Digital Operational Resilience Act (DORA) tritt am 16.01.2023 in Kraft

13. Januar 2023

Am Montag, den 16.01.2023 tritt der Digital Operational Resilience Act (DORA), die EU-Verordnung zur digitalen operationellen Resilienz, in Kraft. Welche Ziele werden mit der DORA-Verordnung verfolgt, welche Unternehmen werden von den Anforderungen betroffen sein und wie bereiten sie sich am besten darauf vor? Diese und weitere Fragen beantwortet Dr. Christian Schwartz, usd Experte für Informationssicherheit im Finanz- und Versicherungswesen, in diesem Blogbeitrag.

Das Inkrafttreten des Digital Operational Resilience Act steht unmittelbar bevor. Genau wie viele europäische und nationale Aufsichtsbehörden und Finanzinstitute bereiten auch wir als Berater für Informationssicherheit uns seit längerer Zeit auf diesen Schritt vor.

DORA ist ein wichtiger Teil der Cyber-Security-Strategie der Europäischen Union, denn erstmalig setzt ein europäisches Regelwerk seinen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Maßnahmen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden:

  • Spezifizierung des Managements digitaler Risiken (als Ergänzung zum bisher geltenden „Single Rulebook“ der Europäischen Bankenunion)
  • Neue Befugnisse für Finanzaufsichtsbehörden zum Überwachen von Risiken in Zusammenhang mit IKT-Drittanbietern
  • Schaffung einer gründlichen Prüfung von IKT-Systemen
  • Meldeverfahren für IKT-bezogene Vorfälle

Anforderungen der DORA-Verordnung

DORA umfasst insgesamt 45 Artikel, die den nachfolgenden Kapiteln zugeordnet sind:

  • IKT-Risikomanagement (Artikel 5 bis 16)
  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Artikel 17 bis 23)
  • Testen der digitalen operationalen Resilienz (Artikel 24 bis 27)
  • Management des IKT-Drittparteienrisikos (Artikel 28 bis 44)
  • Vereinbarungen über den Austausch von Informationen (Artikel 45)

Die finale Fassung des Digital Operational Resilience Act tritt am 16. Januar 2023 in Kraft. Obwohl die Anforderung unmittelbar für alle betroffenen Unternehmen und Institute greifen werden, sind sie erst 24 Monate nach Inkrafttreten durchsetzbar.

Für wen gilt DORA?

Die DORA-Anforderungen gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen und betreffen daher über 22.000 in der EU tätige Finanzunternehmen.

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Zentralverwahrer
  • zentrale Gegenparteien
  • Ratingagenturen
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen, sowie Vermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung

Nächste Schritte

Im nächsten Schritt werden die Europäischen Aufsichtsbehörden auf DORA ausgerichtete Standards entwickeln, welche Leitfäden für die Umsetzung der Anforderungen enthalten werden. Obgleich betroffenen Unternehmen und Instituten eine Frist von zwei Jahren bleibt, bis DORA-Anforderungen durchsetzbar sind, empfehle ich: Führen Sie frühzeitig eine umfangreiche Gap-Analyse in Ihrem Unternehmen durch. Diese Analyse bringt konkrete Abweichungen von den DORA-Anforderungen zu Tage, auf Basis derer Sie für die kommenden zwei Jahre geeignete Harmonisierungsprojekte planen und umsetzen können.

Mit einigen Themen der DORA-Verordnung sind Sie sicherlich bereits aus den umfangreichen nationalen Regulatoriken vertraut, sodass diese bei Ihnen bereits umgesetzt sind oder sich zumindest in der Umsetzung befinden. Es gibt jedoch auch neue Anforderungen: DORA sieht beispielsweise ein komplexeres Dienstleistermanagement und zusätzliche technische Analysen in Form von bedrohungsorientierten Penetrationstests vor.

Wie bei jedem Sicherheitsprojekt entstehen hier selbstverständlich neue Aufwände für betroffene Unternehmen durch die Vorbereitung und Umsetzung weiterer Sicherheitsmaßnahmen. Wir sehen jedoch ganz klar eine Chance für Sie, durch eine gestärkte Resilienz zu einem signifikant höheren Sicherheitsniveau aufzusteigen und damit der steigenden Bedrohungslage zu begegnen.


Sie benötigen Unterstützung bei der Gap-Analyse oder einem Harmonisierungsprojekt in Ihrem Unternehmen? Sprechen Sie uns gerne an!

Link zum Digital Operational Resilience Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554&qid=1673554022989

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien