20.06.2024

DORA-Verordnung: Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. DORA schafft einen einheitlichen regulatorischen Rahmen für das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT). Dies unterstreicht die dringende Notwendigkeit einer professionellen Datenschutzberatung. In unserem spezialisierten Unternehmen bieten wir genau diese Unterstützung, um Ihr Unternehmen auf die Herausforderungen und Anforderungen des DORA vorzubereiten.

Unverbindliches Erstgespräch vereinbaren
Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Auswirkungen der DORA-Verordnung auf IKT-Dienstleister: Ein Überblick

Nicht nur Finanzdienstleister sind in der Pflicht. DORA führt einen Rahmen für die Überwachung kritischer IKT-Dienstleister in der Finanzbranche ein. Anbieter von IKT-Dienstleistungen wie Cloud-Computing, Software, Datenanalyse und Rechenzentren, die auch für Finanzinstitute tätig sind, müssen zusätzliche Vorkehrungen für Risiko- und Zwischenfallmanagement treffen.

Schlüsselfristen und Maßnahmen zur Umsetzung

Es sind notwendige Maßnahmen im Bereich IKT-Risikomanagement zu ergreifen, denn die DORA-Umsetzungsfrist endet am 16. Januar 2025. Betroffene Unternehmen sollten bis dahin insbesondere folgende Maßnahmen ergreifen:

  • Eingehende Prüfung der Anwendbarkeit DORAs auf das eigene Unternehmen;
  • Reifegradmessung bereits bestehender Prozesse und Dokumentationen, insbesondere im Hinblick auf die durch DORA geforderte Ausgestaltung des IKT-Risiko- und –Vorfalls-Managements (Gap-Analyse);
  • Definition notwendiger Maßnahmen auf Grundlage der Reifegradmessung;
  • Einführung und Umsetzung der definierten Maßnahmen.

Verantwortung der Geschäftsleitung unter DORA: Ein Top-Down-Ansatz

DORA folgt einem klassischen Top-Down-Ansatz und fordert insbesondere die Unternehmensführung auf, das Management von IKT-Risiken aktiv mitzugestalten. Leitungsorgane sind zukünftig insbesondere gefordert:

  • Leitlinien zur Informationssicherheit einzuführen und diese regelmäßig zu prüfen;
  • eindeutige Zuständigkeiten für sämtliche IKT-bezogenen Funktionen zu entwickeln; und
  • entsprechende Maßnahmen und Prozesse, die im Fall von Zwischenfällen für die IKT-Geschäftsfortführung notwendig sind, in Form von Leitlinien zu genehmigen, zu überwachen und regelmäßig zu überprüfen.

Erfüllen Sie die neuen DORA-Standards?

  • Eine DORA-Beratung ist essenziell, um die komplexen Anforderungen zu verstehen und Ihr Unternehmen rechtssicher aufzustellen.
  • Durch gezielte Risikoanalysen erkennen wir frühzeitig die Schwachstellen in Ihrer IT-Infrastruktur und können diese beheben.
  • Die konsequente Umsetzung der DORA-Verordnung schützt Ihr Unternehmen vor digitalen Risiken und sorgt für langfristige Stabilität.

Unverbindliches Erstgespräch vereinbaren

Die Konsequenzen der Nicht-Einhaltung von DORA: Ein finanzielles Risiko

Kommen Unternehmen ihren Verpflichtungen nicht nach, drohen durch die entsprechenden Behörden empfindliche Strafen in Form von Bußgeldern von bis zu 10 Millionen EUR oder 5 % des weltweiten Vorjahresumsatzes.

Neue Regulierungs- und Implementierungsstandards: Was Sie wissen müssen

Am 17. Januar 2024 haben die drei europäischen Aufsichtsbehörden ESMA (European Securities and Markets Authority), EBA (European Banking Authority) und EIOPA (European Insurance and Occupational Pensions Authority) wie erwartet die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards (RTS und ITS) auf Grundlage des Artikel 18 Abs. 3 DORA veröffentlicht.

Unternehmen, die in den Anwendungsbereich von DORA fallen, erhalten nunmehr weitere Details zu seitens des Gesetzgebers zukünftig geforderten Standards für das Risikomanagement von Cyberrisken und dem Umgang mit IKT-Zwischenfällen.

Das erste Set von RTS und ITS umfasst die folgenden Standards:

  • RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen;
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
  • RTS zur Festlegung der Politik für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden;
  • ITS zur Erstellung der Vorlagen für das Informationsregister.

Das zweite Set von RTS und ITS wird derzeit in verschiedenen Arbeitsgruppen besprochen und ist am 17. Juli 2024 durch ESMA, EBA und EIOPA vorzulegen.

Dadurch wird für die zukünftig Verpflichteten in regulatorischer Hinsicht zunehmend Klarheit geschaffen. Dies ist auch notwendig, da beaufsichtigte Institute und Unternehmen des europäischen Finanzsektors und deren IKT-Dienstleister nicht viel Zeit haben, um die mit DORA geforderten Maßnahmen umzusetzen.

DORA – Ein Wendepunkt für den Datenschutz im Finanzsektor: Unsere Expertise ist Ihr Vorteil

Mit den jüngst veröffentlichten Regulierungs- und Implementierungsstandards gewinnen Unternehmen im Finanzsektor und deren IKT-Dienstleister Klarheit über die Anforderungen des DORA. Angesichts der knappen Fristen und der Komplexität der Vorschriften ist professionelle Unterstützung unerlässlich. Unser Team von Expertinnen und Experten bietet spezialisierte Datenschutzberatung, die Ihnen hilft, nicht nur konform zu sein, sondern auch einen Wettbewerbsvorteil zu erzielen. Warten Sie nicht, bis es zu spät ist – kontaktieren Sie uns jetzt, um Ihre Datenstrategie zu stärken und Bußgelder zu vermeiden.

Erfüllen Sie die neuen DORA-Standards?

  • Eine DORA-Beratung ist essenziell, um die komplexen Anforderungen zu verstehen und Ihr Unternehmen rechtssicher aufzustellen.
  • Durch gezielte Risikoanalysen erkennen wir frühzeitig die Schwachstellen in Ihrer IT-Infrastruktur und können diese beheben.
  • Die konsequente Umsetzung der DORA-Verordnung schützt Ihr Unternehmen vor digitalen Risiken und sorgt für langfristige Stabilität.

Unverbindliches Erstgespräch vereinbaren

Weitere Neuigkeiten

09.01.2025

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.

Weiterlesen …

03.01.2025

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

Weiterlesen …