Die Finanzdienstleistungsbranche ist einer zunehmenden Zahl von Bedrohungen ausgesetzt: Von Cyberangriffen über Infrastrukturausfälle bis hin zu physischen Unterbrechungen. Als Reaktion darauf hat die Europäische Union (EU) den Digital Operational Resilience Act (DORA) eingeführt, der sicherstellen soll, dass Finanzdienstleistungen betrieblich widerstandsfähig bleiben. Diese Verordnung konzentriert sich nicht nur auf traditionelle Finanzrisikokontrollen, sondern betont auch die Wichtigkeit starker Informations- und Kommunikations-Systeme.
Obwohl DORA bereits vor knapp zwei Jahren in Kraft getreten ist, rückt nun die Frist für die vollständige Einhaltung der Vorschriften immer näher. Bis zum 17. Januar 2025 müssen alle Finanzinstitute in der EU die Vorschriften einhalten. Die Vorgaben beschränken sich nicht nur auf in der EU ansässige Organisationen – DORA gilt für alle Finanzdienstleistungsunternehmen, die in der EU tätig sind oder mit Unternehmen in der EU Geschäfte abwickeln. Dazu zählen Unternehmen aus den Bereichen Investment, Einzelhandel, Geschäftsbanken, Versicherungen und anderen Sektoren. Digitale und Technologieanbieter wie SaaS- und Cloud-Anbieter, die Finanzdienstleistungen unterstützen, sind ebenfalls davon betroffen.
Während DORA einen Schwerpunkt auf Cybersicherheit legt, geht der Anwendungsbereich darüber hinaus und umfasst auch den Informationsaustausch und Tests zur digitalen operativen Resilienz. Die Verordnung wird zudem nicht nur Finanzdienstleister betreffen, sondern auch deren Lieferanten und Partner.
Die Risiken der Nichteinhaltung
Die Nichteinhaltung der DORA-Vorschriften könnte schwerwiegende Folgen haben. Es sind zwar keine festen Strafen festgelegt, doch ähnlich wie bei der Datenschutz-Grundverordnung werden Geldbußen in einem angemessenen Verhältnis zur Schwere des Verstoßes erwartet. Finanzinstitute können mit Einschränkungen wie dem Verbot, mit nicht konformen IT-Anbietern zusammenzuarbeiten, konfrontiert werden. Die Behörden könnten auch Verträge mit Anbietern, die DORA-Standards nicht erfüllen, aussetzen oder kündigen.
Finanzielle Sanktionen könnten jedoch nicht die schwerwiegendsten Folgen sein: Ein falscher Umgang mit einer Störung oder einem Sicherheitsvorfall könnte zu erheblichen Reputationsschäden führen, von denen man sich nur schwer erholt. Für kleinere Finanzinstitute könnte die Nichteinhaltung der Vorschriften sogar existenzbedrohend sein, da wiederholte Verstöße zum Entzug der Betriebsgenehmigung führen können.
Worauf Unternehmen achten sollten
Die Einhaltung der DORA-Bestimmungen umfasst mehr als das Bestehen von Prüfungen. Es handelt sich um einen fortlaufenden Prozess, der von Finanzinstituten verlangt, kontinuierlich die Resilienz in Bereichen wie Risikomanagement, Vorfallreaktion und operativer Stabilität auszubauen. Dies umfasst die Integration robuster, proaktiver Prozesse in der gesamten Organisation, um auf eine sich stetig entwickelnden Bedrohungslandschaft reagieren zu können.
Der Ausgangspunkt für das Risikomanagement ist „Know your Services“. Das erfordert die Identifizierung wichtiger Geschäftsdienstleistungen (Important Business Services – IBS), die für das Finanzsystem von zentraler Bedeutung sind, wie z. B. das Privatkundengeschäft oder schnellere Zahlungen. Für jeden IBS sollten die Funktionalität und die Leistung als Teil der Service-Definition festgelegt und gemessen werden, um etwaige Unterschiede zu analysieren, die nach einem Ereignis auftreten können.
Sobald die IBS identifiziert sind, ist es wichtig, die zugrunde liegenden Abhängigkeiten – sowohl technischer als auch betrieblicher Art – zu erfassen und zu validieren. Dies schließt interne Dienste und externe Drittanbieter ein. DORA fordert von den Instituten, dass sie einen dynamischen Überblick über ihre Abhängigkeiten behalten, die ebenfalls einem kontinuierlichen Wandel unterliegen. So sollen sie sicherstellen, dass etwaige Lücken geschlossen werden, während sich die Umgebung weiterentwickelt.
Die Meldung von Vorfällen ist ebenfalls entscheidend für die Widerstandsfähigkeit. Finanzinstitute müssen in der Lage sein, Störungen zu erkennen, zu melden und schnell darauf zu reagieren, um so Transparenz und eine schnelle Wiederherstellung zu gewährleisten. Regelmäßige Ausfallsicherheitstests durch Simulationen realer Szenarien, helfen den Unternehmen, ihre Wiederherstellungsstrategien zu verfeinern und die Betriebskontinuität zu garantieren.
Management der digitalen Lieferkette
Da viele Institutionen für ihre täglichen Geschäftsabläufe auf Drittanbieter angewiesen sind, ist das Management von Abhängigkeiten in der digitalen Lieferkette entscheidend für die Resilienz. DORA betont die Bedeutung einer durchgängigen Überwachung und proaktiven Verwaltung dieser Beziehungen. Die frühzeitige Identifizierung von Schwachstellen und deren Behebung vor einer Eskalation sind entscheidend für die Aufrechterhaltung der Resilienz.
Darüber hinaus fördert DORA den Austausch von Informationen im Finanzsektor. Die Zusammenarbeit und das Teilen von Bedrohungsinformationen können Finanzinstitutionen helfen, ihre Verteidigung gegen aufkommende Risiken zu stärken und ein sichereres Finanzökosystem für Unternehmen zu schaffen.
Compliance mit Experten als Technologiepartner nachweisen
Die Gewährleistung der Compliance mit DORA kann kompliziert sein, doch die Partnerschaft mit erfahrenen Technologieanbietern vereinfacht den Prozess. Die Partner spielen eine essenzielle Rolle dabei, Finanzinstitutionen bei der Prüfung ihrer Systeme zu unterstützen und zu validieren, dass sie gegenüber Störungen resilient sind.
Experten als Technologiepartner können Finanzinstitutionen dabei unterstützen, reale Bedingungen für eine Simulation nachzuahmen und eine echte Bewertung ihrer Einsatzbereitschaft ermöglichen. So wird sichergestellt, dass die Dienste auch während erheblicher Störungen weiterhin effektiv arbeiten.
Im Falle eines schwerwiegenden Ausfalls können diese Tech-Experten auch bei der Wiederherstellung von Diensten und dem Wiederaufbau helfen. Ob es darum geht, Dienste innerhalb der bestehenden Infrastruktur wiederherzustellen, den Betrieb an Backup-Standorte zu verlagern oder Systeme aus einer sicheren Umgebung neu aufzubauen – fachkundige Unterstützung sorgt für reibungslose Übergänge und minimale Ausfallzeiten.
Eines der zentralen Prinzipien von DORA ist außerdem die gemeinsame Verantwortung, die Finanzinstitute und Drittanbieter mit ihren technologischen Partnern tragen. Diese kollaborative Strategie stellt sicher, dass alle beteiligten Parteien in ihren Bestrebungen zur Verbesserung der operativen Resilienz zusammenarbeiten. Zum Beispiel ermöglichen gemeinsames Risikomanagement und geteilte Cybersicherheits-Tools den Unternehmen eine Zusammenarbeit, um Schwachstellen und Cyberbedrohungen zu identifizieren. Dadurch können sie Maßnahmen zur Minderung von Risiken entwickeln, um auf Bedrohungen effektiv und zeitnah zu reagieren.
Strategische Vorteile der Compliance
Der jüngste Ausfall von CrowdStrike hat gezeigt, wie IT-Lieferkettenstörungen nicht nur die Finanzdienstleistungen, sondern auch verschiedene Branchen insgesamt beeinflussen können. Die Einhaltung der DORA-Standards minimiert das Risiko solcher Störungen und schützt sowohl interne Abläufe als auch externe Partnerschaften.
Außerdem kann Compliance einen Wettbewerbsvorteil bieten. Finanzinstitutionen, die ihre Resilienz gegenüber Regulierungsbehörden und Kunden nachweisen können, heben sich in einem zunehmend wettbewerbsintensiven Markt ab. Vertrauen und Zuverlässigkeit sind entscheidend – insbesondere in einem Sektor, in dem Kunden sichere und stabile Partner suchen.
Ausblick
Mit der näher rückenden Deadline haben viele Finanzinstitute bereits Schritte unternommen, um die Einhaltung von DORA sicherzustellen. Sollten die erforderlichen Maßnahmen noch nicht umgesetzt sein, bleibt zwar noch etwas Zeit – der Fristtermin liegt jedoch nicht weit entfernt.
Doch DORA ist nur der Anfang einer Welle globaler regulatorischer Veränderungen, die die wachsende digitale Abhängigkeit adressiert. Regierungen weltweit beginnen, operationale Resilienz nicht nur als technische Herausforderung, sondern als politische Priorität zu betrachten, die mit wirtschaftlicher Stabilität verbunden ist.
Finanzdienstleistungen sind zunehmend auf digitale Infrastruktur angewiesen. Resilienz gegen Störungen sicherzustellen ist in Zukunft unerlässlich. Um diesen Anforderungen gerecht zu werden, müssen Finanzinstitutionen mit erfahrenen Technologieanbietern zusammenarbeiten und die benötigten Werkzeuge, Echtzeitdaten und Einblicke nutzen, um Systeme zu überwachen, Schwachstellen zu identifizieren und proaktiv auf aufkommende Risiken zu reagieren.
Durch die Annahme einer proaktiven Strategie und die Zusammenarbeit mit der richtigen Unterstützung können Finanzdienstleistungsorganisationen nicht nur die Anforderungen von DORA erfüllen, sondern sich auch so positionieren, dass sie in einer zunehmend komplexen digitalen Welt erfolgreich sind.
Von Gary Sockrider, Direktor, Sicherheitslösungen, NETSCOUT
Bild/Quelle: https://depositphotos.com/de/home.html