Was ist DORA?
Was ist DORA?

Was ist DORA, und wie wirkt es sich auf Sie aus? Entmystifizierung des Digital Operational Resilience Act

Lauren Burnside |

Seien Sie der Zeit voraus und bereiten Sie sich mit Zuversicht auf die Frist zur Einhaltung des Digital Operation Resilience Act im Januar 2025 vor.

Dem Finanzsektor sind Vorschriften zur Verbesserung der operativen Widerstandsfähigkeit und Sicherheit nicht fremd. Der Digital Operational Resilience Act (DORA) ist ein wichtiger Rahmen, der die operative Widerstandsfähigkeit von Finanzinstituten in der Europäischen Union stärken soll. Da wir uns dem 17. Januar 2025 nähern - dem Stichtag für die Einhaltung von DORA - ist es für Finanzunternehmen wichtig, die Anforderungen zu verstehen und sich entsprechend vorzubereiten.

Aber hier ist der Haken: Zum ersten Mal in der Geschichte haben die Unternehmen nur einen Monat Zeit, um die neuen DORA-Verordnungen nach ihrer endgültigen Veröffentlichung im Dezember vollständig zu erfüllen.

Die nächsten sechs Monate werden schneller kommen, als Sie erwarten (vor allem zwischen Dezember und Januar). Einige Plattformen (wie Mitratech Alyne) verfügen bereits über RTS-Inhaltsentwürfe, so dass Sie bereits jetzt mit der Planung beginnen können und die Gewissheit haben, dass Sie alle erforderlichen Aktualisierungen in den letzten 30 Tagen problemlos durchführen können. Es ist auch nicht nötig, das System zu zerreißen und zu ersetzen oder groß zu überarbeiten. Alyne fügt sich nahtlos in Ihre bestehende Infrastruktur, Tools und Technologie ein und fungiert als DORA-Experte, der Sie dabei unterstützt, die Anforderungen des endgültigen RTS-Entwurfs zu verstehen und abzubilden und alle erforderlichen Daten (einschließlich der in den EBA/ESA-Vorlagen geforderten) effizient im Informationsregister zu konsolidieren.

Die Umsetzung kann jedoch 4 bis 6 Wochen dauern, so dass es jetzt an der Zeit ist, mit der Einhaltung der DORA-Vorschriften zu beginnen. Im Folgenden finden Sie einige proaktive Schritte, die Sie unternehmen können, um das Risiko von Strafen bei Nichteinhaltung der Vorschriften zu verringern und die vollständige Einhaltung der DORA-Vorschriften bis zum Jahr 2025 sicherzustellen.

Ein kurzer Schritt zurück: Was ist DORA?

DORA ( Digital Operational Resilience Act) ist eine EU-Verordnung, die sicherstellen soll, dass Finanzinstitute allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Diese neue Verordnung deckt ein breites Spektrum von IKT-bezogenen Vorfällen ab und geht über die traditionellen Risikomanagementpraktiken hinaus, indem sie umfassende Maßnahmen zum Schutz, zur Erkennung, zur Eindämmung, zur Wiederherstellung und zur Reparatur vorsieht.

Vor DORA konzentrierten sich die Finanzinstitute hauptsächlich auf die Kapitalallokation, um operationelle Risiken zu managen. Nun wird mit DORA ein detaillierterer Ansatz für die operationelle Widerstandsfähigkeit eingeführt, der robuste Strategien und Grundsätze für ein wirksames Management von IKT-Risiken verlangt. Dieser Wandel unterstreicht die Bedeutung eines verantwortungsvollen und ethischen Umgangs mit Daten, der sicherstellt, dass Finanzinstitute ihren Betrieb auch bei erheblichen Störungen aufrechterhalten können.

Die 5 wichtigsten Compliance-Verpflichtungen von DORA verstehen

DORA ist in fünf Regelungsbereiche unterteilt, die sich auf IKT und Cybersicherheit konzentrieren.

  1. ICT-Risikomanagement und -Governance: DORA wird von Organisationen verlangen, einen robusten IKT-Governance-Rahmen zu schaffen, der eine Strategie für die digitale Widerstandsfähigkeit, eine definierte IKT-Risikotoleranz und eine detaillierte Dokumentation aller IKT-bezogenen Geschäftsfunktionen und Vermögenswerte umfasst. Dies wird zu einer regelmäßigen Bewertung führen, um IKT-Risiken zu mindern, umfassende Sicherheitsrichtlinien zu erstellen und regelmäßige Schulungen für das Sicherheitsbewusstsein der Mitarbeiter anzubieten.
  2. Reaktion auf Vorfälle und Berichterstattung: Organisationen müssen einen klaren Reaktionsplan erstellen, der sicherstellt, dass die Mitarbeiter die Meldeverfahren kennen und Vorfälle effektiv klassifizieren. DORA stellt auch sicher, dass alle IKT-Vorfälle den zuständigen Behörden sowie den Benutzern und Kunden gemeldet werden.
  3. Prüfung der digitalen Ausfallsicherheit (Digital Operational Resilience Testing): Im Rahmen von DORA müssen Organisationen einen Testrahmen implementieren, der regelmäßige grundlegende IKT-Tests und fortgeschrittene Threat Led Penetration Testing (TLPT) umfasst. Alle Schwachstellen, Mängel oder Lücken müssen identifiziert und durch die Durchführung von Gegenmaßnahmen beseitigt oder abgeschwächt werden.
  4. Risikomanagement bei Drittanbietern: Zusätzlich zur internen Einhaltung der Vorschriften müssen Unternehmen die Sicherheitsmaßnahmen von IKT-Drittanbietern bewerten, um sicherzustellen, dass diese ebenfalls die DORA-Anforderungen erfüllen. Die Verträge mit diesen Anbietern müssen umfassende Details zur Überwachung und Erreichbarkeit enthalten, wie z. B. eine vollständige Beschreibung des Servicelevels und Informationen über die Standorte, an denen die Daten verarbeitet werden.
  5. Vereinbarungen über den Austausch von Informationen und Erkenntnissen: DORA fördert die Zusammenarbeit zwischen vertrauenswürdigen Gemeinschaften anderer Finanzunternehmen mit dem Ziel, das Bewusstsein für IKT-Risiken zu schärfen, die Ausbreitung von IKT-Bedrohungen zu minimieren und die digitale operative Widerstandsfähigkeit von Finanzunternehmen insgesamt zu verbessern. Der regelmäßige Austausch von Erkenntnissen über Bedrohungen und die Koordinierung der Bemühungen zur Identifizierung neu auftretender Bedrohungen und Schwachstellen werden zur Risikominderung beitragen.

Ziel dieser Bereiche ist es, einen umfassenden Rahmen für die digitale Resilienz zu schaffen, der die Bedeutung einer kontinuierlichen Anpassung und Verbesserung hervorhebt.

Umsetzung der DORA-Anforderungen

Die DORA-Anforderungen wurden 24 Monate nach ihrem Inkrafttreten am 16. Januar 2023 durchsetzbar. Daher wird erwartet, dass die Finanzunternehmen die DORA bis zum 17. Januar 2025 einhalten.

DORA-Checkliste zur Einhaltung der Vorschriften

Aber wie wir bereits erwähnt haben: Die endgültigen RTS-Entwürfe und DORA-Aktualisierungen werden offiziell erst im Dezember 2024 veröffentlicht, so dass Ihr Team eine unerhörte Frist von nur einem Monat einhalten muss. Die Einhaltung der Vorschriften erfolgt nicht über Nacht, und da diese Frist schnell näher rückt, müssen Organisationen jetzt handeln, um sicherzustellen, dass sie vorbereitet sind.

Während Sie sich mit den Anforderungen vertraut machen, ist es ebenso wichtig, Ihr Unternehmen mit den Werkzeugen und Kenntnissen auszustatten, die für eine robuste betriebliche Widerstandsfähigkeit erforderlich sind.

Automatisieren Sie Ihre DORA-Einhaltung

Während dieser Überblick einen Ausgangspunkt für das Verständnis und die Vorbereitung auf DORA bietet, betont die Verordnung die Bedeutung einer kontinuierlichen Anpassung und Verbesserung. Da sich das Regelungsumfeld weiterentwickelt, ist es wichtig, sich über Änderungen und zusätzliche Leitlinien auf dem Laufenden zu halten.

Wir befinden uns erst auf den ersten 100 Metern des Meilenlaufs.

Mit anderen Worten: Die Arbeit mit den Kontrollen ist nur der Anfang... als Nächstes kommen die Identifizierung von Lücken, die Lückenanalyse, die Erstellung Ihres Registers usw.

Der Einsatz von Automatisierungstechnologie bietet die Möglichkeit, Ihre Bemühungen mit einer zentralen und anpassbaren Plattform für die Verwaltung der Einhaltung von DORA und anderen relevanten Normen zu rationalisieren - vorausgesetzt, Sie wählen die richtige Plattform. Schwerfällige, überdimensionale Systeme sind nicht flexibel genug, um mit den ständigen Aktualisierungen von DORA Schritt zu halten. Flexiblere Plattformen (wie Mitratech Alyne) wurden entwickelt, um Ihnen zu helfen, die vollständige DORA-Konformität in nur 30 Tagen zu erreichen.

Die Einhaltung neuer Rechtsvorschriften muss nicht stressig sein. Wenn Sie mehr darüber erfahren möchten, wie Mitratech Lösungen mit dem DORA-Rahmen und den bereits konfigurierten Regulatory Technical Standards (RTS) anbieten kann, wenden Sie sich an unser Team.

Entdecken Sie Mitratech GRC Management

Erfahren Sie mehr über unsere einzigartige Suite von End-to-End-Lösungen für Risiko und Compliance.