Der Countdown für DORA läuft.
Bis zum 17.01.2025 müssen Finanzunternehmen und IKT-Drittdienstleister ihre Betriebe widerstandsfähig aufstellen und widrigenfalls mit Sanktionen von Behörden rechnen (Art. 50 Abs. 1 und 2 DORA). Um europäische Finanzunternehmen zu schützen, erließ die Europäische Union die Verordnung DORA (Digital Operational Resilience Act), welche Sicherheitsvorgaben vereinheitlicht und verschiedene Maßnahmen vorsieht, um die Widerstandsfähigkeit im Finanzsektor zu gewährleisten. Hierfür werden bis zum Ende des Jahres 2024 die zuständigen Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) Leitlinien und technische Regulierungs- und Durchführungsstandards (RTS) erarbeiten, um DORA zu konkretisieren.Ihre Sicherheitsvorgaben und Maßnahmen müssen in Betrieben umgesetzt werden.
Was bedeutet DORA im Wesentlichen?
Der Digital Operational Resilience Act (DORA) ist darauf ausgerichtet, die digitale operationale Resilienz, also die Fähigkeit, betriebliche Störungen in Bezug auf Informationstechnologie gänzlich zu vermeiden oder etwaigen Risiken im europäischen Finanzsektor zu widerstehen, indem sechs grundlegende Bereiche gestärkt werden:- IKT-Risikomanagement: Etablierung robuster Prozesse zur Identifizierung, Bewertung, Steuerung und Überwachung von Risiken, die mit Informations- und Kommunikationstechnologien (IKT) verbunden sind.
- Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen: Verpflichtung für Finanzunternehmen, signifikante IKT-Vorfälle und Cyberbedrohungen zu melden.
- Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT): Regelmäßige Durchführung von Tests, um die Widerstandsfähigkeit gegenüber digitalen Bedrohungen zu bewerten.
- IKT-Drittparteirisikomanagement: Bewertung und Management von Risiken, die mit Drittparteien verbunden sind, insbesondere mit jenen, die kritische IKT-Dienste bereitstellen. Dies umfasst auch die Überwachung und Überprüfung von Lieferanten und anderen externen Partnern.
- Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister: Einführung eines europaweiten Überwachungsrahmenwerks, das eine konsequente Überwachung und Bewertung der Drittanbieter ermöglicht, die für den Finanzsektor wesentliche Dienste bereitstellen.
- Information Sharing sowie Cyberkrisen- und Notfallübungen: Förderung des Austauschs von Informationen über Cyberbedrohungen und Best Practices sowie die Durchführung von Krisenübungen.
Wen betrifft die DORA Verordnung?
Vom Geltungsbereich des Digital Operational Resilience Acts (DORA) sind Finanzunternehmen und IKT-Drittdienstleister, die mit Finanzunternehmen Verträge abschließen, betroffen?
- IKT-Drittdienstleister
- Kreditinstitute, Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen und Emittenten wertreferenzierter Token
- Zentralverwahrer
- zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler (auch in Nebentätigkeit), Rückversicherungsvermittler
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister
Machen Sie sich bereit für die Zukunft: Deadline für DORA – 17. Januar 2025
Der Countdown läuft: Bis zum 17. Januar 2025 müssen sich Finanzunternehmen und IKT-Drittdienstleister den neuen Resilienz-Standards gemäß dem Digital Operational Resilience Act (DORA) anpassen, um Sanktionen zu vermeiden (Art. 50 Abs. 1 und 2 DORA).
Im Zuge dessen werden die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) bis Ende 2024 detaillierte Richtlinien und technische Standards entwickeln, um die Umsetzung von DORA zu präzisieren.Für eine erfolgreiche Umsetzung sind folgende Maßnahmen in Ihrem Unternehmen erforderlich:
- Ihr Betrieb implementiert einen robusten IKT-Risikomanagementrahmen und ein durchdachtes Business Continuity Management – im Einklang mit den Artikeln 5 bis 14 DORA.
- Durchführung umfassender Tests zur digitalen Betriebsstabilität, einschließlich Penetrationstests und Performance-Prüfungen, die Art. 21 bis 24 DORA entsprechen.
- Effektive Steuerung und Überwachung des Risikomanagements Ihrer IKT-Drittdienstleister, wie es die Artikel 25 bis 36 DORA vorschreiben.
- Förderung eines offenen Informationsaustausches zwischen den relevanten Akteuren, in Übereinstimmung mit Artikel 40 DORA.
Welche Herausforderungen bringt die DORA-Compliance mit sich?
Die Umsetzung von DORA ist für betroffene Betriebe, ohne Frage, eine umfangreiche Aufgabe. Dies erfordert erhebliche Investitionen in Zeit, Ressourcen und Know-how. Gleichzeitig werden die Anforderungen an die IT-Sicherheit und -Resilienz von Finanzinstituten und IKT-Dienstleistern in Zukunft weiter steigen. Angesichts dieser dynamischen und anspruchsvollen Ausgangslage stehen Unternehmen vor spezifischen Herausforderungen, die es zu meistern gilt, um nicht nur künftig konform zu sein, sondern auch um langfristig wettbewerbsfähig und geschützt vor Cyberangriffen zu bleiben. Wir lösen für Sie Herausforderungen wie:- Verschärfte Regularien im Hinblick auf die Informationssicherheit durch die DORA-Verordnung.
- Effiziente und effektive Realisierung innerhalb der 24-monatigen Umsetzungsfrist.
- Fehlende Koordination zwischen Sicherheitsprozessen und dem Business.
- Angemessene Dokumentation und Nachweisführung im Rahmen der Umsetzung von Sicherheitsanforderungen.
- Fehlende Ressourcen und Knowledgebase.
DORA effizient umsetzen mit NTT DATA
Profitieren Sie von unserer tiefgreifenden Expertise im Finanzsektor und unserem breitgefächerten Wissen in zentralen Bereichen wie Informationssicherheit, Datenschutz, Risikomanagement und Business Continuity Management. Als ISO 27001-zertifizierter Trusted Advisor für Kreditinstitute und Zahlungsdienstleister bieten wir effiziente Unterstützung, die präzise auf Ihre individuellen Bedürfnisse zugeschnitten ist. Dank unserer DORA-Expertise mit verschiedenen Unternehmen, wissen wir auch um die Bedeutung von unternehmensspezifischen Lösungen.Wählen Sie NTT DATA als Ihren zuverlässigen Partner für die langfristige Sicherheit Ihres Unternehmens – wir begleiten Sie nicht nur bei der Vorbereitung, sondern auch während und nach der Implementierung von DORA. Mit unserem End-to-End-Serviceportfolio minimieren wir Reibungsverluste und maximieren Synergien.
Assessmentdurchführung in drei Schritten
- Wir führen einen Readiness-Check bzw. eine Gap-Analyse durch und bieten Einsicht in Risikobewertungen.
- Wir erstellen aussagekräftige Management Summaries und detaillierte Berichte.
- Wir entwerfen eine zielgerichtete Roadmap für Ihre DORA-Compliance.
Umsetzungsunterstützung
- Unser End-to-End-Ansatz ermöglicht fachbereichsübergreifende Unterstützung bei der Implementierung der umfangreichen DORA-Anforderungen, sowie GRC, Cyber Defense und Ethical Hacking.
- Wir begleiten Sie bei der Umsetzung, sowohl organisatorischer als auch technischer Anforderungen.
Fortlaufende Testung der operationalen Resilienz
- Wir führen regelmäßige Tests Ihrer operationalen Resilienz durch, darunter Penetrationstests, Schwachstellenbewertungen und Netzwerksicherheitsanalysen.