Am Montag, den 16.01.2023 tritt der Digital Operational Resilience Act (DORA), die EU-Verordnung zur digitalen operationellen Resilienz, in Kraft. Welche Ziele werden mit der DORA-Verordnung verfolgt, welche Unternehmen werden von den Anforderungen betroffen sein und wie bereiten sie sich am besten darauf vor? Diese und weitere Fragen beantwortet Dr. Christian Schwartz, usd Experte für Informationssicherheit im Finanz- und Versicherungswesen, in diesem Blogbeitrag.
Das Inkrafttreten des Digital Operational Resilience Act steht unmittelbar bevor. Genau wie viele europäische und nationale Aufsichtsbehörden und Finanzinstitute bereiten auch wir als Berater für Informationssicherheit uns seit längerer Zeit auf diesen Schritt vor.
DORA ist ein wichtiger Teil der Cyber-Security-Strategie der Europäischen Union, denn erstmalig setzt ein europäisches Regelwerk seinen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Maßnahmen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden:
- Spezifizierung des Managements digitaler Risiken (als Ergänzung zum bisher geltenden „Single Rulebook“ der Europäischen Bankenunion)
- Neue Befugnisse für Finanzaufsichtsbehörden zum Überwachen von Risiken in Zusammenhang mit IKT-Drittanbietern
- Schaffung einer gründlichen Prüfung von IKT-Systemen
- Meldeverfahren für IKT-bezogene Vorfälle
Anforderungen der DORA-Verordnung
DORA umfasst insgesamt 45 Artikel, die den nachfolgenden Kapiteln zugeordnet sind:
- IKT-Risikomanagement (Artikel 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Artikel 17 bis 23)
- Testen der digitalen operationalen Resilienz (Artikel 24 bis 27)
- Management des IKT-Drittparteienrisikos (Artikel 28 bis 44)
- Vereinbarungen über den Austausch von Informationen (Artikel 45)
Die finale Fassung des Digital Operational Resilience Act tritt am 16. Januar 2023 in Kraft. Obwohl die Anforderung unmittelbar für alle betroffenen Unternehmen und Institute greifen werden, sind sie erst 24 Monate nach Inkrafttreten durchsetzbar.
Für wen gilt DORA?
Die DORA-Anforderungen gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen und betreffen daher über 22.000 in der EU tätige Finanzunternehmen.
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer
- zentrale Gegenparteien
- Ratingagenturen
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen, sowie Vermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
Nächste Schritte
Im nächsten Schritt werden die Europäischen Aufsichtsbehörden auf DORA ausgerichtete Standards entwickeln, welche Leitfäden für die Umsetzung der Anforderungen enthalten werden. Obgleich betroffenen Unternehmen und Instituten eine Frist von zwei Jahren bleibt, bis DORA-Anforderungen durchsetzbar sind, empfehle ich: Führen Sie frühzeitig eine umfangreiche Gap-Analyse in Ihrem Unternehmen durch. Diese Analyse bringt konkrete Abweichungen von den DORA-Anforderungen zu Tage, auf Basis derer Sie für die kommenden zwei Jahre geeignete Harmonisierungsprojekte planen und umsetzen können.
Mit einigen Themen der DORA-Verordnung sind Sie sicherlich bereits aus den umfangreichen nationalen Regulatoriken vertraut, sodass diese bei Ihnen bereits umgesetzt sind oder sich zumindest in der Umsetzung befinden. Es gibt jedoch auch neue Anforderungen: DORA sieht beispielsweise ein komplexeres Dienstleistermanagement und zusätzliche technische Analysen in Form von bedrohungsorientierten Penetrationstests vor.
Wie bei jedem Sicherheitsprojekt entstehen hier selbstverständlich neue Aufwände für betroffene Unternehmen durch die Vorbereitung und Umsetzung weiterer Sicherheitsmaßnahmen. Wir sehen jedoch ganz klar eine Chance für Sie, durch eine gestärkte Resilienz zu einem signifikant höheren Sicherheitsniveau aufzusteigen und damit der steigenden Bedrohungslage zu begegnen.
Sie benötigen Unterstützung bei der Gap-Analyse oder einem Harmonisierungsprojekt in Ihrem Unternehmen? Sprechen Sie uns gerne an!
Link zum Digital Operational Resilience Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554&qid=1673554022989