Am 17. Januar 2023 trat die von der Europäischen Rat beschlossene DORA-Verordnung (Digital Operational Resilience Act) in Kraft, seit 17. Januar 2025 findet sie Anwendung. DORA verpflichtet die meisten Unternehmen, die im Finanzsektor tätig sind, ihre Resilienz gegenüber Cyberangriffen durch die Erfüllung festgelegter Richtlinien zu stärken – und dies auch nachzuweisen. Informationsplattformen wie nscale können betroffene Unternehmen bei der Umsetzung von entsprechenden Maßnahmen unterstützen.
Die Bedrohungen für die deutsche Wirtschaft werden immer größer: 2024 waren laut einer Bitkom-Befragung 8 von 10 Unternehmen hierzulande von Diebstahl, Sabotage oder Industriespionage betroffen. Besonders stark zugenommen hat die Häufigkeit von Cyberangriffen: Sie sind verantwortlich für zwei Drittel des Gesamtschadens, den kriminelle Aktivitäten gegenüber Unternehmen verursachen. Im vergangenen Jahr waren das knapp 180 Milliarden Euro.
Was ist DORA?
Mit der DORA-Verordnung will die Europäische Union die länderspezifischen Regulierungen zur IT-Sicherheit in den Mitgliedsstaaten harmonisieren und der erhöhten Bedrohungslage gegensteuern – und setzt bei den Finanzinstituten an. Aus gutem Grund: Banken, Versicherungen, Vermögensverwaltungen und Co. nehmen eine besondere volkswirtschaftliche Rolle ein. Compliance-Vorgaben sind in dieser Branche daher essenziell, um Risiken für das Unternehmen selbst, seine Kunden und den Finanzmarkt im Allgemeinen zu minimieren – und kostspielige rechtliche Folgen zu reduzieren. DORA legt einheitliche Standards für das Management von IT-Risiken solcher Unternehmen fest. Ziel ist es unter anderem, die Resilienz der IT-Infrastruktur gegenüber Cyber-Bedrohungen – aber auch gegenüber Unsicherheiten und Unsauberkeiten in internen Prozessen – zu erhöhen und sicherzustellen, dass Finanzinstitute ihre Dienstleistungen auch bei Störungen oder Ausfällen fortsetzen können.
Welche Anforderungen stellt DORA an Finanzunternehmen?
DORA baut auf den folgenden fünf Säulen auf:
- IT-Risikomanagement: Finanzinstitute müssen ein prozessbasiertes IT-Risikomanagement etabliert haben, das es erlaubt, IT-Bedrohungen schnell und verlässlich zu erkennen, einzuordnen, abzuwehren und Maßnahmen zu ergreifen, die ein erneutes Auftreten der Bedrohung verhindern.
- Resilienztests: Sie sind darüber hinaus dazu verpflichtet, ihre Cyber-Resilienz mithilfe von Testszenarien (Penetrationstests, Stresstests etc.) regelmäßig zu überprüfen, Schwachstellen aufzudecken und sie zu beheben.
- Management von Drittparteirisiken: Unternehmen müssen auch IT-Drittanbieter – etwa Cloud-Dienstleister oder XaaS-Anbieter – in ihrer Lieferkette überwachen und sicherstellen, dass diese ebenfalls sämtliche DORA-Vorgaben einhalten.
- Meldepflicht: Finanzinstitute sind verpflichtet, IT-Vorfälle zu überwachen, zu dokumentieren und schwerwiegende Bedrohungen an die zuständige Aufsichtsbehörde zu melden.
- Informationsaustausch: DORA regt an, dass Unternehmen sich über Cyberbedrohungen austauschen und Erkenntnisse aus Vorfällen teilen, um den europäischen Finanzsektor im Gesamten zu schützen.
Wie nscale Finanzunternehmen bei der Einhaltung von DORA unterstützt
Finanzgeschäfte basieren auf Informationen und deren effizientem Management. Risiken und der Umgang mit ihnen gehören zum Tagesgeschäft. Das beinhaltet Geschäftsrisiken wie finanzielle oder Marktrisiken, aber auch Risiken bezüglich der Stabilität und Zuverlässigkeit interner Prozesse sowie die Fähigkeit, im akuten Bedrohungsfall schnell handlungsfähig und aussagekräftig zu sein. Neben Schnelligkeit und Verlässlichkeit sind resiliente IT-Strukturen essenziell, um finanzielle Verluste und sinkendes Kundenvertrauen zu vermeiden und die Interessen der Kunden zu erfüllen.
Die Grundlage hierfür bildet ein effizientes digitales Dokumentenmanagement. Moderne Informationsplattformen wie nscale verwalten sämtliche im Unternehmen befindlichen Informationen zentral, stellen sie zu jeder Zeit schnell und verlässlich bereit und garantieren schlussendlich eine revisionssichere Archivierung. Dabei protokolliert das System alle Aktivitäten – wie Zugriffe oder Bearbeitungen – nachvollziehbar und transparent. Wiederherstellungsmöglichkeiten und Back-up-Funktionalitäten gewährleisten zudem den Zugriff auf Informationen, die im Bedrohungsfall nicht zugänglich sind, und stellen so Geschäftskontinuität sicher. Durch die Integration mit bestehenden Systemen ist DORA-Konformität in der gesamten Software-Architektur von Finanzinstituten gewährleistet.
nscale bietet darüber hinaus die Möglichkeit, über die integrierte Prozessautomatisierungs-Plattform nscale PAP sichere unternehmensübergreifende und standardisierte Workflows für ein effizientes Vorfallmanagement zu etablieren, die sich problemlos modellieren und anpassen lassen. Auch externe Parteien, wie die oben erwähnten IT-Drittanbieter, können an diesen Prozessen teilnehmen – auch wenn sie selbst kein nscale nutzen. Dadurch werden operative Risiken in der gesamten Lieferkette reduziert, die Handlungsfähigkeit bei Vorfällen sichergestellt und die Vorgaben von DORA digital sowie effizient umgesetzt: Finanzunternehmen können Bedrohungen schnell erkennen, wirksam reagieren, Schäden eindämmen und Erkenntnisse erlangen, um beim nächsten Vorfall noch besser, schneller und wirksamer reagieren zu können.
Fazit
DORA ist eine wichtige Regulierungsmaßnahme für Finanzunternehmen, um sich gegen die immer größere IT-Bedrohungslage zu schützen. Auch für andere Unternehmen ist DORA ein wichtiger Leitfaden, um ihre Resilienz gegenüber IT-Vorfällen zu erhöhen. Wir unterstützen Sie gerne dabei, ihr Informationsmanagement DORA-konform und zukunftssicher aufzustellen.
Ceyoniq Technology GmbH ist ein Konzernunternehmen von Kyocera Document Solutions.