Digital Operational Resilience Act (DORA)
Der Digital Operational Resilience Act (DORA) der Europäischen Union soll die digitale Resilienz und Cybersecurity im Finanzsektor nachhaltig stärken und tritt zum 17. Januar 2025 in Kraft. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und der wachsenden Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien (IKT) schafft DORA einen einheitlichen Rahmen, der sicherstellt, dass Finanzunternehmen ihre operationelle Stabilität auch in Krisenzeiten bewahren können. Damit soll die Sicherheit und Zuverlässigkeit des europäischen Finanzsystems gewährleistet werden.
DORA-Compliance mit Hilfe von SECURAM Consulting leicht gemacht
Mit der neuen DORA-Verordnung wird die IT-Sicherheit im Finanzsektor noch stärker reguliert. SECURAM Consulting unterstützt Finanzunternehmen dabei, die Anforderungen der Digital Operational Resilience Act (DORA) zu erfüllen. Wir bieten eine umfassende Beratung und begleiten Sie bei der Umsetzung von Resilienzstrategien, die Ihre IT-Systeme widerstandsfähig gegen Störungen und Cyberbedrohungen machen. Unsere maßgeschneiderten Lösungen helfen Ihnen, die regulatorischen Anforderungen zu erfüllen und gleichzeitig den Geschäftsbetrieb effizient und sicher zu halten.
Die wesentlichen Elemente von DORA
Kategorie | Elemente |
IKT-Risikomanagement | Governance und Organisation |
IKT-Risikomanagementrahmen | |
IKT-Systeme, -Protokolle und -Tools | |
Lernprozesse und Weiterentwicklung | |
Kommunikation | |
IKT-Drittparteirisikomanagement | Allgemeine Prinzipien (u.a. Informationsregister, Mitteilungen an Aufsichtsbehörden) |
EU-Überwachungsrahmenwerk (Überwachung von kritischen IKT-Drittanbietern) | |
IKT-Vorfallmeldewesen | Definition von IKT-bezogenen Vorfällen |
Klassifikationskriterien | |
Meldeprozess, einschließlich Meldung an Aufsichtsbehörden | |
Testen der digitalen Resilienz | Basistests für den gesamten Finanzsektor (Schwachstellen-, Performancetests, etc.) |
TLPT: Fortgeschrittene Tests (Threat Led Penetration Tests) | |
Information Sharing & Cyberübungen | Freiwilliger Austausch von Informationen zwischen Finanzunternehmen |
Sektorübergreifende Krisenmanagementund Notfallübungen zur Verbesserung der Resilienz |
IKT-Risikomanagement (Informations- und Kommunikationstechnologie-Risikomanagement)
Das IKT-Risikomanagement im Rahmen der DORA-Verordnung hat zum Ziel, Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) systematisch zu identifizieren, zu bewerten und zu steuern. Es umfasst die Entwicklung eines IKT-Risikomanagementrahmens sowie die Etablierung von Prozessen zur Überwachung und Kontrolle von IKT-bezogenen Risiken. Die Schwerpunkte liegen auf Governance, der Implementierung von Sicherheitsmaßnahmen und der kontinuierlichen Verbesserung der Resilienz gegen Bedrohungen.
IKT-Risikomanagementrahmen
Ein effektiver IKT-Risikomanagementrahmen ist ein systematischer Ansatz zur Verwaltung und Kontrolle von IKT-Risiken. Dieser Rahmen muss alle Aspekte der IKT-Risiken abdecken, einschließlich der Identifizierung potenzieller Bedrohungen, der Bewertung ihrer Auswirkungen und der Implementierung von Maßnahmen zur Risikominderung. Der Rahmen sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass er aktuellen Bedrohungen und technologischen Entwicklungen entspricht. Zu den wesentlichen Bestandteilen gehören die Risikoanalyse, die Entwicklung von Risikominderungsstrategien und die Implementierung von Kontrollmaßnahmen.
Governance und Organisation
Die Governance und Organisation des IKT-Risikomanagements sind zentrale Elemente von DORA. Die Leitungsebene eines Finanzunternehmens trägt die Hauptverantwortung für die Umsetzung und Überwachung des IKT-Risikomanagements. Das bedeutet, dass der Vorstand und andere Führungskräfte sicherstellen müssen, dass alle IKT-Risiken angemessen identifiziert, bewertet und gemanagt werden. Dies umfasst die Entwicklung und Durchsetzung von Richtlinien, die Zuweisung von Verantwortlichkeiten und die Sicherstellung, dass alle Mitarbeiter die Bedeutung der IKT-Risiken verstehen und entsprechend handeln.
IKT-Systeme, -Protokolle und -Tools
Die Sicherheit der IKT-Systeme, -Protokolle und -Tools ist von entscheidender Bedeutung für den Schutz vor Cyberangriffen und anderen Bedrohungen. DORA fordert Finanzunternehmen auf, robuste technische und organisatorische Maßnahmen zu implementieren, um die Integrität, Vertraulichkeit und Verfügbarkeit ihrer IKT-Systeme zu gewährleisten. Dies umfasst die Nutzung von sicheren Kommunikationsprotokollen, regelmäßige Sicherheitsupdates und Patches sowie die Implementierung von Zugangskontrollen und Verschlüsselungstechnologien.
Lernprozesse und Weiterentwicklung
Kontinuierliche Lernprozesse und Weiterentwicklung sind entscheidend, um die Wirksamkeit des IKT-Risikomanagements zu gewährleisten. Finanzunternehmen müssen sicherstellen, dass ihre Mitarbeiter regelmäßig geschult werden und dass neue Bedrohungen und Sicherheitspraktiken in die bestehenden Prozesse integriert werden. Dies kann durch regelmäßige Schulungen, Workshops und die Teilnahme an Branchenveranstaltungen erreicht werden. Darüber hinaus sollten Unternehmen aus vergangenen Vorfällen lernen und ihre Sicherheitsmaßnahmen entsprechend anpassen.
Kommunikation
Eine effektive Kommunikation über IKT-Risiken und Sicherheitsmaßnahmen innerhalb des Unternehmens ist unerlässlich. DORA betont die Bedeutung der transparenten und klaren Kommunikation, um sicherzustellen, dass alle Mitarbeiter über die Risiken und die erforderlichen Maßnahmen informiert sind. Dies umfasst die regelmäßige Berichterstattung an das Management, die Sensibilisierung der Mitarbeiter und die Einrichtung von Kommunikationskanälen für die Meldung und das Management von Sicherheitsvorfällen.
EU-Überwachungsrahmenwerk – ein zentrales Element für DORA
Das EU-Überwachungsrahmenwerk für kritische IKT-Drittdienstleister ist ein zentrales Element von DORA. Dieses Rahmenwerk sieht vor, dass die EU kritische IKT-Drittdienstleister, die wesentliche Dienstleistungen für Finanzunternehmen erbringen, überwacht. Ziel ist es, sicherzustellen, dass diese Dienstleister die hohen Sicherheitsstandards einhalten und keine systemischen Risiken für den Finanzsektor darstellen.
Die Überwachung umfasst mehrere Aspekte, darunter regelmäßige Überprüfungen und Audits der Sicherheitspraktiken der Drittanbieter. Kritische IKT-Drittdienstleister müssen zudem sicherstellen, dass sie transparent über ihre Sicherheitsmaßnahmen berichten und den Aufsichtsbehörden Zugang zu relevanten Informationen gewähren. Bei Verstößen gegen die Sicherheitsanforderungen können Sanktionen verhängt werden, um sicherzustellen, dass die Drittanbieter ihre Sicherheitspraktiken verbessern.
Das Überwachungsrahmenwerk der EU stellt sicher, dass Finanzunternehmen bei der Zusammenarbeit mit IKT-Drittanbietern geschützt sind und dass die Risiken, die durch externe Dienstleister entstehen, auf ein Minimum reduziert werden.
IKT-Vorfallmeldewesen
Festlegung von Definitionen
Ein wesentlicher Bestandteil des IKT-Vorfallmeldewesens unter DORA ist die klare Festlegung von Definitionen. Es muss eindeutig festgelegt werden, welche Arten von Vorfällen als IKT-bezogen gelten. Diese Definitionen helfen dabei, ein gemeinsames Verständnis innerhalb des Unternehmens und im gesamten Finanzsektor zu schaffen. Zu den IKT-bezogenen Vorfällen gehören beispielsweise Cyberangriffe, Datenlecks, Systemausfälle und andere Sicherheitsvorfälle, die die Integrität, Vertraulichkeit oder Verfügbarkeit von Informations- und Kommunikationssystemen beeinträchtigen können.
Klassifikationskriterien
Die Klassifikation von IKT-bezogenen Vorfällen ist ein weiterer wichtiger Aspekt des Vorfallmeldewesens. DORA legt Kriterien fest, nach denen Vorfälle bewertet und eingeordnet werden müssen. Diese Klassifikationskriterien umfassen Faktoren wie die Schwere des Vorfalls, die betroffenen Systeme und Daten, die Auswirkungen auf die Geschäftskontinuität und die potenziellen Schäden für das Unternehmen und seine Kunden. Durch die Anwendung dieser Kriterien können Unternehmen Vorfälle priorisieren und entsprechend reagieren.
Meldeprozess
Ein gut strukturierter Meldeprozess ist entscheidend, um sicherzustellen, dass IKT-Vorfälle schnell und effizient gemeldet und dokumentiert werden. DORA fordert Finanzunternehmen auf, Prozesse und Tools zu implementieren, die eine zeitnahe Erfassung und Meldung von Vorfällen ermöglichen. Der Meldeprozess sollte klare Anweisungen für die Identifikation, Dokumentation und Weiterleitung von Vorfällen an die zuständigen Behörden enthalten.
Zu den spezifischen Anforderungen des Meldeprozesses gehören:
- Fristen für die Meldung: Vorfälle müssen innerhalb bestimmter Zeitrahmen gemeldet werden, um eine schnelle Reaktion zu ermöglichen.
- Inhalt der Meldung: Die Meldung muss detaillierte Informationen über den Vorfall enthalten, einschließlich der Art des Vorfalls, der betroffenen Systeme und Daten, der getroffenen Maßnahmen und der potenziellen Auswirkungen.
- Kommunikationskanäle: Es müssen sichere und zuverlässige Kommunikationskanäle eingerichtet werden, um die Meldung von Vorfällen zu erleichtern.
- Dokumentation und Berichtswesen: Alle Vorfälle müssen gründlich dokumentiert werden, und regelmäßige Berichte über die Vorfälle und die ergriffenen Maßnahmen müssen an das Management und die Aufsichtsbehörden übermittelt werden.
Der Meldeprozess stellt sicher, dass alle relevanten Parteien rechtzeitig über IKT-Vorfälle informiert werden und geeignete Maßnahmen zur Schadensbegrenzung und Wiederherstellung ergriffen werden können. Dies trägt dazu bei, die Auswirkungen von Vorfällen zu minimieren und die Resilienz des Unternehmens zu stärken.
Testen der digitalen operationellen Resilienz
Basistests
DORA verlangt von Finanzunternehmen, regelmäßige Basistests durchzuführen, um die Sicherheit ihrer Informations- und Kommunikationssysteme zu gewährleisten. Diese Tests sind unerlässlich, um Schwachstellen zu identifizieren und sicherzustellen, dass die Systeme den aktuellen Sicherheitsanforderungen entsprechen. Zu den Basistests gehören:
- Schwachstellenscans: Automatisierte Scans, die darauf abzielen, potenzielle Schwachstellen in den IT-Systemen zu identifizieren. Diese Scans sollten regelmäßig durchgeführt werden, um sicherzustellen, dass neue Schwachstellen schnell erkannt und behoben werden können.
- Quellcodetests: Überprüfungen des Quellcodes von Softwareanwendungen, um Sicherheitslücken oder Fehler zu identifizieren, die ausgenutzt werden könnten. Diese Tests umfassen sowohl statische als auch dynamische Analysen des Codes.
- Performancetests: Tests, die die Leistung und Stabilität der IT-Systeme unter verschiedenen Bedingungen überprüfen. Ziel ist es, sicherzustellen, dass die Systeme auch unter hoher Belastung zuverlässig funktionieren und keine sicherheitsrelevanten Ausfälle auftreten.
Diese Basistests müssen den gesamten Finanzsektor abdecken und sollten regelmäßig durchgeführt werden, um sicherzustellen, dass die IT-Systeme stets auf dem neuesten Stand der Sicherheitstechnik sind.
TLPT (Threat Led Penetration Testing)
Threat Led Penetration Testing (TLPT) ist eine fortgeschrittene Testmethode, die unter DORA für systemrelevante Finanzunternehmen mit hohem IKT-Reifegrad vorgeschrieben ist. TLPT simuliert reale Cyberangriffe, um die Widerstandsfähigkeit der IT-Systeme zu testen. Dabei werden Taktiken, Techniken und Verfahren verwendet, die auch von echten Angreifern genutzt werden könnten. Die wichtigsten Aspekte von TLPT sind:
- Simulierte reale Angriffe: TLPT-Tests ahmen die Methoden und Ansätze realer Cyberangriffe nach. Dies hilft, Schwachstellen in einer kontrollierten Umgebung zu identifizieren, bevor sie von tatsächlichen Angreifern ausgenutzt werden können.
- Systemrelevante Finanzunternehmen: TLPT ist speziell für Finanzunternehmen mit hoher Systemrelevanz und fortgeschrittenem IKT-Reifegrad vorgesehen. Diese Unternehmen haben oft komplexe und weitreichende IT-Infrastrukturen, die besonders anfällig für Cyberangriffe sind.
- TIBER-EU als Blaupause: DORA orientiert sich am TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) Framework, das bereits in mehreren EU-Ländern erfolgreich angewendet wird. TIBER-EU bietet eine strukturierte Vorgehensweise für die Durchführung von TLPT, einschließlich der Planung, Durchführung und Auswertung der Tests.
- Berichtswesen und Maßnahmen: Nach Abschluss eines TLPT müssen die Ergebnisse dokumentiert und dem Management sowie den Aufsichtsbehörden gemeldet werden. Auf Basis der Ergebnisse müssen geeignete Maßnahmen zur Behebung identifizierter Schwachstellen ergriffen werden.
Die Implementierung von TLPT unter DORA sollen sicherstellen, dass Finanzunternehmen proaktiv ihre IT-Sicherheit überprüfen und kontinuierlich verbessern.
Information Sharing & Cyberübungen im Rahmen von DORA
Freiwilliger Austausch von Informationen und Erkenntnissen
Ein zentrales Element von DORA ist der freiwillige Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen. Dieser Austausch zielt darauf ab, die „Situational Awareness“ im gesamten Finanzsektor zu verbessern, was bedeutet, dass Unternehmen besser über aktuelle Bedrohungen und Sicherheitsvorfälle informiert sind. Die wichtigsten Aspekte dieses Informationsaustauschs sind:
- Gemeinsame Bedrohungsanalyse: Finanzunternehmen teilen Informationen über aktuelle und potenzielle Cyberbedrohungen. Dies kann durch spezielle Plattformen oder Netzwerke erfolgen, die den sicheren Austausch von Bedrohungsdaten ermöglichen.
- Best Practices und Sicherheitsstrategien: Unternehmen können bewährte Sicherheitspraktiken und Strategien austauschen, um ihre eigenen Schutzmaßnahmen zu verbessern. Dies umfasst auch technische Details zu Sicherheitslösungen und Abwehrmaßnahmen.
- Erkenntnisse aus Vorfällen: Informationen über tatsächliche Sicherheitsvorfälle, einschließlich der Art des Angriffs, der betroffenen Systeme und der ergriffenen Gegenmaßnahmen, werden geteilt. Dies hilft anderen Unternehmen, ähnliche Bedrohungen zu erkennen und vorzubeugen.
Sektorübergreifende Krisenmanagement- und Notfallübungen
DORA betont die Bedeutung sektorübergreifender Krisenmanagement- und Notfallübungen mit einem Fokus auf Cyberbedrohungen. Diese Übungen dienen dazu, die Kommunikations- und Reaktionsfähigkeiten der Finanzunternehmen zu testen und zu verbessern. Die wesentlichen Elemente dieser Übungen sind:
- Simulierte Cyberangriffe: Unternehmen nehmen an Übungen teil, bei denen simulierte Cyberangriffe durchgeführt werden. Diese Simulationen helfen, die Reaktionsfähigkeit und die Wirksamkeit der bestehenden Notfallpläne zu überprüfen.
- Koordination und Kommunikation: Die Übungen fördern die Zusammenarbeit zwischen verschiedenen Abteilungen und Unternehmen sowie mit externen Stellen wie Aufsichtsbehörden und IT-Dienstleistern. Ziel ist es, die Kommunikationswege zu testen und sicherzustellen, dass alle Beteiligten im Ernstfall effektiv zusammenarbeiten können.
- Ermittlung von Schwachstellen: Durch die Durchführung von Krisenmanagement- und Notfallübungen können Unternehmen Schwachstellen in ihren Sicherheitsmaßnahmen und Notfallplänen identifizieren. Diese Erkenntnisse werden genutzt, um die Pläne zu überarbeiten und zu verbessern.
- Szenarienbasiertes Training: Übungen basieren auf realistischen Szenarien, die verschiedene Arten von Cyberangriffen und deren potenzielle Auswirkungen nachbilden. Dies hilft den Teilnehmern, praxisnah auf verschiedene Bedrohungen vorbereitet zu sein.
Fazit
DORA tritt zum 17. Januar 2025 in Kraft. SECURAM Consulting unterstützt Finanzunternehmen dabei, die komplexen Anforderungen von DORA zu erfüllen. Unsere Experten helfen Ihnen, den IKT-Risikomanagementrahmen zu etablieren, Drittanbieter zu überwachen und Meldeprozesse für IKT-Vorfälle einzuführen. Wir begleiten Sie bei der Durchführung regelmäßiger Tests zur Resilienzsteigerung, um sicherzustellen, dass Ihre Systeme den DORA-Anforderungen gerecht werden. Mit unserer Unterstützung schaffen Sie eine robuste Grundlage für die digitale Betriebssicherheit und erfüllen alle regulatorischen Vorgaben fristgerecht.