Der Digital Operational Resilience Act (DORA) markiert eine neue Phase in der Art und Weise, wie Finanzinstitute Cybersicherheit und betriebliche Ausfallsicherheit angehen müssen. Da der Umsetzungstermin im Januar 2025 immer näher rückt, konzentrieren sich die Institute darauf, ihre IKT-Risikomanagement-Rahmenwerke (Informations- und Kommunikationstechnologie) an die strengen Anforderungen von DORA anzupassen.
Ein entscheidender Aspekt der DORA-Compliance ist die Sicherstellung, dass die Institutionen über robuste Backup-Richtlinien und -Verfahren verfügen. In diesem Artikel wird erläutert, wie Backup-Lösungen, insbesondere Cloud-basierte, Finanzinstituten dabei helfen können, die DORA-Compliance-Anforderungen zu erfüllen, minimale Ausfallzeiten zu gewährleisten und die Integrität ihrer Betriebsabläufe zu schützen.
DORAs Backup-Anforderungen
DORA schreibt vor, dass Finanzinstitute umfassende Sicherungs-, Wiederherstellungs- und Wiederherstellungsmaßnahmen in ihre IKT-Risikomanagementstrategien integrieren. Diese Backup-Systeme sind nicht nur eine technische Anforderung – sie spielen eine zentrale Rolle bei der Gewährleistung der Geschäftskontinuität. DORA schreibt vor, dass Backup-Lösungen:
- Sicherheit: Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
- Aktivierung ohne Beeinträchtigung der IT-Systeme: Backup-Verfahren sollten Systeme während der Wiederherstellungsprozessen keinen weiteren Schwachstellen aussetzen.
In der Praxis bedeutet dies, dass Finanzinstitute Backup-Systeme einrichten müssen, die Cybervorfällen, Systemausfällen und Unterbrechungen standhalten können. DORA betont, dass Backups nicht nur ein IT-Problem sind, sondern auch ein Problem der Unternehmensführung, das der Aufsicht und Genehmigung durch die Geschäftsleitung bedarf. Backup-Lösungen müssen daher Teil des strategischen IKT-Risikorahmens der Organisation sein.
Die Rolle von Backup-Lösungen bei der DORA-Compliance
Effektive Backup-Richtlinien und -Verfahren sind das Herzstück der betrieblichen Ausfallsicherheit und der DORA-Compliance. In Übereinstimmung mit international anerkannten Standards wie ISO 22301 (Business Continuity) und ISO 27031 (ICT Disaster Recovery) sind Backup-Lösungen für die Vorbereitung auf und die Wiederherstellung nach Störfällen unverzichtbar.
Der Fokus von DORA geht über die einfache Datenwiederherstellung hinaus. Er umfasst die Sicherstellung der logischen und physischen Datentrennung (air-gapping), Datenverschlüsselungsstandard, Zugriffskontrolle, Datenintegrität und Redundanz. Finanzinstitute müssen Backup-Lösungen auswählen, die Folgendes gewährleisten:
- Redundanz und hohe Verfügbarkeit: Gewährleistet Kontinuität durch Replikation von Daten an mehreren Standorten.
- Starke Verschlüsselung und Zugriffskontrolle: Sichert Daten sowohl im Ruhezustand als auch bei der Übertragung.
- Kurze Wiederherstellungszeiten: Minimiert Ausfallzeiten während der Reaktion auf einen Vorfall durch schnelle Wiederherstellung des Zugriffs auf kritische Systeme und Daten.
Die Wahl eines Drittanbieters für Backups mit einer nachgewiesenen Erfolgsbilanz im Bereich Finanzdienstleistungen kann dazu beitragen, die Einhaltung von Vorschriften sicherzustellen und gleichzeitig Risiken im Falle eines Vorfalls zu minimieren.
Regelmäßige Tests: Eine Säule effektiver Backup-Verfahren
Im Rahmen von DORA sind regelmäßige Tests von Backup- und Wiederherstellungsverfahren obligatorisch. Dadurch wird sichergestellt, dass Institutionen sich im Falle von Vorfällen schnell erholen können, während gleichzeitig Lücken in ihren aktuellen Strategien identifiziert werden. Diese Tests müssen regelmäßig durchgeführt werden, wobei große Organisationen häufig bedrohungsorientierte Penetrationstests (TLPT) durchführen müssen.
Allerdings bieten nicht alle Backup-Lösungen die gleiche Effizienz, wenn es um Tests und Audits geht. Bei der Auswahl eines Anbieters ist es wichtig, auf Folgendes zu achten:
- Effiziente Audits und Berichterstattung: Dokumentation der Effektivität von Backup-Prozessen ohne übermäßigen Einsatz von Unternehmensressourcen.
- Häufige und flexible Testmöglichkeiten: Unternehmen können ihre Backup-Infrastruktur so oft wie nötig testen, um die Einhaltung der strengen DORA-Anforderungen sicherzustellen.
Da Backup-Tests unter DORA ein wiederkehrendes Ereignis sein werden, ist die Fähigkeit, diese Tests ohne Unterbrechung des normalen Geschäftsbetriebs durchzuführen, entscheidend für die Aufrechterhaltung sowohl der betrieblichen Widerstandsfähigkeit als auch der Einhaltung gesetzlicher Vorschriften.
Schlussfolgerung
Backup-Lösungen sind von zentraler Bedeutung, um die Anforderungen von DORA an das IKT-Risikomanagement und die betriebliche Ausfallsicherheit zu erfüllen. Finanzinstitute, die in robuste Backup-Systeme investieren, können ihre Betriebsabläufe vor Unterbrechungen schützen, die Kontinuität sicherstellen und, was am wichtigsten ist, die von DORA festgelegten regulatorischen Anforderungen erfüllen.
Zusammenfassend lässt sich sagen, dass sich Finanzinstitute bei der Auswahl von Backup-Lösungen auf die wichtigsten Funktionen konzentrieren sollten, die sicherstellen, dass sie die strengen Anforderungen von DORA erfüllen können:
- Zugriffskontrolle und Verschlüsselung: Schützen Sie die Datenintegrität und -vertraulichkeit mit einem Datenverschlüsselungsstandard.
- Redundanz und hohe Verfügbarkeit: Stellen Sie sicher, dass die Daten bei Bedarf stets verfügbar sind.
- Effiziente Tests und Berichterstattung: Minimierung des Ressourcenverbrauchs bei gleichzeitiger Erfüllung der gesetzlichen Prüfvorschriften.
- Umfassende Wiederherstellungspläne: Gewährleistung einer schnellen und organisierten Wiederherstellung von Diensten nach einem Vorfall.
- Detaillierte Dokumentation: Führen Sie gründliche Aufzeichnungen über Sicherungsprozesse, Tests und Wiederherstellung, die sowohl für die interne Governance als auch für externe behördliche Prüfungen von entscheidender Bedeutung sind.
Durch die Umsetzung dieser Strategien erreichen Finanzinstitute nicht nur die Einhaltung von DORA, sondern verbessern auch ihre Widerstandsfähigkeit gegen Cyberbedrohungen, sichern ihren Betrieb und erhalten das Vertrauen ihrer Kunden.
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Michael Heuer, Area VP Central Europe / DACH (LinkedIn)
Bild/Quelle: https://depositphotos.com/de/home.html