Digital Operational Resilience Act (DORA) EU-Verordnung

Der Digital Operational Resilience Act (DORA) ist eine bahnbrechende EU-Verordnung, die geschaffen wurde, um die IT-Sicherheit und die operative Widerstandsfähigkeit von Finanzunternehmen in ganz Europa zu stärken. DORA trat am 16. Januar 2023 in Kraft, und die Einhaltung ist bis zum 17. Januar 2025 erforderlich. Es wird als fundiertes und wirksames Instrument zur Bewältigung digitaler Risiken im Finanzsektor angesehen.

Die Verordnung ist eine Reaktion der Europäischen Union auf die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) in den Finanzdienstleistungen und die wachsende Bedrohung durch Cyberangriffe. DORA zielt daher darauf ab, kritische Schwachstellen wie fragmentierte nationale Vorschriften, unzureichendes IKT-Risikomanagement und mangelnde Überwachung von Drittanbieter-Technologieanbietern anzugehen. 

Bei Hideez setzen wir uns dafür ein, Finanzinstitute bei der Einhaltung von Sicherheitsvorschriften und der Steigerung der Produktivität der Mitarbeiter mit unseren Lösungen für passwortlose Authentifizierung zu unterstützen. Entdecken wir also die wichtigsten Überlegungen, die Ihnen helfen, die vollständige DORA-Konformität zu erreichen!

Den Digital Operational Resilience Act verstehen

DORA ist eine EU-Initiative, die darauf abzielt, Innovation zu fördern, die finanzielle Stabilität zu gewährleisten und Verbraucher in verschiedenen Finanzsystemen wie Banken, Versicherungsunternehmen, Investmentfirmen und anderen zu schützen. 

Das Gesetz legt einheitliche Anforderungen an die Netzwerksicherheit und Informationssysteme fest und unterstützt die Geschäftsprozesse von Finanzunternehmen. Ein auffälliges Merkmal von DORA ist, dass es darauf ausgelegt ist, sicherzustellen, dass Finanzinstitute sowohl auf IKT-bezogene Störungen als auch Bedrohungen leicht reagieren und sich davon erholen können. Darüber hinaus soll die Stabilität des europäischen Finanzsystems durch die Vereinheitlichung der digitalen Widerstandsfähigkeitsregeln in der EU gestärkt und regulatorische Inkonsistenzen reduziert werden.

Wer ist von DORA betroffen?

DORA gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister, die in der EU tätig sind, sowie für die IKT-Infrastruktur, die sie außerhalb der EU unterstützt. Es betrifft verschiedene Finanzsysteme, darunter:

• Banken
• Versicherungsunternehmen
• Investmentfirmen
• Zahlungsabwickler
• Börsen
• Marktinfrastruktur-Einrichtungen
• Kreditratingagenturen
• Anbieter von Krypto-Asset-Diensten

Darüber hinaus erstreckt sich die Verordnung auf kritische IKT-Anbieter, die diese Finanzinstitute unterstützen. Organisationen müssen daher ihre kritischen Drittanbieter-IKT-Abhängigkeiten kartieren und Anbieter diversifizieren, um eine Überabhängigkeit von einem einzigen oder einer begrenzten Gruppe von Anbietern zu vermeiden.

Wesentliche Ziele und Anwendungsbereich von DORA

Es gibt zwei wesentliche Ziele des Gesetzes. Das erste besteht darin, IKT-Risikomanagement im Finanzdienstleistungssektor umfassend zu adressieren. Es umfasst die Festlegung von Standards für Risikobewertung, Vorfallsmeldung und Belastungstests zur Widerstandsfähigkeit. Das zweite Ziel ist es, IKT-Risikomanagementvorschriften in den EU-Mitgliedstaaten auszugleichen, mit dem Ziel, gleiche Wettbewerbsbedingungen zu schaffen und Compliance-Schwierigkeiten für Finanzsysteme zu verringern, die in mehreren EU-Ländern tätig sind.

Die Hauptkomponenten von DORA umfassen:

• IKT-Risikomanagement
• Vorfallsmeldung
• Tests zur digitalen operativen Widerstandsfähigkeit
• Risikomanagement bei Drittanbietern
• Aufsichtsrahmen für kritische IKT-Dienstleister

IKT-Risikomanagement-Rahmenwerk unter DORA

DORA verlangt, dass Finanzunternehmen ein solides, umfassendes und gut dokumentiertes IKT-Risikomanagement-Rahmenwerk etablieren. Dieses wird als wesentlicher Bestandteil des gesamten Risikomanagementsystems des Unternehmens betrachtet und soll eine schnelle, effiziente und effektive Bewältigung möglicher Risiken ermöglichen. Die fünf Hauptkomponenten dieses Rahmenwerks sind:

1. Risikobewertung und -analyse: Unternehmen müssen regelmäßig IKT-Risiken, einschließlich derjenigen, die durch Drittanbieter-Abhängigkeiten entstehen, bewerten und dokumentieren.
2. Schutz- und Präventionsmaßnahmen: Implementierung von Sicherheitsstrategien, Richtlinien und Tools zum Schutz von Systemen und Daten, z. B. passwortlose Zugangslösungen, um Risiken durch Phishing und passwortbezogene Vorfälle zu minimieren.
3. Erkennungsmechanismen: Prozesse und Technologien einsetzen, um Anomalien und potenzielle Sicherheitsvorfälle frühzeitig zu identifizieren.
4. Reaktions- und Wiederherstellungsplanung: Entwicklung und Pflege von Geschäftsfortführungsplänen und Katastrophenwiederherstellungsmaßnahmen.
5. Lernen und Weiterentwickeln: Kontinuierliche Verbesserung des Rahmenwerks auf Basis von Erfahrungen aus Vorfällen und Tests.

Es ist außerdem wichtig zu erwähnen, dass DORA die Zuweisung von Verantwortung für das Management und die Überwachung von IKT-Risiken an eine Kontrollfunktion mit einem angemessenen Maß an Unabhängigkeit verlangt. Dies unterstreicht die Notwendigkeit klarer Verantwortlichkeiten und Governance beim Management digitaler Risiken.

Anforderungen an Vorfallmanagement und Berichterstattung

Ein Hauptmerkmal von DORA ist der Fokus auf das Vorfallmanagement und die Berichterstattung. Finanzunternehmen sind verpflichtet, einen Managementprozess zu implementieren, um IKT-bezogene Vorfälle zu überwachen und zu klassifizieren. Die Verordnung sieht drei Berichterstattungspflichten für wichtige Vorfälle vor:

Erstens die erste Benachrichtigung. Diese muss innerhalb eines bestimmten Zeitrahmens nach der Klassifizierung eines Vorfalls als bedeutend eingereicht werden. Zweitens der Zwischenbericht, der bereitgestellt werden sollte, wenn sich der Status des ursprünglichen Vorfalls erheblich ändert. Drittens der Abschlussbericht, der nach Abschluss der Ursachenanalyse und Verfügbarkeit der tatsächlichen Auswirkungen erstellt wird.

Darüber hinaus verpflichtet das Gesetz Finanzunternehmen, ihre Kunden ohne unangemessene Verzögerung über wesentliche IKT-bezogene Vorfälle zu informieren, die ihre finanziellen Interessen beeinträchtigen. Dies soll das Vertrauen stärken und es den Kunden ermöglichen, bei Bedarf schnell geeignete Schutzmaßnahmen zu ergreifen. 

Zusätzlich fördert DORA die freiwillige Meldung bedeutender Cyberbedrohungen und unterstützt damit einen kooperativen Ansatz zur Cybersicherheit im Finanzsektor.

Tests zur digitalen operativen Widerstandsfähigkeit

Um die Effektivität von IKT-Risikomanagement-Rahmenwerken zu gewährleisten, verlangt DORA, dass Finanzunternehmen regelmäßige Tests ihrer digitalen operativen Widerstandsfähigkeit durchführen. Die obligatorischen Phasen sind:

1. Bewertung und Scans von Schwachstellen: regelmäßige Überprüfungen zur Identifizierung potenzieller Schwachstellen in Systemen und Anwendungen.
2. Sicherheitsbewertungen von Netzwerken und Infrastruktur: Tests zur Sicherstellung der Stärke von Netzwerkschutzmaßnahmen.
3. Tests der Anwendungssicherheit: Bewertungen der Softwareanwendungen, die in kritischen Geschäftsprozessen verwendet werden.
4. Szenariobasierte Tests: Simulationen verschiedener Cyberangriffsszenarien zur Bewertung der Reaktionsfähigkeit.
5. Bedrohungsgestützte Penetrationstests: Erweiterte Tests für als kritisch eingestufte Unternehmen des Finanzsystems, die mindestens alle drei Jahre durchgeführt werden müssen.

Die Ergebnisse müssen dokumentiert und an die höchsten Ebenen innerhalb der Organisation gemeldet werden. Basierend auf den Ergebnissen sollte eine Strategie zur Behebung der Schwachstellen entwickelt und vorgestellt werden. Dieser umfassende Testansatz zielt darauf ab, die Widerstandsfähigkeit von Finanzunternehmen gegenüber sich entwickelnden Cyberbedrohungen kontinuierlich zu verbessern. 

Risikomanagement und Aufsicht bei Drittanbietern

Angesichts der entscheidenden Rolle, die IKT-Dienstleister im Finanzwesen spielen, führt DORA strenge Anforderungen an das Risikomanagement von Drittanbietern ein. Die zentralen Aspekte sind:

1. Sorgfältige Auswahl: Finanzunternehmen müssen potenzielle IKT-Dienstleister gründlich prüfen, bevor sie vertragliche Vereinbarungen eingehen.
2. Vertragliche Schutzklauseln: Vereinbarungen mit IKT-Anbietern müssen spezifische Bedingungen in Bezug auf Sicherheit, Vorfallberichterstattung und Prüfungsrechte enthalten.
3. Fortlaufende Überwachung: regelmäßige Bewertung der Leistung und Sicherheitsmaßnahmen von Drittanbietern.
4. Exit-Strategien: Entwicklung umfassender Pläne für den Ausstieg aus Drittanbieterbeziehungen, falls erforderlich. 

Darüber hinaus etabliert DORA einen Aufsichtsrahmen für kritische Drittanbieter von IKT. Dies ermöglicht es den Europäischen Aufsichtsbehörden, kritische Anbieter direkt zu überwachen und sicherzustellen, dass sie die erforderlichen Standards für den Finanzsektor erfüllen.

Implementierungszeitplan und Compliance-Überlegungen

Der Zeitplan des Digital Operational Resilience Act kann wie folgt dargestellt werden: 

• 16. Januar 2023: DORA trat in Kraft.
• 17. Januar 2025: Frist für Finanzunternehmen und IKT-Anbieter zur Erreichung der Konformität.

Auswirkungen von DORA auf den Finanzsektor der EU

Eine erfolgreiche Implementierung des DORA-Konformitätsrahmens hat bedeutende Auswirkungen auf den Finanzsektor der EU. Lesen Sie unten, um herauszufinden, welche das sind: 

1. Verbesserte Cybersicherheit: Durch verschiedene IKT-Risikomanagementpraktiken soll DORA die allgemeine Cybersicherheit von Finanzunternehmen erheblich verbessern.
2. Harmonisierte Vorschriften: Ein integrierter Ansatz in den verschiedenen Mitgliedsstaaten erleichtert die Einhaltung von Vorschriften bei grenzüberschreitenden Finanzoperationen und sorgt für fairen Wettbewerb. 
3. Verbessertes Risikomanagement bei Drittanbietern: Der Aufsichtsrahmen für kritische IKT-Anbieter wird dazu beitragen, Risiken im Zusammenhang mit Outsourcing und Cloud-Diensten zu minimieren.
4. Förderung von Innovation: Ein klarer Plan mit regulatorischen Leitlinien unterstützt DORA dabei, den Finanzsektor zur effektiven Einführung neuer Technologien anzuregen, wobei starke Risikomanagementpraktiken gewährleistet sind.
5. Gestärktes Verbrauchervertrauen: Eine bessere Resilienz und klarere Vorfallberichterstattung können dazu beitragen, das Vertrauen und die Zuversicht der Verbraucher in digitale Finanzdienstleistungen zu stärken.

Wie Hideez bei der DORA-Konformität helfen kann

Für Finanzinstitute, die sich im Rahmen des Digital Operational Resilience Act bewegen, gilt: Sicherheit beginnt mit starker Authentifizierung. Artikel 9 der DORA-Gesetzgebung macht deutlich: Der Schutz des Zugriffs auf sensible Systeme ist unverzichtbar. Dies ist die erste Verteidigungslinie gegen Phishing, unbefugten Zugriff und Sicherheitsvorfälle, die den Geschäftsbetrieb beeinträchtigen können.

Während die Implementierung von Multi-Faktor-Authentifizierung (MFA) entscheidend ist, bieten nicht alle Methoden denselben Schutz. Wie wir in unserem ausführlichen Artikel “Wie wählt man die sicherste MFA-Methode?” erklärt haben, sind herkömmliche Ansätze wie Push-Benachrichtigungen oder SMS-basierte Einmalpasswörter anfällig für Phishing- und SIM-Swapping-Angriffe.

Um die Anforderungen von DORA effektiv zu erfüllen, sollten Finanzinstitute Lösungen auf Basis von passwortloser MFA einführen. Dieser fortschrittliche Ansatz eliminiert Passwörter vollständig und ersetzt sie durch sichere Optionen wie Biometrie oder physische Sicherheitsschlüssel. Zudem vereinfacht er die Benutzererfahrung und beseitigt die lästigen Aufgaben im Zusammenhang mit Passwortverwaltung am Arbeitsplatz.

Bereit, passwortlos zu gehen? Buchen Sie eine Demo der Hideez Workforce Identity-Lösung oder erstellen Sie ein Konto in unserem Cloud-Portal, um passwortloses SSO für Ihre Webdienste kostenlos einzurichten. Ob kleines Unternehmen oder große Organisation – unsere Tools können Ihnen helfen, wirklich sichere Authentifizierungspraktiken zu implementieren und die Standards der DORA-Betriebsresilienz zu erfüllen.