Digital Operational Resilience Act (DORA)

Inhaltsverzeichnis

Angesichts der zunehmenden Digitalisierung und der damit verbundenen Risiken ist es unerlässlich, robuste Maßnahmen zu implementieren, um sicherzustellen, dass Unternehmen in der Finanzbranche auch in Krisenzeiten funktionsfähig bleiben. Wir haben alles Wissenswerte rund um den Digital Operational Resilience Act (DORA) in diesem Artikel zusammengefasst.

Was bedeutet „digitale operationale Resilienz"?

Digitale operationale Resilienz bezeichnet im Rahmen der DORA Regulation die Fähigkeit eines Unternehmens, Störungen und Krisen im digitalen Betrieb effektiv zu bewältigen. Sie umfasst mehrere Aspekte:

  • Anpassungsfähigkeit: Unternehmen müssen in der Lage sein, sich schnell an Veränderungen oder unerwartete Ereignisse, wie Cyber-Angriffe oder technische Störungen, anzupassen.
  • Erholung: Nach einer Störung sollte es nach der DORA Regulation einem Unternehmen möglich sein, schnell wieder betriebsfähig zu werden. Dies beinhaltet Notfallpläne und Wiederherstellungsstrategien.
  • Verfügbarkeit von Systemen: Die Systeme müssen jederzeit zugänglich und funktionsfähig sein, um den Geschäftsbetrieb aufrechtzuerhalten.
  • Datenintegrität: Der Schutz und die Richtigkeit von Daten sind entscheidend. Unternehmen müssen sicherstellen, dass ihre Daten nicht verloren gehen oder manipuliert werden.
  • Sicherheitsmaßnahmen: Um potenzielle Bedrohungen abzuwehren, sind robuste Sicherheitsstrategien und -technologien erforderlich, die Cyber-Angriffe erkennen und verhindern können.

Der DORA setzt Standards, die sicherstellen sollen, dass Unternehmen auf digitale Risiken vorbereitet sind und ihre IT-Infrastruktur kontinuierlich überwacht und verbessert wird.

Was genau ist der Digital Operational Resilience Act?

DORA und EU

Die DORA Regulation ist eine Verordnung der Europäischen Union , die darauf abzielt, einheitliche Vorschriften zur operationalen Resilienz (s. vorheriger Abschnitt) von Finanzinstituten zu schaffen. Die Verordnung ist Teil eines größeren Rahmens zur Verbesserung der Sicherheit und Stabilität im Finanzsektor. Insbesondere soll mit dem DORA in der EU sichergestellt werden, dass alle relevanten Akteure, die in die digitale Finanzstruktur eingebunden sind, in der Lage sind, sich gegen digitale Bedrohungen zu wappnen.

DORA im Finanzsektor

Die DORA-Verordnung verpflichtet die Finanzbranche, einschließlich Banken und Versicherungen, zur Stärkung der digitalen Resilienz durch strenge Anforderungen an das IT-Risikomanagement, Notfallpläne und regelmäßige Sicherheitstests. Unternehmen müssen digitale Risiken systematisch überwachen und sicherstellen, dass auch Drittanbieter diesen Standards entsprechen. Bei Cyber-Vorfällen sind Berichte an die Aufsichtsbehörden verpflichtend, um eine schnelle Reaktion und Schadensbegrenzung zu gewährleisten. Ziel ist es, die Stabilität des Finanzsystems gegen zunehmende Cyber-Bedrohungen zu sichern.

DORA und IT

Im Kontext von der DORA Regulation und IT bezieht sich die Verordnung auf die Anforderungen an die Informationstechnologie von Finanzinstitutionen. Diese Anforderungen umfassen unter anderem die Sicherstellung der Datenintegrität, die Verfügbarkeit von Systemen und den Schutz vor Cyber-Angriffen. IT-Abteilungen werden hier vor große Herausforderungen gestellt und benötigen erfahrene Cyber-Security-Spezialisten, um die DORA-Richtlinie nach den Vorgaben umzusetzen.

DORA und Versicherung

Auch in der Versicherungsbranche bringt der Digital Operational Resilience Act Versicherung weitreichende Änderungen. Versicherungen müssen gemäß der DORA-Vorgaben umfassende Maßnahmen zur Stärkung der digitalen Resilienz umsetzen. Dazu gehören Notfallpläne und das regelmäßige Testen der Cyber-Sicherheit. Durch die Einhaltung der DORA-Richtlinie wird die Versicherungsbranche besser gegen Cyber-Angriffe und IT-Ausfälle gewappnet, was Vertrauen bei Kunden schafft.

Wer ist von der DORA-EU-Verordnung betroffen?

Zu den oben bereits angesprochenen Akteuren mit Blick auf die DORA-Richtlinie gehören konkret:

  • Finanzinstitute (Banken, Versicherungen, Zahlungsdienstleister): Die DORA Regulation hilft Finanzunternehmen, ihre digitale Infrastruktur widerstandsfähiger gegen Cyber-Bedrohungen und technische Störungen zu machen. Durch die Einhaltung der DORA-Vorgaben können sie ihre Systemsicherheit erhöhen und die Ausfallrisiken minimieren.
  • Kunden: Verbraucher und Unternehmen, die Finanzdienstleistungen in Anspruch nehmen, profitieren indirekt von den DORA-Regelungen. Eine stärkere Resilienz bedeutet weniger Ausfälle und damit mehr Vertrauen und Zuverlässigkeit in die Finanzinstitute, auf die sie angewiesen sind.
  • Finanzmarkt: Die DORA-EU-Verordnung stärkt die Stabilität des gesamten europäischen Finanzmarktes, indem einheitliche Standards für die Cyber-Sicherheit gesetzt werden. Dies trägt zur Verhinderung systemischer Risiken bei und erhöht die Marktstabilität.
  • Aufsichtsbehörden (z. B. BaFin): Die DORA-Verordnung ermöglicht es den nationalen Aufsichtsbehörden, die Einhaltung der Sicherheitsstandards zu überwachen und durchzusetzen. Dies erleichtert die Arbeit der Behörden und stellt sicher, dass der Markt standardisierte Sicherheitsrichtlinien befolgt.
  • Technologie- und IT-Dienstleister: Auch Drittanbieter, die IT-Dienstleistungen für Finanzinstitute erbringen, profitieren durch die steigende Nachfrage nach innovativen Lösungen zur Risikominderung und Resilienz-Steigerung.

Alle diese Institutionen müssen sicherstellen, dass sie die Anforderungen des DORA erfüllen und ihre operationale Resilienz kontinuierlich verbessern.

Was beinhaltet die DORA-Richtlinie?

Die EU-Verordnung beinhaltet sogenannte DORA Regulatory Technical Standards (RTS), die eine zentrale Rolle bei der Umsetzung der DORA-Anforderungen in sechs Kernbereichen spielen. Diese umfassen:

ICT-Risiko-Management:

  • Finanzinstitute müssen robuste ICT-Risikomanagement-Frameworks implementieren, um Bedrohungen zu identifizieren, zu überwachen, zu kontrollieren und zu mindern.
  • Verpflichtende Maßnahmen zur Prävention und Erkennung von Bedrohungen, zur Wiederherstellung von Systemen sowie zur Sicherstellung der Geschäftskontinuität.
  • Hinweis: ICT steht für Informations- und Kommunikationstechnologie

ICT-Sicherheitsanforderungen:

  • Unternehmen müssen Richtlinien zur Identitäts- und Zugriffsverwaltung sowie für den Schutz sensibler Daten umsetzen.
  • Anforderungen an die Verschlüsselung und Authentifizierung zur Sicherung von Daten und IT-Systemen gegen Cyberangriffe.
  • Regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen.

Überwachung und Berichterstattung:

  • Einführung von kontinuierlichen Überwachungsverfahren, um die ICT-Sicherheitslage zu bewerten und auf Bedrohungen schnell reagieren zu können.
  • Verpflichtung, alle schwerwiegenden ICT-Sicherheitsvorfälle innerhalb eines bestimmten Zeitraums den Aufsichtsbehörden zu melden und detaillierte Berichte vorzulegen.

Digitale Betriebswiderstandsfähigkeitstests (z. B. Penetrationstests):

  • Regelmäßige Belastungs- und Penetrationstests, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  • Unternehmen müssen sicherstellen, dass ihre internen und externen Systeme Krisenszenarien standhalten können.

Drittanbieter-Risiken (z. B. Cloud-Dienstleister):

  • Finanzinstitute müssen Drittanbieter, wie Cloud-Dienstleister und andere ICT-Dienstleister, sorgfältig überwachen und strenge vertragliche Vereinbarungen treffen.
  • DORA sieht vor, dass kritische ICT-Dienstleister, die Dienstleistungen für mehrere Finanzunternehmen erbringen, ebenfalls durch die Behörden überwacht werden.

Governance und Reporting:

  • Jedes Unternehmen muss eine klare Governance-Struktur aufbauen, die das ICT-Risikomanagement überwacht.
  • Regelmäßige Berichterstattung an die Aufsichtsbehörden über den Stand der digitalen Resilienz und alle signifikanten ICT-Vorfälle.

Bis wann muss die DORA-Umsetzung abgeschlossen sein?

Die Anforderungen aus dem Digital Operational Resilience Act (DORA) müssen von den betroffenen Unternehmen bis 17. Januar 2025 umgesetzt werden. Ab diesem Datum müssen Finanzinstitute in der EU sicherstellen, dass sie alle Vorgaben zur operationalen Resilienz einhalten, um den gesetzlichen Anforderungen gerecht zu werden.

Unternehmen sollten bereits jetzt mit der Implementierung der erforderlichen Maßnahmen beginnen, um rechtzeitig bereit zu sein und mögliche Strafen aufgrund von Nichteinhaltung zu vermeiden. Es ist ratsam, frühzeitig interne Prozesse zu überprüfen und notwendige Änderungen vorzunehmen, um die Compliance mit den DORA-Vorgaben zu gewährleisten.

DORA-Gesetz: Weiterführende Informationen und Checklisten

Um sich detailliert über die Anforderungen des Digital Operational Resilience Act (DORA) zu informieren, gibt es einige offizielle Webseiten und Ressourcen, die hilfreiche Informationen sowie pdf-Dateien, z. B. Checklisten, zum Download zur Verfügung stellen:

  1. Europäische Kommission
    Die Europäische Kommission bietet umfassende Informationen zu DORA auf ihrer offiziellen Website. Hier werden die Verordnungstexte, Updates und Dokumente zur Verfügung gestellt.
  2. European Insurance and Occupational Pensions Authority (EIOPA)
    Die EIOPA ist eine wichtige Quelle für DORA-spezifische Anforderungen, da sie entsprechende Checklisten und Berichte für die Versicherungsbranche zur Verfügung stellt.
  3. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
    Die BaFin stellt für deutsche Unternehmen praktische Leitfäden und Hinweise zur DORA-Umsetzung bereit. Hier gibt es oft spezifische Anweisungen, die an den deutschen Markt angepasst sind.

Unterstützung bei der DORA Compliance und im Recruiting im Bereich Cyber Security

Im Zuge der Einführung des Digital Operational Resilience Act (DORA) gewinnt der Bereich IT-Sicherheit enorm an Bedeutung. Ob Sie als Fachkraft eine neue Herausforderung im Cyber-Security-Umfeld suchen oder als Unternehmen qualifizierte Experten benötigen – wir sind Ihr kompetenter Ansprechpartner.
Unser umfangreiches Netzwerk und unser tiefes Verständnis für die DORA-Anforderungen helfen uns, die richtigen Talente und Unternehmen zusammenzubringen, um den neuen Standards zu entsprechen und für eine resilientere digitale Zukunft zu sorgen.

Nehmen Sie gerne Kontakt mit mir auf!
Ich bin seit vielen Jahren im Recruiting für den Bereich Cyber Security tätig und bringe eine hohe Expertise in der Vermittlung hochqualifizierter Fach- und Führungskräfte mit. Durch mein tiefes Branchenwissen und mein Netzwerk verstehe ich die spezifischen Anforderungen dieser Schlüsselbranche und finde passgenaue Talente für anspruchsvolle Positionen.
Ich bringe Sie gerne mit gefragten Experten aus diesem Bereich in Kontakt oder berate Sie kostenlos und unverbindlich zu Ihren Karriereoptionen im Bereich Cyber Security:
✉️ dustin.kaniewski@onehiring.com
📞 0152 59234498

Oder besuchen Sie direkt unsere Talent-Acquisition-Plattform für Tech-Experten und suchen nach passenden Kandidaten-Profilen.

Werfen Sie auch einen Blick in unseren Ratgeber für Recruiting-Tipps für weitere News und Trends rund um die Personalsuche im Tech-Bereich.

Dustin Kaniewski | Recruiter für Cyber Security
Diesen Blogeintrag teilen
https://www.onehiring.com/de/arbeitgeber/recruiting-tipps/digital-operational-resilience-act
IT & Tech
Dustin Kaniewski
Principal Consultant
,
ONE HIRING