Der Digital Operational Resilience Act (DORA) ist eine Verordnung, die die digitale Widerstandsfähigkeit in der Europäischen Union stärken soll, indem sie einen einheitlichen Rahmen für das Risikomanagement im Bereich der Informationstechnologie schafft. Obwohl ursprünglich auf den Finanzsektor ausgerichtet, hat DORA auch Auswirkungen auf andere kritische Sektoren wie den Energie- oder den Telekommunikationssektor und schreibt strenge Standards für die Cybersicherheit vor.
Was ist DORA (Digital Operational Resilience Act)?
Ursprung und Ziele der Regulierung
Im Zusammenhang mit DORA steht "DOR" für "Digital Operational Resilience", was die Fähigkeit einer Organisation bezeichnet, ihre wesentlichen digitalen Abläufe angesichts von Störungen, Cyberangriffen oder technologischen Ausfällen aufrechtzuerhalten und wiederherzustellen und so die Kontinuität und Sicherheit ihrer Dienste zu gewährleisten.
Sein Ziel ist es, sicherzustellen, dass alle Akteure des Finanzsystems über die erforderlichen Versicherungen verfügen, um Cyberangriffe und andere Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) zu verringern, kritische Funktionen im Falle einer schweren Störung aufrechtzuerhalten und das Vertrauen in ihre Fähigkeit, betriebliche Schocks zu bewältigen, zu fördern.
Anwendungsbereich und betroffene Rechtsträger
Obwohl DORA ursprünglich für den Finanzsektor entwickelt wurde, ist sein Anwendungsbereich weit gefasst. Es deckt eine breite Palette von Finanzunternehmen ab, darunter :
- Kreditinstitute
- Investmentfirmen
- Anbieter von Zahlungsdiensten
- Versicherungs- und Rückversicherungsgesellschaften
- Verwalter alternativer Investmentfonds
- Anbieter von Dienstleistungen im Zusammenhang mit Kryptovermögenswerten
Darüber hinaus gilt DORA auch für kritische Drittanbieter von IKT-Dienstleistungen für diese Finanzinstitute und erkennt damit die Bedeutung der Lieferkette für die allgemeine betriebliche Widerstandsfähigkeit an.
Zeitplan für die Umsetzung
Der Zeitplan für die Umsetzung von DORA ist schrittweise, sodass sich die betroffenen Stellen an die neuen Anforderungen anpassen können:
- Dezember 2022 : Endgültige Verabschiedung von DORA durch das Europäische Parlament.
- Januar 2023: Inkrafttreten von DORA
- Januar 2025: Voraussichtliches Datum für die tatsächliche Anwendung von DORA
Diese zweijährige Frist zwischen dem Inkrafttreten und der tatsächlichen Anwendung soll den Unternehmen die nötige Zeit geben, um die neuen Anforderungen zu erfüllen.
Die wichtigsten Säulen von DORA
DORA basiert auf vier grundlegenden Säulen, die darauf abzielen, die digitale betriebliche Widerstandsfähigkeit der betroffenen Einheiten zu stärken:
Umgang mit IKT-Risiken
DORA verlangt von den Einrichtungen, dass sie einen soliden Rahmen für das Management von IKT-Risiken schaffen. Dazu gehören:
- Die Identifizierung und Klassifizierung von Informationsgütern
- Schutz und Prävention vor potenziellen Bedrohungen
- Die Erkennung von Anomalien und Sicherheitsvorfällen, die ein SOC erforderlich macht
- Die Einrichtung von Antwort- und Wiederherstellungsprozessen
Die Unternehmen müssen nachweisen, dass sie ein umfassendes Verständnis ihrer digitalen Risiken haben und über wirksame Strategien zu deren Bewältigung verfügen.
Digitale betriebliche Ausfallsicherheitstests
DORA führt die Verpflichtung ein, regelmäßig Tests zur digitalen betrieblichen Ausfallsicherheit durchzuführen. Diese Tests können umfassen :
- Analysen der Anfälligkeit
- Penetrationstests
- Übungen zur Simulation von Krisen
- Tests zur Wiederherstellung nach einem Katastrophenfall
Ziel ist es, die Fähigkeit der Rechtsträger zu überprüfen, ihre kritischen Operationen auch bei größeren Störungen aufrechtzuerhalten.
Vorfallsmanagement und Berichterstattung
Ein weiterer Aspekt von DORA ist die Verbesserung des Vorfallsmanagements und der Berichterstattungsprozesse. Die Entitäten müssen :
- Verfahren zur Erkennung und Bewältigung von IKT-Vorfällen einführen
- Vorfälle nach ihrem Schweregrad klassifizieren
- Große Vorfälle innerhalb strenger Fristen an die zuständigen Behörden melden
- Informationen über Bedrohungen und Schwachstellen mit anderen Akteuren der Branche austauschen
Dieser Ansatz zielt darauf ab, die Reaktionsfähigkeit auf Vorfälle zu verbessern und den Informationsaustausch innerhalb der Branche zu fördern.
Die zuständigen Behörden für die Entgegennahme von Meldungen über schwerwiegende Zwischenfälle sind die Europäischen Aufsichtsbehörden (ESAs), nämlich :
- Die Europäische Bankaufsichtsbehörde (EBA)
- Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA)
- Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)
Risikomanagement in Bezug auf Drittparteien und IKT-Dienstleister
In Anerkennung der zunehmenden Abhängigkeit von Cloud-Anbietern und anderen IKT-Dienstleistern stellt DORA auch strenge Anforderungen an das Risikomanagement von Drittanbietern. Dazu gehören:
- Die strenge Risikobewertung, bevor man sich mit einem Lieferanten einlässt
- Die Einführung von detaillierten Verträgen, die Sicherheits- und Ausfallsicherheitsaspekte abdecken.
- Die kontinuierliche Überwachung der Leistung und der Einhaltung von Vorschriften durch die Lieferanten
- Die Planung von Ausstiegsstrategien beim Ausfall eines kritischen Lieferanten
Implikationen von DORA für Unternehmen
Neue Anforderungen an die Unternehmensführung und das Risikomanagement
DORA stellt bedeutende neue Anforderungen an die Unternehmensführung und das Risikomanagement :
- Größere Verantwortung des Vorstands und der Geschäftsführung bei der Überwachung von IKT-Risiken
- Notwendigkeit dokumentierter Richtlinien und Verfahren für den Umgang mit digitalen Risiken
- Pflicht zur Durchführung regelmäßiger Risikobewertungen und zur Aktualisierung der Risikomanagementstrategien
Unternehmen müssen die digitale Betriebsfestigkeit in ihre Gesamtstrategie und ihre Unternehmenskultur integrieren.
Notwendigkeit, die Kapazitäten für Cybersicherheit zu stärken
Um DORA zu erfüllen, werden viele Unternehmen ihre Cybersicherheitskapazitäten erheblich ausbauen müssen:
- Investitionen in modernste Technologien zur Erkennung und Verhinderung von Bedrohungen
- Fortlaufende Schulung der Mitarbeiter zu Fragen der Cybersicherheit
- Einrichtung von Teams, die sich speziell mit der Bewältigung von Vorfällen und der Reaktion auf Krisen befassen. Dies kann durch ein ausgelagertes SOC oder CERT geschehen.
- Aufbau interner Kompetenzen zur Analyse digitaler Risiken
Auswirkungen auf die Beziehungen zu Cloud-Anbietern
DORA wird erhebliche Auswirkungen darauf haben, wie Unternehmen ihre Beziehungen zu Cloud-Anbietern und anderen IKT-Dienstleistern gestalten:
- Notwendigkeit einer gründlicheren Bewertung von Anbietern, bevor eine Verpflichtung eingegangen wird
- Forderung nach detaillierteren Verträgen, die Sicherheits-, Ausfallsicherheits- und Compliance-Aspekte abdecken
- Verpflichtung, Prozesse zur kontinuierlichen Überwachung von Lieferanten einzurichten
- Bedarf an der Entwicklung robuster Ausstiegsstrategien für kritische Dienste
Die Unternehmen müssen einen proaktiveren und strengeren Ansatz bei der Verwaltung ihrer IKT-Dienstleister verfolgen und sicherstellen, dass diese die von DORA vorgegebenen hohen Standards erfüllen.
DORA stellt daher eine wichtige Veränderung in der Art und Weise dar, wie europäische Unternehmen, insbesondere im Finanzsektor, an die digitale betriebliche Widerstandsfähigkeit herangehen. DORA bietet außerdem die Möglichkeit, die Cybersicherheit zu erhöhen, das Vertrauen der Kunden zu stärken und zur Schaffung eines widerstandsfähigeren digitalen Ökosystems in Europa beizutragen.
Mit seiner soliden Erfahrung in Compliance-Projekten und zertifizierten Referenten kann Cloud Temple Sie bei der Einhaltung der DORA-Vorschriften unterstützen. Kontaktieren Sie unsere Teams