices für das IKT-Risikomanagement umzusetzen.
• Unterstützung aus der EU: Unser engagiertes Team in der EU stellt sicher, dass Sie rechtzeitig und lokalisiert Unterstützung erhalten.
• Kontinuierliche Überwachung: Secureframe macht es einfach, die EU DORA einzuhalten. Sie können regelmäßige Kontrollen über die Secureframe-Plattform organisieren und planen, um die fortlaufende Einhaltung der regulatorischen Anforderungen sicherzustellen.

Vereinbaren Sie eine Demo, um zu sehen, wie Finanzinstitute die DORA-Anforderungen mit Secureframe sicher erfüllen können, ihre Betriebssicherheit gewährleisten und sich gegen Cyberbedrohungen wappnen.