Digital Operational Resilience Act (DORA) als Chance für Fortschritt DORA für bestmögliche Cyber-Sicherheit umsetzen
4. August 2023In einer Zeit, die von raschen technologischen Fortschritten geprägt ist, sind die Resilienz und Sicherheit der Finanzsysteme wichtiger denn je geworden. Der Digital Operational Resilience Act (DORA), ein von der Europäischen Union (EU) eingeführter Rechtsrahmen, zielt darauf ab, die Cyber-Sicherheit und die operative Widerstandsfähigkeit des Finanzsektors zu stärken.
Bei DORA handelt es sich um ein Instrument zur Harmonisierung und Stärkung der operativen Widerstandsfähigkeit von Finanzmarktteilnehmern und Aufsichtsbehörden in der gesamten EU. Dieser Rechtsrahmen ist im Streben nach Kontinuität, Cyber-Sicherheit und Stabilität verwurzelt, überschreitet Grenzen und fördert die Zusammenarbeit beim Schutz kritischer Funktionen. Sein Anwendungsbereich erstreckt sich auf eine Vielzahl von Einrichtungen, darunter Kreditinstitute, Zahlungsinstitute, E-Money-Institute, zentrale Gegenparteien und Datendienstleister, um nur einige zu nennen.
Um die Einhaltung von DORA zu gewährleisten, müssen die Finanzmarktteilnehmer die Grundpfeiler des Gesetzes annehmen und verinnerlichen:
- Resilienztests und -szenarien: Gemäß den DORA-Leitlinien sind die Unternehmen dazu aufgerufen, angesichts von Cyber- und IT-Bedrohungen regelmäßige Resilienztests durchzuführen, um ihre betriebliche Kontinuität zu bewerten. Durch die Ausarbeitung und Durchführung realistischer Stresstestszenarien werden Schwachstellen und Schwachpunkte aufgedeckt und der Weg für robuste und proaktive Maßnahmen geebnet.
- IKT-Risikomanagement-Rahmen: DORA legt einen berechtigten Schwerpunkt auf die Schaffung eines wirksamen Rahmens für das Risikomanagement in der Informations- und Kommunikationstechnologie (IKT). Durch die Förderung umfassender Governance-Strukturen, Strategien und Verfahren können Unternehmen IKT-bezogene Risiken kompetent identifizieren, bewerten und abmildern und so die Resilienz im Kern fördern.
- Meldung von Vorfällen und Kommunikation: Rechtzeitige und transparente Kommunikation ist das Herzstück der DORA-Philosophie. Unternehmen sind verpflichtet, den zuständigen Aufsichtsbehörden bedeutende Vorfälle unverzüglich zu melden. Durch die Förderung eines offenen Dialogs kann der Finanzsektor effizient reagieren, koordinieren und sich an die dynamischen Herausforderungen potenzieller Störungen anpassen.
- Risikomanagement für Drittanbieter: DORA erkennt die wichtige Rolle an, die Drittanbieter von Dienstleistungen spielen, was ein solides Risikomanagement erfordert. Unternehmen sollten bei der Auswahl und Zusammenarbeit mit Dritten mit der gebotenen Sorgfalt vorgehen und dabei ein besonderes Augenmerk auf die Cloud legen. Durch die Umsetzung der notwendigen Kontrollen und Schutzmaßnahmen können die mit solchen Partnerschaften verbundenen Risiken wirksam gemindert werden.
- Cyber-Sicherheitsfähigkeiten: In Anbetracht der sich entwickelnden Bedrohungslandschaft schreibt DORA den Behörden vor, ihre Cyber-Sicherheitsfähigkeiten zu verbessern. Durch eine proaktive Haltung und robuste Maßnahmen wie starke Authentifizierungsmechanismen, Verschlüsselungsprotokolle und wachsame Überwachungssysteme können kritische Systeme und unschätzbare Daten vor Angreifern geschützt werden.
Auf dem Weg zur DORA-Compliance
Wenn die Finanzmarktteilnehmer die DORA-Compliance erlangen wollen, ebnen praktische Schritte den Weg zum Erfolg. Einige konkrete Maßnahmen erleichtern die Anpassung an diese bahnbrechende Gesetzgebung:
- Risikobewertung: Am Anfang empfiehlt sich eine umfassende Risikobewertung, bei der potenzielle Schwachstellen und Bereiche der Nichteinhaltung aufgedeckt werden. Zu bewerten sind bestehende Cyber-Sicherheitsmaßnahmen, Incident-Response-Pläne und betriebliche Ausfallsicherheitskapazitäten anhand der DORA-Anforderungen.
- Richtlinien und Dokumentation: Unternehmen müssen umfassende Richtlinien und Verfahren entwickeln und dokumentieren, die der Philosophie von DORA entsprechen. Diese Instrumente sollten Bereiche wie die Meldung von Vorfällen, das Risikomanagement von Drittanbietern, das IKT-Risikomanagement und Ausfallsicherheitstests abdecken. Mit einem klaren Fahrplan können Unternehmen sicher durch die Compliance-Landschaft navigieren.
- Stärkung der Belastbarkeitstests: Es folgt die Einführung eines strengen Testprogramms mit realistischen Szenarien, die die betriebliche Widerstandsfähigkeit kritischer Funktionen bewerten. Regelmäßige Überprüfungen und Anpassungen des Testprogramms an neu auftretende Bedrohungen und bewährte Praktiken der Branche stellen sicher, dass die Unternehmen auch auf widrige Umstände gut vorbereitet sind.
- Verstärkung der Cyber-Sicherheitsmaßnahmen: Der nächste Schritt ist der Einsatz fortschrittlicher Cyber-Sicherheitsmaßnahmen, z. B. Multi-Faktor-Authentifizierung, Intrusion-Detection-Systeme und Verschlüsselungsprotokolle. Mit regelmäßigen Updates und Patches für Software und Systeme lassen sich bekannte Schwachstellen wirksam beseitigen und die allgemeine Sicherheitslage verbessern.
- Leistungsfähige Incident-Response-Pläne: Umfassende Pläne für die Reaktion auf Vorfälle sehen klare Schritte für den Fall eines Vorfalls oder einer Störung der Cyber-Sicherheit vor. Durch die Förderung einer nahtlosen Kommunikation, präzise Eskalationsverfahren und die Festlegung von Rollen und Zuständigkeiten können Unternehmen Risiken mindern und eine rasche und wirksame Reaktion ermöglichen.
Der Digital Operational Resilience Act bietet nach Meinung von Vectra AI die Gelegenheit, die Sicherheit und Stabilität der Finanzsysteme zu stärken. Indem sie sich die Bestimmungen zu eigen machen und sie proaktiv einhalten, können die Finanzmarktteilnehmer den Weg für eine widerstandsfähige Zukunft ebnen. Durch regelmäßige Resilienztests, robuste Risikomanagement-Rahmenwerke, wirksame Notfallpläne und offene Kommunikationskanäle wird sichergestellt, dass Unternehmen bereit sind, sich in der komplexen Cyber-Landschaft zurechtzufinden. (rhh)