Sicherheit und Resilienz von IT-Systemen spielen eine immer größere Rolle. Das gilt angesichts immer bedrohlicherer Hacker-Szenarien für sämtliche Unternehmen aller Branchen, insbesondere aber für den Finanzsektor. Hier setzt DORA an, der Digital Operational Resilience Act. Diese EU-Verordnung zielt darauf ab, die digitale operationale Resilienz des europäischen Finanzmarkts zu stärken. Am 17. Januar 2023 ist die Verordnung bereits in Kraft getreten und ab dem 17. Januar 2025 wird sie angewendet werden.
Worum geht es bei DORA?
DORA legt einheitliche Standards für das Management von IKT-Risiken (Informations- und Kommunikationstechnologie) fest. Ziel ist es, die Widerstandsfähigkeit der IT-Systeme gegenüber Cyber-Bedrohungen zu erhöhen und sicherzustellen, dass Finanzunternehmen ihre Dienstleistungen auch bei Störungen fortsetzen können.
Die Verordnung deckt sechs wesentliche Bereiche ab:
- IKT-Risikomanagement: Finanzunternehmen müssen umfassende Systeme zur Identifizierung und Steuerung von IT-Risiken implementieren.
- Behandlung und Berichterstattung von IKT-Vorfällen: Unternehmen sind verpflichtet, IT-Vorfälle zu überwachen, zu protokollieren und schwerwiegende Vorfälle an die Aufsichtsbehörden zu melden.
- Testen der digitalen Resilienz: Regelmäßige und umfassende Tests, einschließlich Penetrationstests, sind vorgeschrieben, um Schwachstellen aufzudecken und zu beheben.
- Management des IKT-Drittparteirisikos: Sorgfältige Überwachung und Verwaltung von Drittanbietern, die IT-Dienstleistungen bereitstellen.
- Überwachungsrahmen für kritische IKT-Drittanbieter: Engmaschige Überwachung dieser Dienstleister.
- Informationsaustausch und Krisenmanagement: Die Verordnung fördert die Zusammenarbeit und den Austausch wichtiger Informationen im Bedrohungsfall.
Was bedeutet DORA für deutsche Unternehmen?
Für deutsche Unternehmen, insbesondere im Finanzsektor, bietet DORA die Chance auf mehr Widerstandsfähigkeit, resilientere IT-Systeme und besseren Schutz vor Cyber-Bedrohungen. All das gibt es allerdings nicht ganz ohne Aufwand und Eigenleistung. Unternehmen müssen sich auf die neuen Rahmenbedingungen einlassen und einige Anpassungen umsetzen. Dazu gehören unter anderem:
- Strengere Regulierungen: Unternehmen müssen umfangreiche Systeme zur IKT-Risikoüberwachung und -steuerung einführen. Dies erfordert erhebliche Investitionen in Technologie und Schulung, versprechen allerdings im Umkehrschluss mehr Sicherheit und zuverlässige Resilienz.
- Erhöhte Meldepflichten: Sämtliche IKT-Vorfälle müssen klassifiziert und schwerwiegende Vorfälle an die BaFin und andere relevante Aufsichtsbehörden gemeldet werden. Dies erfordert interne Prozesse und zuverlässige Kommunikationsstrukturen.
- Regelmäßige IT-Tests: Finanzunternehmen sind dazu verpflichtet, regelmäßige Tests ihrer IT-Systeme durchzuführen, um ihre Resilienz zu gewährleisten. Diese Überprüfungen sorgen auch intern für einen transparenteren Blick auf mögliche Schwachstellen und tragen so zu stabileren IT-Strukturen bei.
- Anpassungen im Dokumentenmanagement: Verträge mit IT-Drittanbietern müssen neu bewertet und möglicherweise angepasst werden, um sicherzustellen, dass sie den Anforderungen von DORA entsprechen. Außerdem wird es notwendig, interne Prozesse in Buchhaltung und Dokumentation zu prüfen und so anzupassen, dass sie den neuen Melde- und Dokumentationspflichten nachkommen.
Welche Maßnahmen sich aus diesen Anforderungen konkret ergeben und wie Finanzunternehmen sich konkret auf die Anwendung von DORA vorbereiten können, erläutern wir in unserem zweiten Beitrag zu diesem Thema.
