DORA wird im Finanzsektor eingeführt

Der Gesetzentwurf

Juliette: „DORA ist ein Gesetz zur Harmonisierung und Vereinheitlichung von Meldungen im Bereich Cybersicherheit. Ziel ist es, Finanzunternehmen dabei zu unterstützen, ihre IT-Risiken besser zu managen und damit widerstandsfähiger gegen Cyberbedrohungen zu werden.

Ab 2024 sind Finanzinstitute verpflichtet, kritische IT-Lieferanten im DORA-Format zu melden. Der Schwerpunkt liegt auf IT-Risiken, IT-Vorfällen, regelmäßigen Tests der „digitalen Resilienz“, Risikomanagement bei der Auslagerung an kritische Dritte und dem Informationsaustausch über Cyberbedrohungen.

Neue Compliance-Verpflichtungen

DORA basiert auf Regulierungsinitiativen verschiedener europäischer Regulierungsbehörden, einschließlich der Europäischen Zentralbank, und fasst diese in einem einzigen Regelwerk zusammen. Die meisten der in DORA behandelten Themen sind den niederländischen Finanzinstituten bereits bekannt.  Themen wie IT-Governance und IT-Risikomanagement. Ab sofort ist die Einreichung von Themen nur noch im spezifischen DORA-Format möglich. Hinzu kommt, dass das DORA-Format im Vergleich zu anderen Standards, wie z. B. ISO27001, detaillierter ausgearbeitet ist. Auf diese Weise wird die Kontinuität der digitalen Dienste und die Sicherung der Daten gewährleistet. Auch bei betrieblichen oder technischen Störungen, Cyberangriffen und möglichen Katastrophen. Zu diesem Zweck sollten die Finanzinstitute ihre Verfahren - soweit erforderlich - anpassen, um den Anforderungen von DORA gerecht zu werden. Die Finanzinstitute haben bis zum 17. Januar 2025 Zeit, diese DORA-Anforderungen zu erfüllen.

„Ab 2024 sind Finanzinstitute verpflichtet, kritische IT-Lieferanten im DORA-Format zu melden.“

Juliette Juffermans, Business Analyst | ISPnext

Impact von DORA

Nachfolgend sind die Hauptthemen von DORA aufgeführt:

1. IT-Risikomanagement: So wird beispielsweise von Finanzinstitute ein Programm verlangt, das eine Risikobewertung und einen Kontinuitätsplan enthält. Dazu gehört aber auch ein Plan, wie auf IT-bezogene Vorfälle sofort reagiert werden kann und wie damit umgegangen wird.
2. Verwaltung von IT-Vorfällen: IT-Vorfälle werden an eine zentrale Regulierungsbehörde (in den Niederlanden ist dies die DNB) gemeldet. Die Kundin / Der Kunde ist ebenfalls zu informieren. Es gilt, jeden Vorfall, der die Dienstleistungen des Finanzinstituts betrifft, zu erfassen und zu melden.
3. Digital Resilience Testing: Finanzinstitute müssen Testprogramme einführen, die Hacker-Tests, (physische) Sicherheitstests und das Scannen auf Schwachstellen umfassen. Diese Testprogramme sollten wiederum in regelmäßigen Abständen einer Überprüfung unterzogen werden.
4. Risikomanagement bei Dritten: Das Risikomanagement umfasst auch die Risiken, die von Dritten ausgehen. Arbeiten Dritte mit kritischen IT-Lieferanten zusammen, sollten auch diese Unterauftragnehmer Gegenstand der Prüfung sein. Ein Finanzinstitut muss zum Beispiel die gesamte Lieferkette abbilden.
5. Informationen austauschen: Die Finanzinstitute werden aufgefordert, Informationen über Best Practices und Cyberbedrohungen mit anderen Finanzinstituten auszutauschen.

Fragen Sie sich, wie wir Ihnen bei der Einhaltung der DORA-Gesetzgebung behilflich sein können? Kontaktieren Sie uns über die Schaltfläche.