Inhalt
Was ist DORA und wen betrifft es?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Resilienz im Finanzsektor zu stärken. Resilienz bezieht sich auf die Fähigkeit, den Betrieb aufrechtzuerhalten und schnell auf Vorfälle wie Cyberangriffe oder IT-Ausfälle zu reagieren. DORA gilt für Finanzinstitute wie Banken, Versicherungen, Wertpapierfirmen sowie deren kritische IT-Dienstleister. Ziel ist es, die Cybersicherheit zu harmonisieren und die Fragmentierung in der Regulierung über verschiedene EU-Länder hinweg zu reduzieren.
Welche Anforderungen stellt DORA?
DORA legt fünf zentrale Anforderungen fest:
a) IKT-Risikomanagement: Unternehmen müssen ein robustes Rahmenwerk für das IKT-Risikomanagement einführen, das Risiken identifiziert, bewertet und Maßnahmen zur Reduktion umsetzt. Dies umfasst sowohl präventive als auch reaktive Sicherheitsmaßnahmen.
b) Meldung von IKT-Vorfällen: Vorfälle, die die IT-Sicherheit betreffen, müssen klassifiziert und gemeldet werden. Es sind standardisierte Prozesse notwendig, um relevante Behörden zeitnah zu informieren und effektive Maßnahmen einzuleiten.
c) Testen der operationellen Resilienz: Regelmäßige Tests, darunter auch bedrohungsbasierte Penetrationstests, sind verpflichtend. Diese sollen sicherstellen, dass die IKT-Systeme und Prozesse widerstandsfähig gegen Angriffe sind.
d) Management von Drittparteien-Risiken: Unternehmen müssen strikte Kontrollen und Verträge mit ihren IKT-Dienstleistern einführen, um sicherzustellen, dass auch diese den DORA-Standards entsprechen. Dies umfasst regelmäßige Audits und das Führen eines Dienstleisterregisters.
e) Informationsaustausch: Finanzunternehmen sollen in Branchenverbänden und mit Behörden Bedrohungsinformationen und Sicherheitsvorfälle teilen, um sich kollektiv gegen Cybergefahren zu schützen.
Welche Auswirkungen hat DORA auf Unternehmen?
Unternehmen im Finanzsektor müssen ihre IT-Sicherheitsstrategien erheblich ausweiten. Dies betrifft neben der technischen Infrastruktur auch die Governance-Strukturen, z.B. durch das Implementieren von Kontrollsystemen und regelmäßigen Risikoüberprüfungen. Für IT-Entscheider bedeutet dies, dass sowohl personelle als auch technische Ressourcen gestärkt werden müssen, um den Anforderungen gerecht zu werden. Insbesondere das Management von Drittparteien-Dienstleistern wird eine größere Rolle spielen, da Outsourcing-Risiken oft vernachlässigt werden. Durch den Fokus auf regelmäßige Tests und das Melden von Vorfällen müssen IT-Entscheider sicherstellen, dass Notfallpläne nicht nur theoretisch bestehen, sondern auch praktisch umsetzbar sind.
Welche Strafen drohen bei Verstößen gegen DORA?
Die Strafen bei Verstößen gegen DORA können von den Mitgliedstaaten festgelegt werden und umfassen sowohl strafrechtliche als auch verwaltungsrechtliche Sanktionen. Unternehmen, die nicht rechtzeitig melden oder die Vorgaben zur IKT-Sicherheit nicht erfüllen, müssen mit empfindlichen Geldstrafen rechnen. Diese können abhängig von der Schwere des Verstoßes und dem wirtschaftlichen Schaden verhängt werden. DORA verlangt, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind. Dies bedeutet für IT-Entscheider, dass die Compliance als Priorität in die Unternehmensstrategie integriert werden muss, um hohe Bußgelder zu vermeiden.
Wie sieht die Umsetzung von DORA in der Praxis aus?
In der Praxis müssen Unternehmen ihre IT-Systeme und Prozesse grundlegend überprüfen. Dies beginnt mit der Einführung eines IKT-Risikomanagement-Rahmens, der sich nicht nur auf die eigene IT-Infrastruktur, sondern auch auf ausgelagerte Dienste erstreckt. Wichtig ist die Etablierung eines strukturierten Plans zur regelmäßigen Durchführung von Sicherheitstests, der sowohl interne Systeme als auch Drittanbieter umfasst. Ein besonderer Schwerpunkt liegt auf der Erstellung und Pflege von Notfallplänen und Kommunikationsstrategien, um im Krisenfall schnell und effektiv reagieren zu können. IT-Entscheider müssen hierbei eng mit den rechtlichen Abteilungen zusammenarbeiten, um sicherzustellen, dass alle regulatorischen Anforderungen erfüllt werden.
Durch die Einführung von DORA wird eine stärkere Verantwortlichkeit für die IT-Sicherheit auf alle Ebenen der Finanzbranche eingeführt. IT-Entscheider sind dabei gefordert, den kontinuierlichen Betrieb durch geeignete Präventions- und Erholungsmaßnahmen sicherzustellen.
Zurück zur Übersicht des Glossars