Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. DORA schafft einen einheitlichen regulatorischen Rahmen für das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT). Dies unterstreicht die dringende Notwendigkeit einer professionellen Datenschutzberatung. In unserem spezialisierten Unternehmen bieten wir genau diese Unterstützung, um Ihr Unternehmen auf die Herausforderungen und Anforderungen des DORA vorzubereiten.

Auswirkungen des DORA auf IKT-Dienstleister: Ein Überblick

Nicht nur Finanzdienstleister sind in der Pflicht. DORA führt einen Rahmen für die Überwachung kritischer IKT-Dienstleister in der Finanzbranche ein. Anbieter von IKT-Dienstleistungen wie Cloud-Computing, Software, Datenanalyse und Rechenzentren, die auch für Finanzinstitute tätig sind, müssen zusätzliche Vorkehrungen für Risiko- und Zwischenfallmanagement treffen.

Schlüsselfristen und Maßnahmen zur Umsetzung

Es sind notwendige Maßnahmen im Bereich IKT-Risikomanagement zu ergreifen, denn die DORA-Umsetzungsfrist endet am 16. Januar 2025. Betroffene Unternehmen sollten bis dahin insbesondere folgende Maßnahmen ergreifen:

  • Eingehende Prüfung der Anwendbarkeit DORAs auf das eigene Unternehmen;
  • Reifegradmessung bereits bestehender Prozesse und Dokumentationen, insbesondere im Hinblick auf die durch DORA geforderte Ausgestaltung des IKT-Risiko- und –Vorfalls-Managements (Gap-Analyse);
  • Definition notwendiger Maßnahmen auf Grundlage der Reifegradmessung;
  • Einführung und Umsetzung der definierten Maßnahmen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Verantwortung der Geschäftsleitung unter DORA: Ein Top-Down-Ansatz

DORA folgt einem klassischen Top-Down-Ansatz und fordert insbesondere die Unternehmensführung auf, das Management von IKT-Risiken aktiv mitzugestalten. Leitungsorgane sind zukünftig insbesondere gefordert:

  • Leitlinien zur Informationssicherheit einzuführen und diese regelmäßig zu prüfen;
  • eindeutige Zuständigkeiten für sämtliche IKT-bezogenen Funktionen zu entwickeln; und
  • entsprechende Maßnahmen und Prozesse, die im Fall von Zwischenfällen für die IKT-Geschäftsfortführung notwendig sind, in Form von Leitlinien zu genehmigen, zu überwachen und regelmäßig zu überprüfen.

Die Konsequenzen der Nicht-Einhaltung von DORA: Ein finanzielles Risiko

Kommen Unternehmen ihren Verpflichtungen nicht nach, drohen durch die entsprechenden Behörden empfindliche Strafen in Form von Bußgeldern von bis zu 10 Millionen EUR oder 5 % des weltweiten Vorjahresumsatzes.

Neue Regulierungs- und Implementierungsstandards: Was Sie wissen müssen

Am 17. Januar 2024 haben die drei europäischen Aufsichtsbehörden ESMA (European Securities and Markets Authority), EBA (European Banking Authority) und EIOPA (European Insurance and Occupational Pensions Authority) wie erwartet die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards (RTS und ITS) auf Grundlage des Artikel 18 Abs. 3 DORA veröffentlicht.

Unternehmen, die in den Anwendungsbereich von DORA fallen, erhalten nunmehr weitere Details zu seitens des Gesetzgebers zukünftig geforderten Standards für das Risikomanagement von Cyberrisken und dem Umgang mit IKT-Zwischenfällen.

Das erste Set von RTS und ITS umfasst die folgenden Standards:

  • RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen;
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
  • RTS zur Festlegung der Politik für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden; 
  • ITS zur Erstellung der Vorlagen für das Informationsregister.

Das zweite Set von RTS und ITS wird derzeit in verschiedenen Arbeitsgruppen besprochen und ist am 17. Juli 2024 durch ESMA, EBA und EIOPA vorzulegen. 

Dadurch wird für die zukünftig Verpflichteten in regulatorischer Hinsicht zunehmend Klarheit geschaffen. Dies ist auch notwendig, da beaufsichtigte Institute und Unternehmen des europäischen Finanzsektors und deren IKT-Dienstleister nicht viel Zeit haben, um die mit DORA geforderten Maßnahmen umzusetzen.

Sind Sie bereit für DORA? Lassen Sie uns gemeinsam Ihre Datenschutzstrategie optimieren!

Jetzt Kontakt aufnehmen

DORA – Ein Wendepunkt für den Datenschutz im Finanzsektor: Unsere Expertise ist Ihr Vorteil

Mit den jüngst veröffentlichten Regulierungs- und Implementierungsstandards gewinnen Unternehmen im Finanzsektor und deren IKT-Dienstleister Klarheit über die Anforderungen des DORA. Angesichts der knappen Fristen und der Komplexität der Vorschriften ist professionelle Unterstützung unerlässlich. Unser Team von Expertinnen und Experten bietet spezialisierte Datenschutzberatung, die Ihnen hilft, nicht nur konform zu sein, sondern auch einen Wettbewerbsvorteil zu erzielen. Warten Sie nicht, bis es zu spät ist – kontaktieren Sie uns jetzt, um Ihre Datenstrategie zu stärken und Bußgelder zu vermeiden.

Mehr zum Thema

  • Informationssicherheit Gesundheitwesen

    Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

    Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.

    Weiterlesen

  • Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

    Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

    Weiterlesen

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.