Der Digital Operational Resilience Act (DORA) soll dafür sorgen, betriebliche Infrastrukturen für Cybersicherheit zu stärken und gegen neue Bedrohungen gewappnet zu sein. Dafür muss die Vorschrift in betriebliche Compliance-Strategien integriert werden – eine Herausforderung.
Viel Zeit haben Betriebe dafür nicht mehr, denn die Umsetzungspflicht naht. Welche Unterstützung IT-Dienstleister bieten, erfahren Sie bei uns.
Unser Beitrag über Digital Operational Resilience Act im Überblick:
Was ist der Digital Operational Resilience Act?
Der Digital Operational Resilience Act (DORA) dient der Stärkung der digitalen Widerstandsfähigkeit des europäischen Finanzmarktes. Die Verordnung trat im Januar 2023 in Kraft trat und muss bis 17. Januar 2025 von den betroffenen Unternehmen umgesetzt sein. DORA trifft vor allem Finanzinstitute mit einer zentralen Rolle auf den europäischen Finanzmärkten und IT-Dienstleister, die als kritisch für den Betrieb dieser Finanzunternehmen eingestuft werden.
DORA verfolgt das Ziel, die digitale Resilienz von Finanzunternehmen und kritischen ITK-Dienstleistern (Informations- und Kommunikationstechnik-Dienstleistern) zu gewährleisten. Es geht darum, nicht nur die finanzielle Stabilität, sondern vor allem die Betriebsfähigkeit bei Cybersicherheitsvorfällen sicherzustellen. Betroffene Unternehmen müssen IT-Risiken frühzeitig erkennen und entsprechende Schutzmaßnahmen treffen.
Ein zentrales Anliegen von DORA ist es, Unternehmen in die Lage zu versetzen, auch bei schwerwiegenden Störungen ihrer IT-Systeme handlungsfähig zu bleiben. Dazu gehören präventive Maßnahmen wie die Etablierung von Frühwarnsystemen und regelmäßige Tests der digitalen Resilienz. Hier spielt die enge Zusammenarbeit mit IT-Dienstleistern eine entscheidende Rolle.
DORA soll die IT-Sicherheit von Unternehmen des Finanzmarktes und die Resilienz gegen Cyberangriffe erhöhen. Bild: ChatGPT/DALL-E [Bild mit KI erstellt]
Exkurs: Sicherheitsanforderungen von NIS2
Die NIS2-Richtlinie wurde im Dezember 2022 verabschiedet und muss im Oktober 2024 umgesetzt sein. Sie richtet sich an eine noch breitere Zielgruppe und betrifft unter anderem Betreiber kritischer Infrastrukturen, wie im Energie-, Transport- und Gesundheitswesen, aber auch besonders wichtige Einrichtungen, zu denen viele mittelständische Unternehmen zählen.
Neue Anforderungen von NIS2 umfassen:
- Strengere Meldepflichten: Unternehmen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden melden.
- Erweiterung des betroffenen Unternehmenskreises: Neben großen Unternehmen werden auch viele Mittelständler stärker in die Pflicht genommen.
- Verpflichtende Schulungen: Auch die Geschäftsführung muss sich regelmäßig in Cybersicherheit schulen lassen.
- Erhöhte Haftung der Geschäftsführung bei Nichteinhaltung.
Bei PC-SPEZIALIST können Sie prüfen, ob Sie unter NIS2 fallen und was in dem Fall zu tun ist. PC-SPEZIALIST in Ihrer Nähe unterstützt Sie gern dabei.
Anforderungen des Digital Operational Resilience Act
Die Anforderungen von DORA an Finanzunternehmen umfassen folgende Kernbereiche:
- IKT-Risikomanagement: Unternehmen müssen eine unabhängige Kontrollfunktion für das Management von IT-Risiken einrichten. Dies beinhaltet den Einsatz resilienter Technologien und die Schulung von Mitarbeitenden in IT-Sicherheit. Zudem müssen Kommunikationspläne für interne und externe Zielgruppen entwickelt werden.
- Management des IKT-Drittparteienrisikos: Die Risikobewertung bei externen Dienstleistern spielt eine zentrale Rolle. Unternehmen müssen Vertragsbeziehungen dokumentieren, überwachen und an Behörden melden.
- Meldung von IKT-bezogenen Vorfällen: Es gibt standardisierte Prozesse zur Meldung von Vorfällen, die Kriterien wie Ausfallzeit und betroffene Kunden beinhalten.
- Testen der digitalen Resilienz: Unternehmen müssen regelmäßige Tests ihrer IT-Sicherheit durchführen. Systemrelevante Unternehmen müssen zudem Penetrationstests durchführen.
- Informationsaustausch: Finanzunternehmen sollen freiwillig Informationen über Cyberbedrohungen austauschen, um die Resilienz des Sektors zu stärken.
Diese Anforderungen zielen darauf ab, die IT-Sicherheit zu verbessern und den Finanzsektor widerstandsfähiger gegen Cyberbedrohungen zu machen.
Vor allem der Finanzsektor ist von DORA betroffen. Hier soll die Cybersicherheit deutlich erhöht werden. Bild: Pexels/Leeloo The First
Digital Operational Resilience Act integrieren
Für Unternehmen wird es jetzt zur Herausforderung, die Vorgaben von DORA und NIS2 in eine bestehende Compliance-Strategie zu integrieren. Hilfreich ist eine durchdachte IT-Strategie. Experten raten zu einem proaktiven Ansatz und fordern ständige Wachsamkeit, regelmäßige Aktualisierungen der Sicherheitsmaßnahmen sowie einen proaktiven Umgang mit neuen Bedrohungen.
Nicht zu unterschätzen sind auch die Anforderungen an Ressourcen: Der hohe Aufwand, der Ressourcenbedarf und die Komplexität der Anforderungen seien laut ESET die größten Herausforderungen. Sie führen aber langfristig zu einem verbesserten Schutz vor Cyberangriffen.
Neben den nationalen Cybersicherheitsbehörden und branchenspezifischen Gremien wie der BaFin bieten IT-Dienstleister wie PC-SPEZIALIST wertvolle Unterstützung und maßgeschneiderte Sicherheitslösungen – speziell auf die Bedürfnisse kleiner und mittelständischer Unternehmen abgestimmt. Kontaktieren Sie uns!
_______________________________________________
Quellen: it-business, bafin, eiopa, dr-datenschutz, Unsplash/Christian Lue (Headerbild)
Schreiben Sie einen Kommentar