Beim Digital Operational Resilience Act (DORA) handelt es sich um eine Verordnung der EU, welche am 17.01.2023 in Kraft trat und bis zum 17.01.2025 von betroffenen Unternehmen umgesetzt werden muss. Durch die Verordnung soll die Stabilität von Systemen verbessert werden und selbst nach einem Cyber-Angriff funktionsfähig bleiben. DORA stellt dabei einige Vorgaben an die betroffenen Unternehmen. DORA muss dabei von fast allen Unternehmen in der Finanzbranche wie z.B. Banken oder Versicherungsunternehmen umgesetzt werden. Ausnahmen gibt es nur für kleine Firmen.
Inhalte von DORA
DORA soll die digitale operationale Resilienz durch folgende Maßnahmen stärken:
- Informations- und Kommunikationstechnologie (IKT) Risikomanagement (Kapitel 2)
- Berichterstattung von IKT-Vorfällen (Kapitel 3)
- Testen der digitalen operationalen Resilienz (Kapitel 4)
- Management des IKT-Drittparteirisikos (Kapitel 5)
- Überwachungsrahmen für kritische Dienstleister (Kapitel 5)
- Vereinbarungen über einen Informationsaustausch und Notfallübungen (Kapitel 6 und 7)
Was sind IKT-Dienstleistungen?
Informations- und Kommunikationstechnologien (IKT), bezeichnet Technik welche zum Erheben, Speichern und Weiterverarbeiten von Daten genutzt wird. Diese stehen für jegliche Kommunikationsanwendungen. Darunter zählen Telefone, Radio, Handys, Tablets als auch Computer und Netzwerke.
„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu zählt auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste. (vgl. Art. 3 Absatz 1 Nr. 21 DORA)
Was sind IKT-Vorfälle?
Ein „IKT-bezogener Vorfall“ ist ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat. (vgl. Art. 3 Absatz 1 Nr. 8 DORA) Dazu zählen jegliche Arten von Cyber-Angriffen, die darauf abzielen, Zugang zu internen Daten zu erlangen oder System-Ausfälle zu erzeugen.
In Kapitel 3 Artikel 17 wird der Umgang mit IKT-Vorfällen geregelt.
IKT-Drittpartei-Risiko
Das „IKT-Drittparteienrisiko“ bezieht sich auf ein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden. (vgl. Art. 3 Absatz 1 Nr. 18 DORA)
Somit fallen unter DORA nicht nur Unternehmen der Finanzbranche, sondern auch diese, welche Dienstleistungen für die Finanzindustrie bereitstellen. Dazu zählen unter anderem Cloud-Service-Provider, Softwareanbieter und Rechenzentren.
Das Management des IKT-Drittparteirisikos wird von DORA in Kapitel 5 geregelt.
Risikomanagement
Kapitel 2 Artikel 6 beschäftigt sich mit dem IKT-Risikomanagementrahmen.
Der Rahmen sollte mindestens über Strategien, Leit- und Richtlinien, Verfahren und IKT-Protokolle und Tools verfügen, um alle Informationswerte (Assets) ordnungsgemäß zu schützen. Zu den Assets gehören alle schutzbedürftigen und wertvollen Informationen, Systeme und Prozesse der IKT. Eine Dokumentation und Prüfung finden einmal jährlich oder nach einem schwerwiegenden Vorfall statt. Kleinere Unternehmen müssen diese Prüfung regelmäßig durchführen. Dagegen übertragen größere Unternehmen den Risikomanagement-Rahmen, also die Zuständigkeit und Überwachung, an eine unabhängige Kontrollfunktion.
Auch muss der Rahmen eine Strategie für die digitale operationale Resilienz enthalten. Sie legt fest, wie der Risikomanagementrahmen umgesetzt wird.
Prozess für die Behandlung IKT-bezogener Vorfälle
In Kapitel 3 Artikel 17 behandelt DORA den Prozess für die Behandlung von IKT-Vorfällen.
So bestimmen Finanzunternehmen einen Prozess zur Behandlung von IKT-bezogenen Vorfällen. Dieser Prozess muss eingerichtet und angewendet werden, um Vorfälle zu behandeln und zu melden. Ziel ist es das Auftreten solcher Vorfälle zu verhindern.
Nach DORA werden durch den Prozess Frühwarnindikatoren eingesetzt. Ebenfalls werden Funktionen und Zuständigkeiten zugewiesen, die bei verschiedenen Arten von IKT-bezogenen Vorfällen und -Szenarien aktiviert werden müssen. Auch wird sichergestellt, dass schwerwiegende Vorfälle gemeldet werden. Es werden Verfahren für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen eingerichtet, um Auswirkungen zu mindern und sicherzustellen, dass die Dienste zeitnah verfügbar und sicher werden.
Weitere Kapitel von DORA
Die weiteren Kapitel von DORA beschäftigen sich mit:
- Testen der digitalen operationalen Resilienz (Kapitel 4)
- Management des IKT-Drittparteirisikos (Kapitel 5)
- Vereinbarungen über den Austausch von Information (Kapitel 6)
- Zuständige Behörden (Kapitel 7)
- Delegierte Rechtsakte (Kapitel 8)
- Übergangs- und Schlussbestimmungen (Kapitel 9)
Umsetzung von DORA in Deutschland
Laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist der deutsche Finanzsektor und die Aufsicht gut auf die Anwendung von DORA vorbereitet. Einzelne Instrumente, welche von der BaFin in der Vergangenheit geschaffen wurden, sind in DORA wiederzufinden. Diese Instrumente sind harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.
Dora und NIS-2
NIS-2 versucht die Cyber Security EU-weit zu stärken und zu vereinheitlichen. DORA versucht hauptsächlich die Stabilität und Ausfall Sicherheit zu stärken. So sollen Systeme trotz einem erfolgreichen Angriff funktionsfähig bleiben. NIS-2 umfasst mehrere Sektoren während DORA die Sicherheit im Finanz-Sektor stärken möchte.
Ein Unternehmen, welches sowohl von DORA als auch von NIS-2 betroffen ist, muss nur DORA anwenden, denn DORA ist voranging gegenüber NIS-2 (lex specialis).
Sind Sie von DORA betroffen? Ergreifen Sie jetzt die notwendigen Maßnahmen.
Wenn Ihr Unternehmen in der Finanzbranche tätig ist oder IKT-Dienstleistungen für die Finanzindustrie erbringt, sollten Sie jetzt die notwendigen Maßnahmen ergreifen. Folgende Schritte sind erforderlich, um die Anforderungen von DORA zu erfüllen:
- Überprüfen Sie die Anwendbarkeit von DORA auf Ihr Unternehmen.
- Evaluieren Sie den Reifegrad Ihrer Prozesse im Hinblick auf die DORA-Anforderungen, insbesondere in Bezug auf das geforderte Risiko- und Vorfallsmanagement.
- Definieren Sie die erforderlichen Maßnahmen basierend auf der Reifegradbewertung.
- Setzen Sie die definierten Maßnahmen um.
Fazit
Der Digital Operational Resilience Act (DORA) versucht die Sicherheit der Finanzbranche durch Regulierungen weiter zu stärken. Diese Vorgaben müssen bis 2025 von jedem EU-Mitglied umgesetzt werden. Welche Auswirkungen DORA auf die Finanzbranche hat und ob diese sich auch auf andere Branchen auswirkt, bleibt abzuwarten. Betroffene Unternehmen sollten jetzt die erforderlichen Maßnahmen einleiten, um Ihre Compliance für DORA sicherzustellen.
Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!
Quellen:
https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
https://digitale-operationale-resilienz.de/artikel-3-dora/
https://it-service.network/it-lexikon/informations-und-kommunikationstechnologie-ikt
https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
COMPLION | NIS2 vs. DORA – Unterschiede der EU Cyber Security Regularien
NIS-2 und DORA: Warum zwei EU-Rechtsvorschriften für Cybersicherheit? | more security. usd AG
