• News

DORA-Verordnung: ein neuer Standard für digitale Ausfallsicherheit im europäischen Finanzsektor

Die DORA-Verordnung setzt neue Maßstäbe für die digitale Ausfallsicherheit im EU-Finanzsektor. Tinext Cloud erläutert die Mandate, Risiken und praktischen Auswirkungen für Banken und Finanzinstitute.

Lesezeit5 min

Ende 2022 im Amtsblatt der Europäischen Union angekündigt, ist DORA - ein Akronym für Digital Operational Resilience Act - nun Realität und ein dringendes Thema für Unternehmen des Finanzsektors geworden. DORA ist eine Verordnung, die darauf abzielt, die digitale operationelle Widerstandsfähigkeit in einer präskriptiven und konkreten Weise zu stärken: In diesem Sinne kann sie sowohl als ein regulatorischer Rahmen betrachtet werden, der rechtliche Verpflichtungen festlegt, als auch als ein Sicherheitsrahmen, der die technischen und betrieblichen Maßnahmen definiert, die Finanzunternehmen ergreifen müssen, um ihre Systeme zu stärken und zu schützen.Diese neue Verordnung stellt einen grundlegenden Schritt zur Schaffung eines sichereren und anpassungsfähigeren Finanzsystems dar, das in der Lage ist, mit den immer fortschrittlicheren Cyber-Bedrohungen der Gegenwart und den immer komplexer werdenden Herausforderungen der Zukunft umzugehen. 

Was ist die DORA-Verordnung?

Diese neue EU-Verordnung legt einen umfassenden Rechtsrahmen für das IKT-Risikomanagement im Finanzsektor fest.
Ihr Hauptziel ist die Harmonisierung bestehender IKT-Risikomanagement-Vorschriften in den verschiedenen EU-Mitgliedstaaten, um einen einheitlichen und konsistenten Ansatz in der gesamten Union zu schaffen.

DORA konzentriert sich auf die Cyber-Resilienz, d.h. die Fähigkeit von Unternehmen, Cyber-Sicherheitsvorfälle zu verhindern, darauf zu reagieren und sich davon zu erholen. Dazu gehören der Schutz von Netzwerken und Informationssystemen, das Management von IKT-Risiken, die Meldung von Vorfällen, die Durchführung von Widerstandsfähigkeitstests und die Verwaltung von Dienstleistungen Dritter.

Für wen gilt die DORA-Verordnung?

Ähnlich wie die GDPR für den Schutz personenbezogener Daten konsolidiert und aktualisiert DORA das Cyber- und Cloud-Risikomanagement von Unternehmen, die Finanzdienstleistungen anbieten.

Sie gilt für ein breites Spektrum von Finanzunternehmen, die in der EU tätig sind, sowohl traditionelle als auch innovative. Dies schließt ein:

  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • Anlageverwaltungsgesellschaften
  • Krypto-Dienstleister
  • Alternative Investmentfonds
  • Versicherungsmanager in Unternehmen
  • Crowdfunding-Dienstleister
  • Rating-Agenturen
  • Trade Repositories
  • Handelsplätze
  • Fintech-Unternehmen
  • IKT-Dienstleister von Dritten

Wichtig ist, dass sich DORA auch auf IKT-Dienstleister erstreckt, die Finanzunternehmen unterstützen, wie etwa Anbieter von Cloud Computing und Rechenzentren. Dies unterstreicht, dass die digitale betriebliche Widerstandsfähigkeit nicht nur in der Verantwortung der einzelnen Unternehmen liegt, sondern im gesamten Finanz- und IT-Ökosystem. 

Da es sich um eine EU-Richtlinie handelt, ist die Schweiz nur teilweise betroffen: Es muss jedoch betont werden, dass die in DORA geregelten bewährten Praktiken unabhängig von gesetzlichen Verpflichtungen eine tugendhafte und nützliche Praxis darstellen und daher auch von Schweizer Unternehmen umgesetzt werden sollten.

Darüber hinaus spiegeln die Vorgaben des neuen Rahmens die Bestimmungen der FINMA, der schweizerischen Finanzmarktaufsicht, wider, d.h. der Schweizer Behörde, die für die Überwachung der Finanzakteure der Eidgenossenschaft zuständig ist. 

Wann ist die DORA-Verordnung in Kraft getreten?

Die DORA-Verordnung trat am 16. Januar 2023 in Kraft und wurde am 17. Januar 2025 wirksam.
Um die DORA-Anforderungen vollständig zu erfüllen, sind mehrere Schritte erforderlich: Der erste Schritt für Finanzinstitute ist eine Selbstbewertung, die bis zum 30. April 2025 durchgeführt und der Behörde gemeldet werden muss.
Die Anpassung ihrer Infrastrukturen und Prozesse an die neuen Vorschriften ist für Unternehmen heute von entscheidender Bedeutung und dringend erforderlich: Aus diesem Grund haben wir ein ausführliches Webinar mit den Experten von Tinext Cloud organisiert.

IT- und Cloud-Dienste, die für die Einhaltung der DORA-Vorschriften erforderlich sind

Ein strukturierter Ansatz ist unerlässlich, um die vier Hauptpfeiler der DORA-Konformität abzudecken, die für die Gewährleistung der digitalen operativen Widerstandsfähigkeit des Finanzsektors entscheidend sind, nämlich Cyber-Risikomanagement, Meldung von Vorfällen und Angriffen, Prüfung der operativen Widerstandsfähigkeit und Risikomanagement für Dritte;

  • Cyber-Risikomanagement, strukturiert in spezifischen Schritten, da Finanzunternehmen die von IKT-Dienstleistungen unterstützten Geschäftsfunktionen abbilden, die kritischsten identifizieren, Bedrohungen bewerten und Sicherheitsrichtlinien implementieren müssen, um alle anomalen Aktivitäten zu überwachen und die Geschäftskontinuität zu gewährleisten;
  • Berichterstattung und Meldung von Vorfällen und Bedrohungen, durch ständige Überwachung der Dienste, um anormale Ereignisse und Cyber-Bedrohungen zu bewerten, die unverzüglich den zuständigen Behörden gemeldet werden müssen. Zu den Kriterien für die Meldung gehören die Anzahl, der geografische Standort und die Zuständigkeit der betroffenen Kunden, die betroffenen Transaktionen sowie die Auswirkungen auf den Ruf und die Wirtschaft;
  • Digital Operational Resilience Testing: Hier verlangt die DORA-Verordnung von den Finanzakteuren, dass sie jährlich ein Testprogramm für die digitale operative Belastbarkeit festlegen und durchführen, um die Bereitschaft für den Fall von Zwischenfällen und externen Angriffen auf IKT-Systeme zu bewerten. So sind beispielsweise Penetrationstests erforderlich, die die tatsächliche Taktik potenzieller Angreifer imitieren, um Sicherheitslücken zu erkennen;
  • Risikomanagement für Dritte, d. h. die Tatsache, dass auch IKT-Dienstleister ihre Zuverlässigkeit und Robustheit nachweisen müssen. Unternehmen müssen ihre wichtigsten Lieferanten identifizieren, sie bewerten und sicherstellen, dass sie die erforderlichen Sicherheitsstandards erfüllen. Tinext Cloud ist in diesem Sinne ein sicherer, ISO-zertifizierter und internationalen Standards entsprechender Anbieter, der bereits aktiv globale Finanzakteure unterstützt und in Übereinstimmung mit der FINMA-Regulierung arbeitet.

Um Unternehmen bei der Einhaltung der DORA-Vorschriften zu unterstützen, bieten wir eine Reihe von fortschrittlichen Sicherheitsdiensten an, die sich an den besten Praktiken der Branche orientieren, so genannte Managed Services, darunter:

  • Managed Detection and Response (MDR), Malware-Schutz mit Managed Endpoint Protection-Implementierung;
  • Schwachstellenmanagement, Dienstleistungen zur Identifizierung von Schwachstellen und zur Simulation von Eindringversuchen, um die Angriffsfläche zu verringern und die Systemkonformität sicherzustellen;
  • Managed Web Application Protection, anpassbare Web-Sicherheitsdienste zum Schutz von Anwendungen vor Cyber-Angriffen;
  • Disaster Recovery as a Service (DRaaS) - ein Service, der die Erstellung von Systemreplikaten zwischen entfernten Standorten ermöglicht, um im Notfall schnell reaktiviert werden zu können.

Auf dem Weg in eine sicherere digitale Zukunft: Widerstandsfähigkeit im Internet

Die DORA-Verordnung ist ein wichtiger Schritt zur Verbesserung der digitalen operativen Widerstandsfähigkeit des europäischen Finanzsektors. Durch die Umsetzung der in der neuen Verordnung geforderten Maßnahmen und die Einführung fortschrittlicher Sicherheitslösungen können Finanzunternehmen ihre Vermögenswerte und Kundendaten schützen und zur Stabilität des gesamten Wirtschaftssystems beitragen. Tinext Cloud ist bestrebt, die Lösungen und den Support bereitzustellen, die erforderlich sind, um die Herausforderungen der Zukunft schon heute zu meistern.