DORA sorgt für mehr IT- und Rechtssicherheit im Finanzsektor
Mit dem seit Januar 2023 in Kraft getretenen und zwei Jahre später rechtsgültigen Digital Operational Resilience Act, kurz DORA, hat die EU eine Verordnung geschaffen, welche die digitale Widerstandsfähigkeit von Finanz- und Versicherungsunternehmen stärken soll.
DORA, der Digital Operational Resilience Act, ist ein entscheidender Schritt für mehr IT- und Rechtssicherheit im Finanz- und Versicherungswesen, auf Handelsplätzen und bei Ratingagenturen sowie bei ITK-Dienstleistern und Anbietern von Services rund um Kryptowährungen.
Die EU-Kommission, die die Verordnung auf den Weg gebracht hat, will damit vor allem die digitale Resilienz in den Unternehmen stärken und hat einen einheitlichen Rahmen geschaffen, wie diese auf Cyberbedrohungen und IT-Störungen zu reagieren haben.
Gut Gesetz will Weile haben
Wie andere EU-Verordnungen und -Gesetze ist DORA als Teil des digitalen Finanzpaketes der Kommission nach Veröffentlichung Ende 2022 bereits am 16. Januar 2023 offiziell in Kraft getreten. Die Mitgliedsländer haben aber zwei Jahre Zeit für die nationale Umsetzung. Demnach sind die betroffenen Unternehmen sowie Finanzbehörden verpflichtet, bis zum 17. Januar 2025 die Anforderungen von DORA umzusetzen.
DORA naht – Unternehmen und Behörden müssen jetzt die digitale Resilienz stärken! Bildquelle: Adobe Stock/ yakub
Die Langbezeichnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ verrät, dass es vorrangig darum geht, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. Aber mit in der Verantwortung sind auch ITK-Drittdienstleister. Der EU-Kommission kommt es darauf an, die Anfälligkeit für Cyberbedrohungen und Störungen über die gesamte Wertschöpfungskette des Finanzsektors hinweg zu reduzieren und die betroffenen Unternehmen anzuhalten, angemessen darauf reagieren zu können.
Was die Verordnung beinhaltet
Die 79 Seiten umfassende Verordnung greift laut Security Insider auch nationale Anforderungen wie die der BaFin und des BSI auf. Aber hinzu kommen noch neue Elemente. Grob enthält der Digital Operational Resilience Act fünf zentrale Themengebiete:
- Etablieren eines Rahmenwerks für das ITK-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung von ITK-Vorfällen
- Testen der operativen Resilienz
- Management der Risiken durch Drittanbieter
- Schaffen eines Überwachungsrahmens für KRITIS-Dienstleister
Das ITK-Risikomanagement ist dabei auf rechtlicher Ebene verankert und nicht mehr nur Verwaltungsvorschrift. Die Gesamtverantwortung trägt grundsätzlich die Geschäftsleitung des Finanz- oder Versicherungsunternehmens. Dieses ist verpflichtet, die eigenen IT-Systeme kontinuierlich zu überwachen, zu kontrollieren und aktualisieren. Außerdem müssen die Unternehmen auch Strategien für Backup und Recovery definieren und einrichten sowie Risikodokumente zur internen und externen Prüfung bereithalten.
Verantwortung bleibt bei den Finanzunternehmen
DORA fordert: Finanzunternehmen tragen die Verantwortung – auch für ihre ITK-Dienstleister! Bildquelle: Adobe Stock/ lovelyday12
Ferner schreibt DORA auch Verfahren zur Klassifizierung von zum Teil meldepflichtigen ITK-Vorfällen und eine Überprüfung der IT-Systeme über geeignete Testverfahren vor. Für systemrelevante Organisationen gelten dahingehend höhere Anforderungen.
Ein wesentlicher Bestandteil der Verordnung ist, dass Finanzunternehmen verpflichtet sind, auch auf das Risikomanagement bei ihren ITK-Dienstleistern zu achten, wobei der Überwachungsrahmen für kritische ITK-Drittdienstleister mit weitgehenden Befugnissen einhergeht.
Was die eingangs genannten Geltungsbereiche der betroffenen Unternehmen angeht, lässt DORA für Förderbanken etwa auch nationale Ausnahmen zu. Ansonsten ist die Verordnung bindend für Unternehmen der Finanz- und Versicherungsbranche.
Angesichts der verpflichtenden Maßnahmen und des immer kürzer werdenden Zeitrahmens braucht es einen starken und kompetenten Partner an der Seite.
Quelle Titelbild: Adobe Stock / Maxim
