06.02.2024

Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. DORA schafft einen einheitlichen regulatorischen Rahmen für das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT). Dies unterstreicht die dringende Notwendigkeit einer professionellen Datenschutzberatung. In unserem spezialisierten Unternehmen bieten wir genau diese Unterstützung, um Ihr Unternehmen auf die Herausforderungen und Anforderungen des DORA vorzubereiten.

Auswirkungen des DORA auf IKT-Dienstleister: Ein Überblick

Nicht nur Finanzdienstleister sind in der Pflicht. DORA führt einen Rahmen für die Überwachung kritischer IKT-Dienstleister in der Finanzbranche ein. Anbieter von IKT-Dienstleistungen wie Cloud-Computing, Software, Datenanalyse und Rechenzentren, die auch für Finanzinstitute tätig sind, müssen zusätzliche Vorkehrungen für Risiko- und Zwischenfallmanagement treffen.

Schlüsselfristen und Maßnahmen zur Umsetzung

Es sind notwendige Maßnahmen im Bereich IKT-Risikomanagement zu ergreifen, denn die DORA-Umsetzungsfrist endet am 16. Januar 2025. Betroffene Unternehmen sollten bis dahin insbesondere folgende Maßnahmen ergreifen:

  • Eingehende Prüfung der Anwendbarkeit DORAs auf das eigene Unternehmen;
  • Reifegradmessung bereits bestehender Prozesse und Dokumentationen, insbesondere im Hinblick auf die durch DORA geforderte Ausgestaltung des IKT-Risiko- und –Vorfalls-Managements (Gap-Analyse);
  • Definition notwendiger Maßnahmen auf Grundlage der Reifegradmessung;
  • Einführung und Umsetzung der definierten Maßnahmen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 6 und 3?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Verantwortung der Geschäftsleitung unter DORA: Ein Top-Down-Ansatz

DORA folgt einem klassischen Top-Down-Ansatz und fordert insbesondere die Unternehmensführung auf, das Management von IKT-Risiken aktiv mitzugestalten. Leitungsorgane sind zukünftig insbesondere gefordert:

  • Leitlinien zur Informationssicherheit einzuführen und diese regelmäßig zu prüfen;
  • eindeutige Zuständigkeiten für sämtliche IKT-bezogenen Funktionen zu entwickeln; und
  • entsprechende Maßnahmen und Prozesse, die im Fall von Zwischenfällen für die IKT-Geschäftsfortführung notwendig sind, in Form von Leitlinien zu genehmigen, zu überwachen und regelmäßig zu überprüfen.

Die Konsequenzen der Nicht-Einhaltung von DORA: Ein finanzielles Risiko

Kommen Unternehmen ihren Verpflichtungen nicht nach, drohen durch die entsprechenden Behörden empfindliche Strafen in Form von Bußgeldern von bis zu 10 Millionen EUR oder 5 % des weltweiten Vorjahresumsatzes.

Neue Regulierungs- und Implementierungsstandards: Was Sie wissen müssen

Am 17. Januar 2024 haben die drei europäischen Aufsichtsbehörden ESMA (European Securities and Markets Authority), EBA (European Banking Authority) und EIOPA (European Insurance and Occupational Pensions Authority) wie erwartet die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards (RTS und ITS) auf Grundlage des Artikel 18 Abs. 3 DORA veröffentlicht.

Unternehmen, die in den Anwendungsbereich von DORA fallen, erhalten nunmehr weitere Details zu seitens des Gesetzgebers zukünftig geforderten Standards für das Risikomanagement von Cyberrisken und dem Umgang mit IKT-Zwischenfällen.

Das erste Set von RTS und ITS umfasst die folgenden Standards:

  • RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen;
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
  • RTS zur Festlegung der Politik für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden;
  • ITS zur Erstellung der Vorlagen für das Informationsregister.

Das zweite Set von RTS und ITS wird derzeit in verschiedenen Arbeitsgruppen besprochen und ist am 17. Juli 2024 durch ESMA, EBA und EIOPA vorzulegen.

Dadurch wird für die zukünftig Verpflichteten in regulatorischer Hinsicht zunehmend Klarheit geschaffen. Dies ist auch notwendig, da beaufsichtigte Institute und Unternehmen des europäischen Finanzsektors und deren IKT-Dienstleister nicht viel Zeit haben, um die mit DORA geforderten Maßnahmen umzusetzen.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

DORA – Ein Wendepunkt für den Datenschutz im Finanzsektor: Unsere Expertise ist Ihr Vorteil

Mit den jüngst veröffentlichten Regulierungs- und Implementierungsstandards gewinnen Unternehmen im Finanzsektor und deren IKT-Dienstleister Klarheit über die Anforderungen des DORA. Angesichts der knappen Fristen und der Komplexität der Vorschriften ist professionelle Unterstützung unerlässlich. Unser Team von Expertinnen und Experten bietet spezialisierte Datenschutzberatung, die Ihnen hilft, nicht nur konform zu sein, sondern auch einen Wettbewerbsvorteil zu erzielen. Warten Sie nicht, bis es zu spät ist – kontaktieren Sie uns jetzt, um Ihre Datenstrategie zu stärken und Bußgelder zu vermeiden.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …