Der Digital Operational Resilience Act (DORA) der EUAuswirkungen auf das Data Management und Data Protection
7. Februar 2024Finanzdienstleister müssen sich auf eine verschärfte Aufsicht in einer sich verändernden Regulierungslandschaft in Sachen Data Protection vorbereiten. Dabei geht es um die operative Resilienz (OR), also betriebliche Widerstandsfähigkeit. Das Wachstum der vernetzten Systeme und die wachsende Bedrohung durch Cyber-Kriminalität und andere Herausforderungen haben deutlich gemacht, dass in diesem Kontext viel mehr getan werden muss.
Die Regulierungsbehörden der Finanzbranche haben diese Herausforderungen erkannt und machen die Resilienz zu einem Kernstück ihrer Aktivitäten. Dies gilt insbesondere in der EU mit dem Digital Operational Resilience Act (DORA). Ein Finanzdienstleistungsunternehmen sollte die wesentlichen Stellschrauben kennen sowie die erforderlichen Schlüsselelemente rund um Data Management und Data Protection implementiert haben, um auf eine sich verändernde Regulierungslandschaft reagieren zu können.
Der Digital Operational Resilience Act (DORA) der EU ist der umfassendste Ansatz für OR und Cyber-Sicherheit, den eine überstaatliche Regulierungsbehörde verfolgt. Die vollständige Umsetzung ist für das Jahr 2025 geplant, so dass es von entscheidender Bedeutung ist, dass Unternehmen bereits jetzt Schritte durchführen, um vorbereitet zu sein.
Dabei gibt es vor allem fünf Dinge, die jedes Unternehmen, das im Finanzdienstleistungssektor tätig ist, über DORA wissen muss:
- Fünf Säulen. Dies könnte die weitreichendste Verordnung sein, die jemals erlassen wurde. Zu den fünf Säulen von DORA gehören: Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), Berichterstattung über Vorfälle, Prüfung der digitalen operativen Resilienz, Risikomanagement für Dritte und nicht zuletzt die gemeinsame Nutzung von Informationen.
- Weitreichende Auswirkungen auf das gesamte Ökosystem. Die Breite und Tiefe von DORA ist beispiellos. Das Gesetz gilt für Banken, Versicherungen, Wertpapierfirmen und dergleichen, aber auch für kritische Drittparteien. Damit soll sichergestellt werden, dass Risiken, die sich aus der zunehmenden Abhängigkeit von Unternehmen ergeben, die Dienstleistungen und Support anbieten, wie z. B. Cloud-Service-Provider, ISVs und Zahlungsabwickler, direkt auf der Ebene des Service-Providers und nicht auf der Ebene der einzelnen Unternehmen behandelt werden.
- Harmonisierung und Ausweitung bestehender Vorschriften. Das erste Ziel von DORA ist die Harmonisierung der bestehenden Vorschriften in der EU. Es geht aber noch viel weiter und erweitert den Regelungsbereich und die Anforderungen drastisch. So führt DORA beispielsweise strengere Meldepflichten für Cyber-Sicherheitsvorfälle ein und schreibt strenge Fristen für die Meldung vor.
- Unternehmensweite Auswirkungen. Im Gegensatz zu früheren Ansätzen im Bereich der Cyber-Sicherheit ist die Einhaltung von DORA nicht nur eine Frage der IT. Die Unternehmen müssen einen unternehmensweiten Ansatz verfolgen und von Anfang an die Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und die IT-Abteilung einbeziehen.
- Vorbereitung auf die Einhaltung von DORA. Die Durchsetzung von DORA ist für 2025 geplant, daher müssen Finanzdienstleister daran arbeiten, einen reibungslosen Übergang zu gewährleisten. Es ist wichtig, dass die Unternehmen jetzt handeln, damit sie die notwendigen Änderungen rechtzeitig umsetzen können.
Die wichtigsten „To-dos“ für die OR-Bereitschaft
Wissen und Handeln sind zwei sehr unterschiedliche Dinge, und das gilt sicherlich für die weitreichenden und oft komplizierten Mandate in der EU.
- Eine weitreichende Regulierung erfordert eine umfassendere Sichtweise, diese neuen OR-Regelungen erlegen einem Unternehmen eine breite Palette neuer Anforderungen auf. Der erweiterte Geltungsbereich bedeutet, dass mehr Bereiche des Unternehmens in die Formulierung und Durchführung von Maßnahmen zur Verbesserung der Resilienz einbezogen werden müssen. Es ist ratsam, einen Blick auf die künftigen Anforderungen zu werfen und dann ein Instrumentarium und Verfahren zu entwerfen und aufzubauen, die alle relevanten Parteien einbeziehen, wobei der Schwerpunkt auf den neuen Bereichen liegt, die einbezogen werden müssen. Alte Messgrößen müssen unter Umständen entweder verworfen oder grundlegend überarbeitet werden, um Prozesse und Leistung mit den neuen Anforderungen in Einklang zu bringen.
- Fokus auf Cyber-Sicherheit; im Mittelpunkt der neuen Resilienz-Bemühungen steht die Cyber-Sicherheit, wobei der Schwerpunkt auf der Sensibilisierung und der Vorbereitung auf Ransomware-Angriffe sowie auf der rechtzeitigen und gründlichen Meldung von Vorfällen liegt. Unternehmen müssen über Pläne zur Aufrechterhaltung nd Wiederherstellung kritischer Geschäftsprozesse sowie über einen Einblick in ihre Datenpipelines und wichtigen Arbeitsabläufe verfügen, um Anomalien zu erkennen und die Vorbeugung und Eindämmung von Sicherheitsvorfällen zu verbessern.
- Daten sind das Herzstück eines jeden Unternehmens; eine hilfreiche Methode zur Bewältigung einer neuen Herausforderung besteht darin, sie in ihre Bestandteile zu zerlegen, um nicht von der Komplexität überwältigt zu werden. Im Falle dieser neuen Regelungen sind Daten der gemeinsame Nenner. Daten sind das ultimative Ziel der meisten Angreifer und das grundlegende Element, das für die Gewährleistung der Widerstandsfähigkeit erforderlich ist, insbesondere in Bezug auf das IKT-Risikomanagement. Die Verwaltung, die Zugänglichkeit und der Schutz von Daten müssen im Mittelpunkt eines jeden Plans stehen.
Ein großer Sprung nach vorn für die Regulierung
Der Digital Operational Resilience Act (DORA) der EU stellt einen großen Sprung in der Regulierung der Finanzdienstleistungsbranche dar. Darüber hinaus rücken die Termine für ihre Umsetzung näher, so dass Vorbereitungen und Maßnahmen unerlässlich sind. Die Stärkung der OR innerhalb des Finanzdienstleistungssektors ist ein notwendiges und lobenswertes Ziel, aber es wird nicht ohne große Kosten kommen, sowohl in Bezug auf Zeit als auch auf Ressourcen.
Mit der Hilfe von Data Management-Experten können Finanzdienstleister die Komplexität von DORA bewältigen und auf eine sicherere und widerstandsfähigere Zukunft hinarbeiten. Moderne Lösungen unterstützen die betriebliche Ausfallsicherheit von vornherein. Mit einer All-Flash-Konfiguration lassen sich beispielsweise Geschwindigkeit, Einfachheit und Flexibilität maximieren. Integrierte Datenschutzfunktionen sowie ein Ransomware-Recovery-SLA und ein Zero Data Loss-Garantie stellen sicher, dass die Wiederherstellung im Falle einer Störung optimiert und maximale Datensicherheit gewährleistet ist. (rhh)