Share
Beitragsbild zu Was ist DORA, und warum ist es für Ihr Unternehmen wichtig?

Was ist DORA, und warum ist es für Ihr Unternehmen wichtig?

Wer schützt Ihre Märkte?

In letzter Zeit haben viele Regierungen und Aufsichtsbehörden Gesetze erlassen, um die digitale Sicherheit ihrer Finanzmärkte zu gewährleisten. Diese Gesetze – wie die neuen Cybersicherheitsrichtlinien der SEC für die Wall Street – tragen den wachsenden Risiken von Cyberangriffen Rechnung, indem sie neue Maßnahmen für Datensicherheit und Widerstandsfähigkeit einführen.

Ein wichtiges neues Gesetz ist der Digital Operational Resilience Act (DORA) des Europäischen Rates, eine Verordnung, die sicherstellen soll, dass der Finanzsektor in Europa bei schwerwiegenden Betriebsunterbrechungen widerstandsfähig bleiben kann. Sie wurde vor einigen Monaten verabschiedet und wird erhebliche Auswirkungen auf Finanzunternehmen und auf die Unternehmen haben, die ihnen Informations- und Kommunikationstechnologien (IKT) zur Verfügung stellen.

Sie sind sich nicht sicher, wie Sie mit der Einhaltung von DORA beginnen sollen? Im Folgenden erfahren Sie alles, was Sie über die neue digitale Verordnung der EU wissen müssen und wie sie sich auf Ihr Unternehmen auswirken wird.

Was ist der Digital Operational Resilience Act (DORA)?

DORA ist eine Verordnung, die die Risiken für Finanzinstitute in der Europäischen Union mindern soll. Sie wurde geschaffen, um die operative Widerstandsfähigkeit zu stärken, mit spezifischen Anforderungen für:

  • Risikoerkennung und -management
  • Branchenweiter Austausch von Informationen
  • Management der Lieferkette
  • Schnelle Meldung von Vorfällen
  • Rückwirkende Analyse
  • Und mehr

Vor DORA wurden die Risiken im EU-Finanzsystem hauptsächlich dadurch gemanagt, dass sichergestellt wurde, dass die Unternehmen über genügend Kapital verfügten, um Störungen zu widerstehen. Dabei wurden jedoch wichtige Aspekte der operativen Widerstandsfähigkeit nicht berücksichtigt. In der Analyse von PwC heißt es: „Der [DORA]-Rahmen verlagert den Schwerpunkt von der Gewährleistung der finanziellen Solidität der Unternehmen auf die Sicherstellung, dass sie ihren Betrieb auch bei schwerwiegenden Betriebsstörungen aufgrund von Cybersicherheits- und IKT-Problemen aufrechterhalten können.“

Insgesamt zielt DORA darauf ab, einen einheitlichen Regulierungsrahmen für die digitale operative Widerstandsfähigkeit zu schaffen. Alle Unternehmen müssen sicherstellen, dass sie einem breiten Spektrum von Störungen und Cyber-Bedrohungen standhalten, darauf reagieren und sich davon erholen können.

Für wen gilt DORA?

DORA wird sich auf die Sicherheits- und Widerstandsfähigkeitsmaßnahmen von Finanzunternehmen wie Banken, Versicherungsgesellschaften, Wertpapierfirmen und Anbietern von Kryptoanlagen auswirken. Es betrifft aber auch Dritte, die IKT-bezogene Dienstleistungen für diese Finanzunternehmen erbringen.

So enthält die DORA spezifische Regeln für vertragliche Vereinbarungen zwischen Finanzunternehmen und Drittanbietern von IKT-Dienstleistungen wie Cloud-Speicheranbietern. Außerdem wird ein Aufsichtsrahmen für dritte IKT-Dienstleister geschaffen.

Wenn eine Organisation ein direkter Dienstleister für ein Finanzinstitut ist, unterliegt dieses Unternehmen letztlich dem DORA. Es wird erwartet, dass DORA für mehr als 22.000 Finanzinstitute und IKT-Dienstleister gelten wird, die in der EU tätig sind.

Was sind die Folgen der Nichteinhaltung der DORA?

DORA wurde im November 2022 verabschiedet und wird offiziell im Januar 2025 in Kraft treten. In den nächsten zwei Jahren werden die wichtigsten europäischen Aufsichtsbehörden die technischen Standards der DORA für alle Finanzinstitute, von Banken über Versicherungen bis hin zur Vermögensverwaltung, entwickeln.

Da es sich bei DORA um eine Verordnung und nicht um eine Richtlinie handelt, wird sie in ihrer Gesamtheit für alle EU-Mitgliedstaaten verbindlich sein. Die nationalen Behörden dieser Mitgliedsstaaten werden die Einhaltung der Vorschriften überwachen und durchsetzen.

DORA selbst sieht noch keine Bußgelder vor, doch steht es den einzelnen EU-Mitgliedstaaten frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen DORA einzuführen.

Was sollten Unternehmen tun, um sich auf DORA vorzubereiten?

Deloitte warnt, dass DORA zwar eine zweijährige Umsetzungsfrist vorsieht, die Regulierungsbehörden die technischen Standards, die die Unternehmen erfüllen müssen, aber noch nicht festgelegt oder angekündigt haben. Dadurch bleibt Finanzunternehmen und Drittdienstleistern wesentlich weniger Zeit für die Vorbereitung.

Glücklicherweise gibt es mehrere Schritte, die Unternehmen jetzt unternehmen können, um sich auf die Einhaltung von DORA vorzubereiten. Die meisten von ihnen umfassen die Bewertung der aktuellen IT-Systeme, die Ermittlung von Schwachstellen und die Umsetzung geeigneter Datenschutzmaßnahmen.

Experten empfehlen zum Beispiel, dass Sie

  • Bewerten und verwalten Sie das Risiko. Berücksichtigen Sie den Umfang, die Komplexität und die Bedeutung der vertraglichen Vereinbarungen, die Sie mit externen IKT-Dienstleistern haben. Dies hilft Ihnen bei der Ausarbeitung von Richtlinien für das Risikomanagement, die den DORA-Anforderungen entsprechen.
  • Planen Sie für Angriffe. Erstellen Sie einen robusten Plan zur Reaktion auf Zwischenfälle, um die Auswirkungen von Cyberangriffen und anderen Störungen zu minimieren. Deloitte empfiehlt, zu testen, ob Ihr System auch in der Lage ist, Beinahe-Zwischenfälle zu erkennen.
  • Verwalten Sie die Risiken Dritter. Verbessern Sie Ihre Dokumentation von TPP-Verträgen und -Verbindungen, und prüfen Sie die Schwachstellen von Drittanbietern genau, um Ihre Strategie zu unterstützen. Es ist wichtig, dass Sie wissen, welche Dienstanbieter für Ihre Kerngeschäftsprozesse entscheidend sind und warum.
  • Überprüfen Sie regelmäßig Ihre Richtlinien. Stellen Sie durch regelmäßige Audits sicher, dass Ihre Strategie für die digitale Ausfallsicherheit aktuell bleibt und den Vorschriften entspricht.
Verbesserte Datensicherheit mit ShardSecure

ShardSecure bietet einen innovativen Ansatz für die Verschlüsselung auf Dateiebene ohne Leistungseinbußen und ohne die Notwendigkeit von Agenten. Unsere transparente Datenkontrollplattform trennt den Datenzugriff von den Eigentümern der Infrastruktur in On-Premise-, Cloud- und Multi-Cloud-Umgebungen. Dies hilft Unternehmen dabei, eine breite Palette von grenzüberschreitenden Datenvorschriften einzuhalten.

ShardSecure unterstützt auch die betriebliche Ausfallsicherheit, indem es hohe Verfügbarkeit und Integrität für kritische Daten bietet. Unsere Datenkontrollplattform ist in der Lage, Daten zu rekonstruieren, die bei Angriffen und Ausfällen verloren gegangen, gelöscht oder anderweitig beeinträchtigt worden sind. Dies trägt dazu bei, die Geschäftskontinuität zu unterstützen und die betriebliche Ausfallsicherheit aufrechtzuerhalten.

Wenn Sie mehr über die Vorteile von ShardSecure in Bezug auf Datensicherheit und Ausfallsicherheit erfahren möchten, besuchen Sie unsere Ressourcen-Seite.


Sources

The Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2554 | DORA

What Is the Digital Operational Resilience Act (DORA)? | Check Point Software

Digital Operational Resilience Act (DORA) | PwC Malta

DORA: The Digital Operational Resilience Act | DLA Piper

What Can We Expect From the Digital Operational Resilience Act | Deloitte Netherlands

Ten Keys to Success With DORA Compliance | International Cyber Threat Task Force

ShardSecure

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden