Der Digital Operational Resilience Act ist eine Verordnung
europäischen, das auf die Stärkung der Widerstandsfähigkeit abzielt
der Finanzbranche innerhalb der Europäischen Union.
der Europäischen Union, indem sie einen Rahmen
einheitlich für das Risikomanagement von
Informations- und Kommunikationstechnologien
(IKT).
Es wird in allen Staaten direkt anwendbar sein
EU-Mitgliedstaaten ab dem 17. Januar 2025, ohne
eine nationale Umsetzung erfordern.
Angesichts der wachsenden Gefahren, die mit der Digitalisierung des
Finanzsektors hat die Europäische Kommission
die DORA-Initiative im September 2020. Dies ist Teil einer
umfassende Strategie zur Stärkung des digitalen Finanzwesens
in Europa, als Antwort auf die wachsende Verwundbarkeit von
digitale Systeme.
DORA ist ein "lex specialis", das präzisiert, ergänzt und
Prämie auf NIS 2 für den Finanzsektor zur Verwaltung von
Risiken im Zusammenhang mit der Informationstechnologie. Sie muss
im Januar 2025 in Kraft treten.
| DIE PILIERE | WELCHE AUSWIRKUNGEN HAT DIES AUF DIE BETROFFENEN AKTEURE? |
|---|---|
| Umgang mit verbundenen Risiken zu IKT | DORA schreibt vor, dass die Einrichtungen einen robusten Rahmen für das Management von IKT-Risiken schaffen müssen, die die Identifizierung von Vermögenswerten, den Schutz vor Bedrohungen, die Erkennung von Vorfällen und Reaktionsprozesse. Die Unternehmen müssen ihre Beherrschung digitaler Risiken nachweisen und über Strategien zur effektive Verwaltung. |
| Resilienztests digital operativ | DORA macht regelmäßige Tests der Belastbarkeit zur Pflicht digitalen Operationsverfahren, einschließlich Anfälligkeitsanalysen, Penetrationstests, Krisensimulationen und Wiederherstellungsprüfungen. Diese Die Bewertungen sollen die Fähigkeit der Einheiten bestätigen, ihre kritische Aktivitäten bei größeren Störungen. |
| Verwaltung von Vorfällen und Berichterstattung | DORA fordert ein verbessertes Vorfallsmanagement mit Verfahren zur Erkennung und Klassifizierung nach ihrem Schweregrad. Die Entitäten müssen größere Vorfälle schnell an die Behörden melden und die Informationen über Bedrohungen mit anderen Akteuren und fördert so eine bessere sektorale Reaktionsfähigkeit. |
| Umgang mit verbundenen Risiken an Dritte und Lieferanten von IKT-Dienstleistungen | Angesichts der Abhängigkeit von IKT-Anbietern und Cloud-Diensten stellt DORA eine striktes Risikomanagement in Bezug auf Dritte. Dies umfasst die vorherige Bewertung der Risiken, detaillierte Verträge über die Sicherheit, ständige Überwachung der Leistung und der Ausstiegsstrategien für kritische Anbieter. |
"Die DORA-Verordnung, die sich an den Managementprinzipien der ISO-Norm 27001 orientiert und die NIS-2-Richtlinie ergänzt, legt den Schwerpunkt auf die betriebliche Widerstandsfähigkeit des gesamten Finanzsektors gegenüber digitalen Störungen, insbesondere im Falle einer Cyber-Krise. Sie betont, wie wichtig es für Organisationen ist, eine proaktive Fähigkeit zur Antizipation, Reaktion und Anpassung zu entwickeln, um die Kontinuität ihrer Geschäftstätigkeit zu gewährleisten."
DORA gilt für 21 Arten von Einheiten
Finanzinstitutionen wie
Kreditwesen, Investmentfirmen, Versicherungen,
Fondsmanager und Dienstleistungen von
Krypto-Assets.
Die Regelung erstreckt sich auch auf
kritische Drittanbieter von IKT-Dienstleistungen von
diese Rechtsträger, wie z. B. Dienstleister
Cloud und Cybersicherheit, Plattformen
Datenanalyse oder auch die
Anbieter von Infrastruktur und Netzwerken
Kritiker.