Der Digital Operational Resilience Act, kurz #DORA, ist ein Legislativvorschlag der Europäischen Kommission, um die Widerstandsfähigkeit des Finanzsektors gegenüber digitalen Risiken zu erhöhen. Er soll die Anforderungen an Cybersicherheit, Datenschutz und operationelle Resilienz für die Finanz- und Versicherungsbranche harmonisieren und standardisieren. Dazu gehören auch Anforderungen an die Überwachung und das Management von IT-Sicherheitsrisiken sowie an die Wiederherstellung (Recovery) und Geschäftskontinuitätsplanung.
Die Europäische Kommission sieht die Notwendigkeit für die neue Gesetzgebung, da Finanzinstitute und Versicherungen durch die fortschreitende Digitalisierung zunehmend Cyber-Angriffen ausgesetzt sind. DORA ist nun am 26. Januar diesen Jahres in Kraft getreten. Die Verordnung muss bis zum 17. Januar 2025 in nationales Recht umgesetzt werden.
Was DORA beinhaltet und worauf sich Finanzinstitute jetzt einstellen müssen, lesen Sie hier.
Hintergrund zu DORA und Ziele der Verordnung
Digitalisierung und Vernetzung haben auch vor der Finanz- und Versicherungsbranche nicht Halt gemacht. Gerade während der Pandemie erlebte das Online-Banking einen enormen Aufschwung. Dadurch sind auch die Cyber-Risiken für Finanzinstitute deutlich gestiegen. Dazu hat auch die geopolitische Lage beigetragen. Experten gehen davon aus, dass die Cyber-Risiken im Finanzsektor auch in Zukunft weiter zunehmen werden. Besondere Vorsicht ist bei Finanzmärkten geboten, da diese zu den kritischen Infrastrukturen zählen. Fällt die Infrastruktur durch einen erfolgreichen Cyber-Angriff aus oder sie wird gestört, wird der Handel unterbrochen und die Weltwirtschaft kommt zum Erliegen.
Um diesen Risiken entgegenzuwirken, die Regelungen zu harmonisieren und bestehende Standards zu vereinheitlichen, soll DORA bis zum 17. Januar 2025 umgesetzt werden.
Hauptziele der neuen Verordnung sind zum einen die Erhöhung der Widerstandsfähigkeit von Finanzunternehmen gegen Cyber-Risiken und andere IT-Störungen und zum anderen die Harmonisierung der dafür notwendigen Anforderungen in der EU. Darüber hinaus sollen das Risikomanagement, die Überwachungspraktiken sowie die Berichterstattung an die Behörden im Falle eines Cybervorfalls und die Transparenz verbessert werden.
Zu den wichtigsten Vorgaben, die DORA für Finanzinstitute und Versicherungen vorgibt, gehören:
- Die Einführung eines umfassenden Risikomanagementsystems zur Überwachung und Bewertung der digitalen Verfügbarkeit und Sicherheit.
- Die Durchführung von Penetrationstests wird zur Pflicht. Damit kann analysiert werden, ob die Unternehmen über die notwendigen Fähigkeiten verfügen, um Störungen und Cyber-Angriffen zu widerstehen.
- Unternehmen müssen einen IT-Sicherheitsbeauftragten ernennen, so dass eine klare Anforderung an die Governance-Struktur der IT-Sicherheit besteht.
- IT-Vorfälle müssen den zuständigen Aufsichtsbehörden gemeldet werden.
- Drittanbieter, die IT-Dienstleistungen für das Unternehmen erbringen, beispielsweise Cloudanbieter oder Anbieter von PaaS, IaaS oder andere SaaS müssen umfassend überwacht werden.
- Einführung eines verbindlichen IT-Notfallplans, um schnell auf IT-Störungen und Cyber-Angriffe reagieren zu können.
- Obligatorische Durchführung von Sicherheitsbewertungen bei der Einführung neuer IT-Systeme oder -Dienste.
Die Massnahmen sollen dazu beitragen, die digitale Einsatzbereitschaft und Sicherheit von Finanzinstituten und Versicherungsunternehmen in der EU zu erhöhen und das Vertrauen von Verbrauchern und Investoren in diese Unternehmen zu stärken.
Bedeutung für Finanz- und Versicherungsunternehmen
Viele der Anforderungen, die durch die DORA-Verordnung in Kraft treten werden, müssen Unternehmen der Finanz- und Versicherungsbranche bereits heute erfüllen. So sind viele DORA-Elemente bereits in den Leitlinien der European Banking Authority (EBA) und auch in den Bankaufsichtlichen Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) enthalten.
Um den neuen Herausforderungen gerecht zu werden, ist es zunächst notwendig, den aktuellen Stand der IT-Sicherheitsmassnahmen im Rahmen einer Gap-Analyse zu überprüfen. Daraus lassen sich Massnahmen ableiten, die bis zum Stichtag des Inkrafttretens von DORA erfüllt sein müssen, um den regulatorischen und Compliance-Anforderungen zu entsprechen.
In einem zweiten Schritt sollte das Risikomanagement überprüft werden. Hier sollten gleichzeitig der IT- und Cyber-Reifegrad und ein IT-Security-Benchmark entwickelt werden. Gleichzeitig ist es sinnvoll, hier bereits Übungsszenarien sowie Penetrationstests durchzuführen, so dass ein realer Cyber-Angriff simuliert wird.
Ein weiterer wichtiger Schritt ist die Bewertung von Drittanbietern und die Risiken, die sie eventuell mitbringen. So soll sichergestellt werden, dass die Wertschöpfungskette resilient ist.
Unternehmen können auch einen Blick auf Frameworks wie Threat Intelligence-based Ethical Teaming in Europe and Germany (TIBER-EU / TIBER-DE) werfen.
Hand in Hand: Customer Journey und DORA
Mit der Einführung der neuen Verordnung und den erhöhten Sicherheitsstandards sind nicht nur Banken und Versicherungen besser vor Cybervorfällen geschützt. Auch die Kundendaten und die Kunden selbst werden besser geschützt.
Dennoch ist es wichtig, bei der Umsetzung der neuen Sicherheitsstandards und -massnahmen eine reibungslose Customer Journey nicht zu vergessen. So kann im Sinne einer starken Kundenauthentifizierung (SCA) Biometrie eingesetzt werden, damit sich Kunden schnell, einfach und sicher authentifizieren können. Darüber hinaus kann durch die Implementierung einer starken IAM-Plattform sichergestellt werden, dass nur autorisierte Personen auf kritische und sensible Daten und Systeme zugreifen können.
Klicken Sie hier für weitere Informationen über 'Nevis für den Bankensektor'.