Was Schweizer und EU-Unternehmen über DORA (Digital Operational Resilience Act) wissen sollten

Was sind die Auswirkungen von DORA für Schweizer Unternehmen?

Alle Finanzunternehmen in der Schweiz (sowie aus anderen Ländern außerhalb der EU, z.B. Liechtenstein) müssen in den meisten Fällen die DORA-Standards ebenfalls anwenden, wenn sie mit anderen Finanzunternehmen in der EU und/oder ihren Kunden zu tun haben. Dazu gehören Unternehmen, die interne IT-Dienstleistungen für EU-Tochter- oder Schwestergesellschaften erbringen oder IT-Dienstleister für Unternehmen mit Sitz in der EU sind.

Bedrohungsanalyse und operationelle Resilienz

Die Ziele der DORA-Verordnungen lassen sich in fünf Schritten zusammenfassen:

1. Management von Cyber-Risiken

Die Stärkung der Sicherheit und Widerstandsfähigkeit des digitalen Betriebs im Finanzsektor mit einem einheitlichen Aufsichtsrahmen ist das Ziel von DORA. Unternehmen sollen Strategien und Maßnahmen rund um ihre IT-Systeme und -Tools ergreifen, um die Auswirkungen von IT-Risiken zu minimieren. Dazu gehören proaktive Maßnahmen wie die Identifizierung, Klassifizierung und Dokumentation von cyberkritischen Anwendungen und Assets, die kontinuierliche Überwachung aller Quellen von IT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten, sowie die zeitnahe Erkennung von auffälligen Aktivitäten.

2. Strategie für die Widerstandsfähigkeit digitaler Unternehmen und Business Continuity

Belastbare IT-Systeme und -Werkzeuge sollen die Auswirkungen von IT-Risiken minimieren, und es sind Schutzmaßnahmen für Systeme, Netzwerke und kritische Vermögenswerte zu ergreifen, um unbefugten Zugriff, Diebstahl, Naturkatastrophen oder Umweltgefahren zu verhindern. Eine umfassende Business Continuity Policy mit Notfall- und Wiederherstellungsplänen als integraler Bestandteil eines umfassenden IT-Risikomanagements muss daher etabliert werden.

Mit DORA haben die Mitglieder des Verwaltungsrats die persönliche Verpflichtung und Haftung, ein IT-Risikomanagement bereitzustellen und zu überwachen sowie Mechanismen einzurichten, um aus externen und internen IT-Vorfällen zu lernen und sich weiterzuentwickeln.

3. Klassifizierung und sofortige Meldung größerer IT-bezogener Vorfälle

Ein IT-bezogenes Incident Management verpflichtet die Unternehmen, zeitnah auf IT-Vorfälle und Angriffe zu reagieren und sich schnell von ihnen zu erholen. Dies erfordert geeignete Mechanismen zur ständigen Erkennung anomaler Aktivitäten, einschließlich Netzwerkproblemen und IT-bezogenen Vorfällen, sowie eine vorab festgelegte Klassifizierung sensibler und gefährdeter Daten.

4. Kontinuierliche Tests der digitalen Resilienz und Ausfallsicherheit

Prüfung der digitalen Ausfallsicherheit: Mit umfassenden Tests, die auf TLPT (Threat-Led Penetration Testing) basieren, können Organisationen die tatsächliche digitale Widerstandsfähigkeit des Unternehmens überprüfen, die kontinuierlich durch Audits und Teste bewertet werden sollte: Kritische IT-Systeme und -Anwendungen müssen mindestens einmal im Jahr von unabhängigen internen oder externen Prüfern mit Simulationsübungen, bedrohungsorientierten Penetrationstests usw. getestet werden.

5. Sicherheitsmanagement für Third-Party Zulieferer

Das potenzielle Risiko, das von Dienstleistern ausgeht, wird durch die Verpflichtung zur Kontrolle und Gewährleistung der Sicherheit und Haftung erweitert (Drittparteirisiko). Dies betrifft auch Cloud-Dienste, Platform-as-a-Service oder Infrastructure-as-a-Service.

DORA verlangt die unverzügliche Meldung von Cybersicherheitsvorfällen an die zuständigen Aufsichtsbehörden und den Informationsaustausch, um die Ausbreitung von Bedrohungen zu minimieren und die allgemeinen Verteidigungsfähigkeiten der Finanzindustrie zu unterstützen und ihre Techniken zur Erkennung von Bedrohungen zu verbessern.

Was NDR für DORA leisten kann

Eine Network Detection and Response (NDR)-Lösung als Teil der DORA-Strategie befasst sich mit den Herausforderungen von DORA und gewährleistet die gesetzlich vorgeschriebene Sicherheit und Widerstandsfähigkeit des Netzes und der Informationssysteme in Bezug auf Reaktionsmaßnahmen, die von diesem Gesetz vorgeschrieben sind, sowie die Minimierung der Auswirkungen der externen Risiken.

Eine auf maschinellem Lernen basierende NDR-Lösung wie ExeonTrace, bietet Unternehmen mehrere Vorteile bei der Einhaltung von DORA, da sie einen umfassenden Einblick in den Netzwerkverkehr ermöglicht. Zum Beispiel: Unterstützung von Finanzunternehmen bei der Identifizierung potenzieller Bedrohungen und Schwachstellen, bevor diese ausgenutzt werden können. Durch die kontinuierliche Überwachung des Netzwerkverkehrs kann ExeonTrace verdächtige Aktivitäten wie unbefugte Zugriffsversuche oder Datenexfiltration erkennen und die Unternehmen darauf hinweisen.

ExeonTrace ermöglicht es Unternehmen, schnell und effektiv auf potenzielle Bedrohungen zu reagieren, indem es Verfahren zur Reaktion auf Vorfälle auslöst. Da die DORA Verordnung eine sofortige Berichterstattung vorschreibt, hilft es Unternehmen bei der Erfüllung der Berichtsanforderungen, indem es detaillierte Protokolle und Berichte über Netzwerkaktivitäten und Vorfälle liefert.

Wenn bereits ein SIEM (Security Information and Event Management) vorhanden ist, um Sicherheitsereignisse aus verschiedenen Quellen zu sammeln, empfiehlt sich auch eine NDR-Lösung, um die unübersichtliche Menge an Ereignissen und Alarmen in klare Risikomuster und sinnvolle Alarme zu unterteilen: Die unmittelbare und Echtzeit-Reaktion auf Cyber-Vorfälle im Netz macht den NDR, insbesondere im Hinblick auf Reaktion und Prävention, zu einem obligatorischen Asset, um die DORA-Richtlinien zu gewährleisten.

Gemäß der DORA-Verordnung müssen Finanzunternehmen „ausreichende Ressourcen und Kapazitäten für die Überwachung der Benutzeraktivitäten, des Auftretens von IT-Anomalien und IT-bezogener Vorfälle, insbesondere von Cyberangriffen“ bereitstellen. Network Detection and Response (NDR)-Lösungen ermöglichen es Unternehmen, ihre Ausgaben durch geringeren Datenverbrauch, geringeren Personalbedarf, sofortige Bedrohungserkennung, verbesserte betriebliche Effizienz und skalierbare Anpassungsfähigkeit bei der Verwaltung der Cybersicherheit zu senken.

Mit ExeonTrace können Finanzdienstleister ihre bestehende Infrastruktur ohne zusätzliche Hardware-Investitionen nutzen, das komplette Netzwerkprotokoll und die Protokolldaten analysieren und alle Netzwerkaktivitäten sichtbar machen.

Zusammenfassung:

Finanzorganisationen sollen einen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IT-Risiken auf den Finanzmärkten schaffen und die Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer Geschäftsunterbrechung sicherstellen. (Neue) Themen wie Threat Intelligence und Threat-led Penetration sind zu implementieren und die Abhängigkeiten zwischen Finanzdienstleistern und ihren Service Providern (3rd Party Risk Management) z.B. von Cloud Service Providern sind zu prüfen und sicherzustellen, ebenso wie die sofortige Meldung aller kritischen Vorfälle an Behörden. ExeonTrace löst große Teile der DORA-Anforderungen: Protokollierung, Entdeckung und Reaktion auf Cyber-Vorfälle in einer sicheren und konsistenten Weise und wird einen wichtigen Beitrag zur Einhaltung der DORA-Vorschriften leisten.

Wenn Sie eine persönliche Tour durch ExeonTrace wünschen oder mit mir oder einem unserer Netzwerksicherheitsexperten sprechen möchten, klicken Sie hier.