Der Digital Operational Resilience Act (DORA) ist ein Legislativvorschlag der Europäischen Union (EU), der darauf abzielt, die operative Widerstandsfähigkeit des Finanzsektors im digitalen Zeitalter zu verbessern. Er schafft einen umfassenden Rahmen für den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und Cyber-Bedrohungen, denen Finanzunternehmen ausgesetzt sind. Die Hauptziele von DORA sind die Gewährleistung der Kontinuität kritischer Finanzdienstleistungen angesichts von Cybervorfällen, die Stärkung der Aufsicht und Koordinierung des IKT-Risikomanagements durch die zuständigen Behörden, die Verbesserung der Zusammenarbeit und des Informationsaustauschs sowie die Verbesserung der Berichterstattung und der Transparenz bei bedeutenden IKT-bezogenen Vorfällen.
Seit wann ist DORA in Kraft?
DORA, der Digital Operational Resilience Act, ist seit dem 16. Januar 2023 in Kraft. Voraussichtlich im Juni 2023 werden die Europäischen Aufsichtsbehörden (ESAs) Konsultationspapiere zu verschiedenen technischen Regulierungs- und Durchführungsstandards (RTS & ITS) der Stufe 2 veröffentlichen. Diese Papiere zielen darauf ab, spezifische Anforderungen zu umreißen. Nach einer zweijährigen Umsetzungsfrist und der Entwicklung technischer Regulierungsstandards durch die Europäischen Aufsichtsbehörden (ESAs) müssen sich die Finanzunternehmen bis zum 17. Januar 2025 an diese Verordnung halten.
Welche Unternehmen fallen unter die DORA-Verordnung?
Die DORA hat einen breiten Anwendungsbereich und betrifft verschiedene Einrichtungen wie Banken, Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, E-Geld-Institute, zentrale Gegenparteien und Anbieter von Krypto-Asset-Dienstleistungen, um nur einige zu nennen. Darüber hinaus unterliegen auch kritische IKT-Drittanbieter der Regulierung, für die jeweils ein federführender Überwacher benannt wird, bei dem es sich entweder um die EBA, die ESMA oder die EIOPA handeln könnte.
DORA verfolgt einen umfassenden Ansatz, der eine breite Palette von Finanzinstituten einbezieht. Während Banken und Versicherungen, die bereits mit den EBA/EIOPA-Leitlinien zur IKT-Sicherheit und zum Outsourcing vertraut sind, eingeschlossen sind, erstreckt sich der Anwendungsbereich auf Handelsplätze, Einrichtungen, die betriebliche Altersvorsorge anbieten, Krypto-Dienstleister, Versicherungsvermittler und verschiedene andere Finanzunternehmen, die unter diesen neuen Rahmen fallen.
FinTechs werden nicht allein aufgrund ihrer geringeren Größe freigestellt, wenn sie unter die in der DORA-Verordnung genannten Kategorien fallen. Allerdings gelten für Unternehmen mit weniger als 10 Mitarbeitern und begrenztem Jahresumsatz weniger strenge Anforderungen im Rahmen der Verordnung.
IKT-Anbieter - einschließlich cloud -, die Dienstleistungen für Finanzunternehmen erbringen, können nun dem Aufsichtsrahmen unterworfen werden, wenn sie als "kritische IKT-Anbieter" eingestuft werden. Die Kriterien für diese Einstufung werden von den Europäischen Aufsichtsbehörden (ESAs) weiter spezifiziert, basieren aber hauptsächlich darauf, wie kritisch die erbrachten Dienstleistungen für den Finanzmarkt sind, sowie auf dem Grad der Abhängigkeit von dem IKT-Anbieter oder wie leicht er ersetzt werden kann
Warum ist die Einhaltung von DORA wichtig?
Die Einhaltung der DORA-Vorschriften stärkt die betriebliche Widerstandsfähigkeit, indem sie Schwachstellen aufzeigt und beseitigt.
Die Einhaltung der DORA sichert die Stabilität des Finanzsystems, indem sie Störungen mit potenziellen systemischen Auswirkungen verhindert.
Die Einhaltung der DORA-Vorschriften trägt dazu bei, Risiken im Bereich der Cybersicherheit durch die Umsetzung robuster Maßnahmen und Protokolle zu verringern.
Die Einhaltung von Vorschriften stärkt das Vertrauen der Kunden, indem sie ihr Engagement für den Schutz ihrer Daten und die Gewährleistung der Servicekontinuität unter Beweis stellt.
Organisationen müssen DORA einhalten, um gesetzliche und regulatorische Verpflichtungen zu erfüllen und Strafen und Rufschädigung zu vermeiden.
Die Einhaltung der DORA-Bestimmungen fördert die Innovation im Finanzsektor, indem sie Risiken beseitigt und eine sichere Grundlage für die Einführung neuer Technologien schafft.
Compliance fördert die Zusammenarbeit und Kooperation zwischen Marktteilnehmern und Aufsichtsbehörden und ermöglicht eine wirksame Reaktion auf Vorfälle und Kommunikation.
Die Einhaltung von DORA hilft Organisationen, der sich entwickelnden Bedrohungslandschaft einen Schritt voraus zu sein und sich an neue Risiken und Technologien anzupassen.
Die Einhaltung der DORA-Vorschriften bringt Organisationen in Einklang mit internationalen Standards und Erwartungen und fördert die Harmonisierung in verschiedenen Rechtsordnungen.
Die Einhaltung der DORA-Bestimmungen kann einen Wettbewerbsvorteil auf dem Markt darstellen, da sie ein starkes Engagement für die betriebliche Widerstandsfähigkeit und Cybersicherheit erkennen lässt.
Was sind die 10 Schritte zur Einhaltung von DORA?
Schritt 1: Verstehen des Anwendungsbereichs von DORA
Überblick über DORA: Verschaffen Sie sich einen umfassenden Überblick über die Ziele und Bestimmungen von DORA und die Einrichtungen, für die es gilt, wie Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, zentrale Gegenparteien und Datendienstleister.
Abbildung der DORA-Anforderungen: Identifizieren Sie die spezifischen Anforderungen und Verpflichtungen, die von DORA umrissen werden, wie z. B. Belastbarkeitstests, IKT-Risikomanagement, Berichterstattung über Vorfälle, Risikomanagement für Dritte und Cybersicherheitsfähigkeiten.
Schritt 2: Aufbau einer Governance-Struktur
Ernennung eines DORA-Beauftragten: Ernennen Sie eine engagierte Person oder ein Team, das für die Überwachung der DORA-Compliance-Bestrebungen innerhalb Ihrer Organisation verantwortlich ist.
Schaffung eines DORA-Einhaltungsrahmens: Entwicklung eines umfassenden Rahmens, der die Richtlinien, Verfahren und Kontrollen beschreibt, die erforderlich sind, um die Einhaltung der DORA-Anforderungen zu gewährleisten.
Schritt 3: Durchführen von Risikobewertungen
Identifizierung von Risiken: Führen Sie eine detaillierte Bewertung durch, um potenzielle Risiken und Schwachstellen in Bezug auf die Abläufe, Prozesse und Systeme Ihres Unternehmens zu ermitteln.
Bewertung von Auswirkung und Eintrittswahrscheinlichkeit: Bewerten Sie die potenziellen Auswirkungen und die Wahrscheinlichkeit identifizierter Risiken, wobei Sie sowohl interne als auch externe Faktoren berücksichtigen.
Schritt 4: Belastbarkeitstests
Entwurf von Szenarien für Ausfallsicherheitstests: Entwickeln Sie ein robustes Programm für Resilienztests, das realistische Szenarien simuliert, darunter Cyberangriffe, Systemausfälle und andere störende Ereignisse.
Auswertung der Testergebnisse: Analysieren und interpretieren Sie die Ergebnisse der Belastbarkeitstests, um Verbesserungsmöglichkeiten, Schwachstellen und Lücken in der betrieblichen Belastbarkeit zu ermitteln.
Schritt 5: IKT-Risikomanagement
Schaffung eines IKT-Risikomanagement-Rahmens: Entwicklung und Umsetzung eines Rahmens zur Identifizierung, Bewertung, Abschwächung und Überwachung von IKT-bezogenen Risiken, einschließlich Cybersicherheitsrisiken, technologischer Schwachstellen und betrieblicher Unterbrechungen.
Regelmäßige Überprüfung und Aktualisierung: Kontinuierliche Überprüfung und Aktualisierung des IKT-Risikomanagement-Rahmens, um ihn an neu auftretende Bedrohungen, sich entwickelnde Technologien und bewährte Verfahren der Branche anzupassen.
Schritt 6: Meldung von Vorfällen und Kommunikation
Festlegung von Verfahren zur Meldung von Vorfällen: Entwickeln Sie klare und genau definierte Verfahren für die Meldung von Zwischenfällen, in denen festgelegt ist, wie und wann wichtige Zwischenfälle den zuständigen Aufsichtsbehörden gemeldet werden sollten.
Förderung effektiver Kommunikationskanäle: Einrichtung effektiver Kommunikationskanäle innerhalb der Organisation, um eine prompte und genaue Meldung von Vorfällen zu gewährleisten und koordinierte Reaktionsmaßnahmen zu erleichtern.
Schritt 7: Risikomanagement für Drittparteien
Durchführen von Due Diligence: Führen Sie ein solides Due-Diligence-Verfahren ein, um die Fähigkeiten von Drittanbietern im Bereich Cybersicherheit und betriebliche Ausfallsicherheit zu bewerten, bevor Sie Partnerschaften oder Outsourcing-Vereinbarungen eingehen.
Vertragliche Bestimmungen: Fügen Sie spezifische Vertragsbestimmungen ein, die das Risikomanagement für Dritte betreffen und die Verantwortlichkeiten, Erwartungen und Standards darlegen, die erforderlich sind, um die Einhaltung des DORA zu gewährleisten.
Schritt 8: Cybersecurity-Fähigkeiten
Implementierung von starken Authentifizierungsmechanismen: Einsatz von Multifaktor-Authentifizierungslösungen, um die Sicherheit des Zugangs zu kritischen Systemen und sensiblen Informationen zu erhöhen.
Verschlüsselung und Datenschutz: Implementierung von Verschlüsselungsprotokollen zum Schutz von Daten im Ruhezustand und bei der Übertragung, um die Vertraulichkeit und Integrität sensibler Informationen zu gewährleisten.
Proaktive Überwachung und KI-gesteuerte Erkennung von Bedrohungen: Setzen Sie fortschrittliche Überwachungstools und KI-gesteuerte Systeme zur Erkennung von Cyber-Bedrohungen ein, um Bedrohungen der Cybersicherheit in Echtzeit zu erkennen und darauf zu reagieren.
Schritt 9: Reaktion auf Zwischenfälle und Geschäftskontinuität
Entwicklung umfassender Pläne für die Reaktion auf Vorfälle: Erstellen Sie detaillierte und gut strukturierte Reaktionspläne für Vorfälle, in denen Rollen, Zuständigkeiten, Eskalationsverfahren und Kommunikationskanäle für ein effektives Vorfallsmanagement festgelegt sind.
Testen und Üben von Reaktionsplänen auf Zwischenfälle: Testen und üben Sie regelmäßig Reaktionspläne für Zwischenfälle, um deren Wirksamkeit zu gewährleisten, verbesserungswürdige Bereiche zu ermitteln und die Mitarbeiter mit ihren Rollen und Verantwortlichkeiten vertraut zu machen.
Schritt 10: Kontinuierliche Verbesserung und Überwachung der Einhaltung
Einrichtung von Mechanismen zur Überwachung der Einhaltung: Einführung eines robusten Programms zur Überwachung der Einhaltung der Vorschriften, um die laufende Einhaltung der DORA-Anforderungen zu bewerten, Lücken zu ermitteln und kontinuierliche Verbesserungen zu erzielen.
Bleiben Sie auf dem Laufenden über regulatorische Updates: Verfolgen Sie aufmerksam die Entwicklungen, Aktualisierungen und Anleitungen im Zusammenhang mit DORA, um die Einhaltung der Vorschriften zu gewährleisten.
Die Einhaltung des Digital Operational Resilience Act (DORA) erfordert einen umfassenden und proaktiven Ansatz für die betriebliche Stabilität und Cybersicherheit. Durch die Umsetzung der in diesem Leitfaden beschriebenen Best Practices können Unternehmen die Komplexität von DORA erfolgreich meistern, ihre operative Widerstandsfähigkeit stärken und zur allgemeinen Stabilität des Finanzsystems beitragen. Nehmen Sie diese Empfehlungen an, passen Sie sie an Ihren spezifischen Kontext an und machen Sie sich mit Zuversicht und Widerstandsfähigkeit auf den Weg zur Einhaltung der DORA-Vorschriften.
Wer sollte an der Einhaltung der DORA-Vorschriften beteiligt sein?
Die Einhaltung der DORA-Vorschriften erfordert die Zusammenarbeit verschiedener Interessengruppen innerhalb einer Organisation. Die folgenden Schlüsselpersonen oder -teams sollten an dem Prozess beteiligt sein:
Leitende Angestellte: Leitende Angestellte, einschließlich des CEO, CFO und CIO, sollten die Bemühungen um die Einhaltung der DORA-Richtlinien anführen und unterstützen. Sie spielen eine entscheidende Rolle, wenn es darum geht, an der Spitze den Ton anzugeben und die notwendigen Ressourcen zuzuweisen.
DORA-Compliance-Beauftragter/Team: Benennen Sie einen speziellen DORA-Compliance-Beauftragten oder ein Team, das für die Überwachung und Koordinierung der Compliance-Bemühungen verantwortlich ist. Sie sollten mit den Bestimmungen und Anforderungen von DORA bestens vertraut sein.
Rechts- und Compliance-Abteilung: Die Rechts- und Compliance-Abteilung spielt eine entscheidende Rolle bei der Auslegung und dem Verständnis der rechtlichen Verpflichtungen von DORA. Sie stellt sicher, dass die Richtlinien, Verfahren und Praktiken der Organisation mit den gesetzlichen Anforderungen übereinstimmen.
Risikomanagement-Team: Das Risikomanagement-Team ist für die Durchführung von Risikobewertungen, die Identifizierung potenzieller Schwachstellen und die Umsetzung von Maßnahmen zur Risikominderung zuständig. Es sollte eng mit dem Compliance-Team zusammenarbeiten, um DORA-spezifische Risiken anzugehen.
IT- und Cybersecurity-Teams: Die IT- und Cybersicherheitsteams sind maßgeblich an der Umsetzung der notwendigen technischen Maßnahmen zur Erfüllung der DORA-Anforderungen beteiligt. Sie spielen eine entscheidende Rolle bei der Bereitstellung von Cybersicherheitskapazitäten, Belastbarkeitstests und Reaktionsplänen auf Vorfälle.
Betrieb und Geschäftseinheiten: Betriebsteams und Geschäftsbereiche spielen eine wichtige Rolle bei der Umsetzung von DORA-Compliance-Maßnahmen in ihren jeweiligen Bereichen. Sie sollten mit Compliance-, Risikomanagement- und IT-Teams zusammenarbeiten, um die Abstimmung und Umsetzung der DORA-Anforderungen sicherzustellen.
Interne Prüfung: Das Team der Innenrevision sorgt für unabhängige Sicherheit, indem es die Wirksamkeit der Bemühungen der Organisation zur Einhaltung der DORA-Bestimmungen bewertet. Sie führen Prüfungen und Bewertungen durch, um die laufende Einhaltung der DORA-Bestimmungen zu gewährleisten.
Drittanbieter von Dienstleistungen: Wenn die Organisation auf Drittdienstleister angewiesen ist, sollten diese in die Einhaltung der DORA-Vorschriften einbezogen werden. Dazu gehört die Bewertung ihrer Fähigkeiten in Bezug auf Cybersicherheit und betriebliche Ausfallsicherheit sowie die Sicherstellung der Einhaltung durch vertragliche Bestimmungen.
Kommunikations- und Schulungsteams: Effektive Kommunikation und Schulung sind entscheidend für das organisationsweite Verständnis und die Einhaltung von DORA. Die Kommunikations- und Schulungsteams sollten Schulungsprogramme entwickeln und durchführen, um das Bewusstsein zu schärfen und Anleitungen zu den DORA-Anforderungen zu geben.
Externe Gutachter und Berater: Organisationen können externe Berater oder Rechtsberater hinzuziehen, die auf die Einhaltung der DORA-Vorschriften spezialisiert sind. Sie können Orientierungshilfen geben, bei Risikobewertungen behilflich sein und dabei helfen, sich in der komplexen Landschaft der DORA zurechtzufinden.
Durch die Einbeziehung dieser wichtigen Interessengruppen und die Förderung der Zusammenarbeit zwischen ihnen können Organisationen die DORA-Konformität effektiv gewährleisten und einen ganzheitlichen und umfassenden Ansatz für die betriebliche Widerstandsfähigkeit und Cybersicherheit sicherstellen.
Wie ermöglicht Vectra AI die Einhaltung der DORA-Vorschriften?
Vectra AI bietet fortschrittliche Lösungen zur Erkennung von und Reaktion auf Bedrohungen, die perfekt auf die Anforderungen des Digital Operational Resilience Act abgestimmt sind. Lassen Sie uns herausfinden, wie Vectra AI Organisationen bei der Einhaltung des DORA helfen kann:
Bedrohungserkennung und -reaktion in Echtzeit Vectra AI Die Plattform nutzt KI-gesteuerte Verhaltensanalysen, die auf MITRE Att&ck-Techniken und maschinellen Lernmodellen basieren, um Bedrohungen aus den Bereichen Netzwerk, SaaS, Identität, AWS CloudMicrosoft 365 Cloud und Hybrid Cloud in Echtzeit zu erkennen und zu analysieren. Durch die kontinuierliche Überwachung des Netzwerkverkehrs und -verhaltens kann Vectra AI potenzielle Bedrohungen erkennen, bevor sie eskalieren, und schnelle Reaktionen ermöglichen, um Risiken umgehend zu minimieren.
Verbesserte Reaktion auf Vorfälle Im Falle eines Cybervorfalls liefert die Plattform Vectra AI wertvolle Erkenntnisse und verwertbare Informationen für die Reaktionsteams auf Vorfälle, basierend auf MITRE D3FEND. Dadurch können Organisationen entscheidende Maßnahmen zur Eindämmung, Untersuchung und Beseitigung von Bedrohungen ergreifen und die Anforderungen der DORA für die Meldung von Vorfällen wirksam erfüllen.
Proaktives Risikomanagement Vectra AI Die proaktiven Funktionen von threat hunting ermöglichen es Unternehmen, potenziellen Risiken immer einen Schritt voraus zu sein. Durch die Erkennung von versteckten Bedrohungen und Schwachstellen können Finanzinstitute proaktive Schritte unternehmen, um ihre Sicherheitslage zu verbessern und die DORA-Bestimmungen zum Risikomanagement einzuhalten. Besuchen Sie die Lösungsseite von KPMG & Vectra.
Automatisierte Compliance-Berichterstattung Die Einhaltung der DORA-Bestimmungen erfordert eine umfassende Berichterstattung über Sicherheitsvorfälle und Risikomanagementpraktiken. Vectra AI vereinfacht diesen Prozess durch die Automatisierung der Compliance-Berichterstattung und spart den Finanzinstituten Zeit und Mühe bei der Erfüllung der gesetzlichen Verpflichtungen.
Lassen Sie uns untersuchen, wie Vectra AI Organisationen dabei helfen kann, die Einhaltung bestimmter DORA-Kapitel und Artikel zu erreichen:
Artikel
DORA-Anforderung
Vectra-Antwort
Kapitel II, Artikel 5
IKT-Risikomanagement-Rahmen
Vectra AI bietet integrierte fortschrittliche threat hunting Funktionen für proaktives Bedrohungs- und Risikomanagement, die mit den Anforderungen des ICT-Risikomanagements übereinstimmen.
Kapitel II, Artikel 7
Identifizierung
- Klassifizierung von Kronjuwelen-Assets für verbesserte Sichtbarkeit. - Automatische Priorisierung potenzieller Vorfälle, die kritische Assets betreffen. - Verbesserte Sichtbarkeit von On-Premises, cloud und hybriden Assets, Services und Interaktionen.
Kapitel II, Artikel 9
Erkennung
Vectra AI nutzt fortschrittliche Funktionen zur Erkennung von Bedrohungen in allen seinen Produkten, einschließlich modernster Methoden zur Erkennung von Angriffssignalen auf der Grundlage von MITRE ATT&CK , KI-Modellen, signaturbasierten Modellen sowie umfassender Visualisierung und Berichterstattung.
Kapitel II, Artikel 10
Reaktion und Wiederherstellung
Bietet KI-gesteuerte Verhaltensanalyse- und Erkennungsfunktionen auf der Grundlage von MITRE ATT&CK für die Echtzeit-Erkennung von Anomalien in Netzwerken, SaaS, Identität und cloud. Umfasst eine integrierte Priorisierung von Vorfällen und empfohlene Reaktionsverfahren.
Kapitel II, Artikel 12
Lernen und sich weiterentwickeln
Kontinuierliche Integration und Darstellung von Angriffsverfahren auf der Grundlage der Cyber-Kill-Chain und des MITRE ATT&CK Frameworks für kontinuierliches Lernen und After Action Reviews (AAR).
Kapitel II, Artikel 13
Kommunikation
MITRE ATT&CK-basierte Berichterstattung für eine standardisierte Kommunikation von Ereignissen, Entdeckungen und Vorfällen mit den Beteiligten, einschließlich Behörden und nationalen oder regionalen CSIRTs.
Kapitel III, Artikel 15
IKT-bezogener Störungsmanagementprozess
Automatische Klassifizierung von Bedrohungen und KI-gesteuerte Priorisierung für integriertes Incident Management mit SOAR- oder ITSM-Lösungen.
Kapitel III, Artikel 16
Klassifizierung von IKT-bezogenen Vorfällen
Implementiert ein 4-stufiges Klassifizierungssystem (niedrig, mittel, hoch, kritisch) mit einer punktebasierten Priorisierung, um die Bearbeitung von Vorfällen zu optimieren.
Kapitel III, Artikel 17
Meldung größerer IKT-bezogener Vorfälle
Bietet integrierte Berichtsfunktionen, die die Dokumentation von MITRE ATT&CK Techniken, die Stufe der Cyber-Kill-Chain und die angewandten MITRE D3FEND Verfahren umfassen.
Kapitel III, Artikel 18
Harmonisierung von Berichtsinhalten und Vorlagen
Liefert standardisierte Berichtsvorlagen und On-Demand-Berichtsinhalte für integrierte Berichte über verschiedene Tools und Systeme hinweg.