DORA-Verordnung – Digital Operational Resilience Act
In einer immer stärker digitalisierten Welt werden Sicherheit und Widerstandsfähigkeit des Finanzsektors zunehmend zur Priorität. Die EU hat reagiert und den Digital Operational Resilience Act, die DORA-Verordnung, ins Leben gerufen, eine Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Cybersicherheit von Finanzunternehmen zu stärken.
DORA-Verordnung – Was ist das?
Der Digital Operational Resilience Act (DORA) ist eine Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken und das Vertrauen der Verbraucher und Investoren in die Finanzmärkte zu erhalten. Als EU-Verordnung ist DORA direkt anwendbar und muss nicht in nationales Recht umgesetzt werden. Die DORA-Verordnung schafft ein einheitliches europäisches Regelwerk für digitale Betriebsfähigkeit und Cybersicherheit im Finanzwesen und stellt strenge Anforderungen an Finanzinstitute, um sicherzustellen, dass sie gut auf digitale Störungen und Sicherheitsvorfälle vorbereitet sind. Finanzunternehmen sollen sich intensiv mit den Anforderungen der DORA auseinandersetzen und sicherstellen, dass sie diese erfüllen. Dabei ist zu berücksichtigen, dass die deutsche Aufsicht bereits diverse Rahmenwerke wie BAIT, VAIT, MaRisk und das KWG geschaffen hat, die als Grundlage dienen können.
Digitale Resilienz – Warum ist das ein wichtiges Thema?
Digitale Resilienz bezeichnet die Fähigkeit von Unternehmen und Organisationen, sich nach digitalen Angriffen zu erholen, sich anzupassen und widerstandsfähig gegenüber zukünftigen Bedrohungen zu bleiben. Angesichts der zunehmenden Cyberangriffe auf die deutsche Wirtschaft gewinnt dieses Thema stark an Bedeutung.
- Art der Angriffe: Dazu zählen der Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage. Cyberattacken machen dabei 72% des Gesamtschadens aus.
- Umfang der Betroffenheit: Etwas 72% aller deutschen Unternehmen waren in irgendeiner Form von Cyberangriffen betroffen.
- Herkunft der Angriffe: Viele Angriffe werden auf organisierte Kriminalität zurückgeführt, häufig aus Russland und China.
- Internationale Dimension: Deutsche Sicherheitsbehörden sind oft machtlos gegenüber Cyberangriffen aus dem Ausland, was die Strafverfolgung und Prävention erschwert.
Begriff der „Resilienz“
Resilienz stammt aus der Psychologie und beschreibt das Abfederungsvermögen von Systemen gegen äußerer Störungen. Es bezeichnet die Fähigkeit von Gesellschaften, externe Störungen zu verkraften, ohne dass sich wesentliche Systemfunktionen ändern. Seit den 1990er Jahren wird Resilienz auf Unternehmen angewandt. Seit 2001 ist sie auch in der Politikwissenschaft relevant, besonders im Zusammenhang mit Terrorismus und Kriminalität. In jüngerer Zeit hat Resilienz an Bedeutung gewonnen, um Folgen des Klimawandels zu bewältigen.
Aus welchen Beweggründen ist DORA-Verodnung entstanden und welche Ziele hat sie?
Ein zentraler Aspekt von DORA ist die Förderung der Antizipationsfähigkeit der Finanzsektoren. Das bedeutet, dass Institutionen in der Lage sein sollen, zukünftige potenzielle Krisen, Vorfälle oder Veränderungen frühzeitig zu erkennen und sich proaktiv darauf vorzubereiten. Dies soll helfen, potenzielle negative Auswirkungen zu minimieren, indem rechtzeitig angemessene Maßnahmen ergriffen werden.
Ein weiteres Ziel von DORA ist es, die Robustheit der Finanzinstitute zu stärken. Dies bedeutet, dass sie in der Lage sein sollen, unmittelbare Auswirkungen der Krise oder des Vorfalls aufzufangen, indem die grundlegenden Funktionsweisen auch während einer Krise aufrechterhalten wird, um Stabilität zu gewährleisten und Schadensbegrenzungen zu betreiben.
Zusätzlich strebt DORA danach, die Regenerationsfähigkeit der Finanzsektoren zu verbessern. Nach einer Krise oder einem Vorfall sollen Finanzinstitute in der Lage sein, sich schneller zu erholen und sich an eine neue Normalität anzupassen. Dies beinhaltet die beschleunigte Wiederherstellung ihrer Funktionsfähigkeit und die Minimierung langfristiger Auswirkungen auf ihre Betriebsabläufe.
DORA-Verordnung Webinar
DORA | Wie der Digital Operational Resilience Act die Cybersicherheit revolutioniert
In unserem Webinar geben unsere Experten für Quality & ESG Management, Anne Telöken und der DORA-Experte & Senior Manager, Alexander Geißler, ihnen einen Einblick in die DORA-Verordnung und wie wir sie umsetzen. Außerdem haben Sie die Möglichkeit uns live all Ihre Fragen über DORA und dessen Umsetzung bei der d.velop zu stellen.
- Digitale Resilienz – warum ist das für die Finanzwirtschaft wichtig?
- Was verbirgt sich hinter DORA und welche Auswirkungen hat sie?
- DORA @d.velop – wie setzen wir die Regulatorik um?
- Ihre Fragen & unsere Antworten
Starten Sie mit nur einem Klick direkt das Webinar.
Was ist neu mit der DORA-Verordnung?
Zielsetzung
Ziel der DORA-Verordnung ist die Harmonisierung europäischer und nationaler Standards zur Stärkung der digitalen operativen Widerstandsfähigkeit von Finanzdienstleistern und IKT-Drittdienstleistern. Dies soll sicherstellen, dass ein einheitliches und robustes Sicherheitsniveau erreicht wird, das Schwachstellen in der digitalen Infrastruktur identifiziert und behebt. Durch diese Harmonisierung sollen Finanzdienstleister besser vor digitalen Bedrohungen geschützt und IKT-Drittdienstleister in der Lage sein, ihre Dienste sicher und zuverlässig anzubieten.
Handlungsbedarfe
Es gibt einen erheblichen Handlungsbedarf, insbesondere im Bereich IKT-Risikomanagements, der Entwicklung von Strategien zur Risikobewältigung sowie bei der Implementierung von Mechanismen zur Erkennung und zum Management von Risiken durch IKT-Drittparteien.
Herausforderungen
Die Einführung der neuen DORA-Verordnung bringt diverse Herausforderungen mit sich. Zu den zentralen Punkten zählen die verschiedenen und umfangreichen Themenfelder, die eine Vielzahl von Stakeholdern aus der Finanzdienstleistungs- und IKT-Branche betreffen. Der kurze Umsetzungszeitraum bis Januar 2025 erfordert eine schnelle Harmonisierung von Begriffsdefinitionen und die rechtzeitige Finalisierung technischer Regulierungsstandards.
Wer ist von der DORA-Verordnung betroffen?
Die DORA-Verordnung richtet sich primär an das europäische Finanzsystem. In Deutschland betrifft dies insbesondere alle Unternehmen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reguliert werden. Dazu zählen:
- Banken und Versicherungsgesellschaften
- Wertpapierfirmen, wie beispielsweise Broker
- Zahlungsdienstleister, einschließlich E-Geld-Institute
- Kreditinstitute und Finanzdienstleister gemäß Ba-Fin-Regulierung
Zudem wird DORA auch IHK-Unternehmen (d.h. Unternehmen aus der Informations- und Kommunikationstechnologie) sowie deren Funktionen nach ihrer Kritikalität einstufen. Die Aufsichtsbehörden behalten sich also das Recht vor, systemrelevante Anbieter (sog. kritische IHK-Dienstleister) und Anbieter von als kritisch/wichtig eingestuften Funktionen unmittelbar in den Fokus zu rücken und einer direkten Aufsicht durch die Aufsichtsbehörden zu unterziehen. Zusätzlich wird ein zentrales Melderegister für Vorfälle bzw. Anbieter implementiert. Dies bedeutet, dass ebenfalls alle IHK-Dienstleister, die den Financial-Service-Markt in Europa adressieren, sich der DORA-Verordnung und ihrer Auswirkungen auf die eigenen Systeme bewusst sein sollten.
Bis wann muss die DORA-Verordnung umgesetzt werden?
Wie bei derartigen Verordnungen üblich, gibt es auch bei DORA eine Übergangszeit, die Finanzunternehmen ermöglicht, die nötigen Maßnahmen zur Einhaltung umzusetzen. Obwohl die Verordnung bereits am 17. Januar 2023 in Kraft getreten ist, wird sie erst ab dem 17. Januar 2025 tatsächlich angewendet.
Hauptbestandteile von DORA
Der Digital Operational Resilience Act (DORA) greift zahlreiche Anforderungen bestehender Verordnungen auf und konkretisiert oder ergänzt sie. Die im Digital Operational Resilience Act definierten Anforderungen lassen sich fünf verschiedene Themengebiete zuordnen:
- Schaffung eines Rahmenwerks für das IKT-Risikomanagement inklusive der Anforderungen an das betriebliche Kontinuitätsmanagement
- Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle
- Testen der operativen Resilienz (Widerstandsfähigkeit)
- Steuerung und Überwachung des IKT-Drittdienstleisterrisikos
- Schaffung eines Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister
Neue Anforderungen gegenüber bestehender Regulatorik
DORA führt im Vergleich zu den bestehenden regulatorischen Anforderungen neue Maßnahmen und Prinzipien ein, die auf eine Stärkung der digitalen operationellen Resilienz von Finanzinstituten abzielen. Diese neuen Anforderungen umfassen verschiedene Aspekte des IKT-Risikomanagements, das Management von Drittparteien sowie die Überwachung kritischer Dienstleister. Hier eine Übersicht der neuen Anforderungen gemäß DORA:
1. IKT-Risikomanagement
Finanzinstitute müssen ein umfassendes IKT-Risikomanagement einführen, das die Erkennung, Bewertung, Überwachung und Minderung von IKT-Risiken abdeckt.
2. IKT-bezogene Vorfälle
Finanzinstitute sind verpflichtet, IKT-bezogene Vorfälle zu melden und zu dokumentieren. Dazu gehören Cyberangriffe, Datenverluste und andere Sicherheitsvorfälle, die die operationelle Resilienz beeinträchtigen können.
3. Testen der digitalen operationalen Resilienz
Regelmäßige Tests der digitalen operationalen Resilienz sind vorgeschrieben. Dies schließt Penetrationstest, Szenarioanalysen und Notfallübungen ein, um die Widerstandsfähigkeit gegen IKT-Risiken zu prüfen.
4. Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos
Finanzinstitute müssen sicherstellen, dass ihre Beziehungen zu Drittanbietern gut gemanagt werden. Dies beinhaltet die Identifizierung und Bewertung der Risiken, die mit der Auslagerung von IKT-Dienstleistungen verbunden sind. Verträge mit Drittparteien sollten klare Bestimmungen über die Sicherheitsstandards und -verfahren enthalten, die diese einhalten müssen.
5. Überwachungsrahmen für kritische IKT-Drittdienstleister:
Es ist ein Rahmen für die Überwachung kritischer IKT-Drittdienstleister zu schaffen, um deren Einhaltung der vertraglichen vereinbarten Sicherheits- und Resilienzanforderungen sicherzustellen.
6. Vereinbarung über den Austausch von Informationen (optional)
Finanzinstitute können Vereinbarungen über den Austausch von Informationen mit anderen Instituten oder Behörden treffen, um das Bewusstsein für Bedrohungen und Schwachstellen zu erhöhen.
Die Rolle der IT-Dienstleister in Bezug auf DORA
IT-Dienstleister wie d.velop können einen wesentlichen Beitrag zur Umsetzung der DORA-Anordnungen leisten. Ihre Hauptaufgabe besteht darin, die DORA-Readiness ihrer eigenen Produkte und Lösungen sicherzustellen, sodass Kunden in der Prüfung ihrer Systemlandschaften auf die d.velop Systeme vertrauen können. Nach ersten Konsultationen unabhängiger Experten ist d.velop bereits heute sehr gut aufgestellt, um diese Anforderungen zu erfüllen. Dies spiegelt unser Selbstverständnis als europäischer Softwarehersteller wider, der ein Produktportfolio anbietet, das den höchsten regulatorischen Ansprüchen gerecht wird. So setzt etwa die BaFin, der oberste Regulator der deutschen Finanzindustrie, unternehmensweit auf Lösungen von d.velop.
FAQ – Häufig gestellte Fragen
Bezüglich der neuen DORA-Verordnung stellen sich Unternehmen häufig die gleichen Fragen. Wir haben die wichtigsten für Sie gesammelt und beantwortet.
Die DORA-Verordnung ist ein EU-Gesetz, das sicherstellen soll, dass Finanzunternehmen gut gegen Cyberangriffe und IT-Probleme geschützt sind. Die Verordnung legt Regeln fest, wie Unternehmen im Finanzsektor ihre Computersysteme sicher und widerstandsfähig machen sollen.
Grundsätzlich zielt die Verordnung auf das europäische Finanzsystem ab. In Deutschland betrifft dies in erster Linie alle von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) regulierten Unternehmen.
Die DORA-Verordnung bringt Finanzunternehmen folgende Vorteile:
– Bessere Absicherung gegen Cyberangriffe
– Stärkere IT-Systeme und weniger Ausfälle
– Einheitliche Standards in der EU
– Verbesserter Umgang mit IT-Risiken und -Problemen
Die DORA-Verordnung ist wichtig, weil sie Finanzunternehmen hilft, ihre IT-Systeme gegen Cyberangriffe und technische Probleme zu schützen. Digitale Angriffe auf die deutsche Wirtschaft nehmen zu, mit Schäden von über 200 Milliarden Euro in den letzten drei Jahren. Dadurch erhöht die Verordnung die Sicherheit und Stabilität des gesamten Finanzsektors.
Software Demo
Lernen Sie die d.velop Software kennen
Fordern Sie mit wenigen Klicks Ihre individuelle Live-Demo zur Software von d.velop an. Lassen Sie sich die Software live vorführen und stellen Sie direkt Ihre Fragen. Einfach Formular ausfüllen und wir melden uns bei Ihnen.