Securam Consulting Logo
Kontakt

DORA (Digital Operational Resilience Act)

Wichtige Informationen zu DORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act (DORA) der Europäischen Union markiert einen bedeutenden Meilen­stein zur nachhaltigen Stärkung der Cyber­security und digitalen Resilienz im Finanz­sektor. Seit Inkraft­treten am 17. Januar 2025 bietet DORA einen einheit­lichen, rigoros aus­gestalteten Regulierung­srahmen, der Finanz­unternehmen in die Lage versetzt, auch in Krisen­zeiten ihre operation­elle Stabilität und die Sicherheit ihrer Informations- und Kommuni­kations­technologien (IKT) zu gewährleisten. Dabei steht nicht nur die finanzielle Widerstand­sfähigkeit im Vordergrund, sondern vor allem die Sicher­stellung eines reibungs­losen Geschäfts­betriebs, selbst bei schwer­wiegenden Be­triebs­­unter­brech­ungen.
Im Kern zielt der Digital Operational Resilience Act, der einen konsistenten Ansatz zur Identi­fikation, Bewertung und Steuerung von Cyber­sicherheits- und IKT-Risiken verfolgt, darauf ab, das gesamte europäische Finanz­system vor den Aus­wirkungen zunehmend raffinierter Cyber­angriffe zu schützen. Die damit einher­gehenden regulator­ischen Anpassungen erfordern zwar zusätzlichen Aufwand, eröffnen jedoch zugleich die Möglichkeit, durch die konsequente Imple­mentierung moderner Sicherheits­standards das Sicherheits­niveau signifikant zu erhöhen. Unternehmen, die frühzeitig in die Optimierung ihrer IT-Sicherheits­architektur investieren, profitieren von einem gesteigerten Reifegrad und einer nachhaltigen Wettbewerbs­fähigkeit im dynamischen Marktumfeld.

SECURAM Consulting hilft bei DORA

Unsere spezialisierte Consulting-Dienstleistung unterstützt Sie dabei, die Heraus­forderungen im Zuge der Umsetzung von DORA präzise zu meistern. Mit fun­diertem Fach­wissen und strate­gischer Beratung entwickeln wir maß­geschneiderte Konzepte, die den regulator­ischen Anfor­derungen entsprechen und gleichzeitig einen Mehr­wert für Ihr Unternehmen schaffen. Vertrauen Sie auf unsere Expertise, um den Digital Operational Resilience Act, der als Schlüssel zur Sicherung Ihrer digitalen Infra­struktur fungiert, effizient und nachhaltig zu imple­mentieren.

DORA etabliert einen einheit­lichen und stringenten Aufsichts­ansatz für sämtliche relevante Sektoren in der EU und har­monisiert dadurch Sicherheits- und Resilienz­praktiken maßgeblich. Anstatt primär auf die finan­zielle Widerstands­fähigkeit von Unter­nehmen zu fokussieren, verlagert DORA den Schwer­punkt auf die Gewähr­leistung eines stabilen Betriebs auch in Extrem­situationen – insbesondere bei schwer­wiegenden Betriebsunter­brechungen, die die Integrität von Netz­werken und Informations­systemen gefährden könnten. Unsere spezialisierte Consulting-Dienstleistung unter­stützt Sie dabei, die Anfor­derungen des Digital Operational Resilience Act effizient in Ihre IT-Sicherheits­architektur zu integrieren und somit eine nachhaltige, digitale Betriebs­resilienz sicher­zustellen.

DORA implementiert einen ganzheitlichen Rahmen, der ein effektives Risiko­management, umfassende IKT- und Cybersicherheits­funktionen sowie das strukturierte Manage­ment von Störungen und Drittanbietern ermöglicht. Dies gewährleistet eine konsistente Bereit­stellung von Dienst­leistungen entlang der gesamten Wertschöpfungs­kette. Im Kern stehen dabei fünf zentrale Themen­bereiche: das IKT-Risiko­management, das Management von IKT-Vorfällen, Digital Operational Resilience Testing, das Management von Dritt­parteien sowie der Informations­austausch. Dieser integrierte Ansatz trägt dazu bei, dass Finanz­institute und andere relevante Akteure in der EU ihre operationelle Resilienz systematisch stärken und so auf schwerwiegende Betriebs­unterbrechungen vorbereitet sind.

Unternehmen müssen die Anforderungen aus DORA innerhalb eines klar definierten Zeit­rahmens umsetzen. Die Verordnung ist am 16.01.2023 in Kraft getreten und sieht eine zweijährige Übergangs­frist vor. Bereits jetzt spüren Finanz­unternehmen einen erheblichen Handlungs­druck, ihre spezifischen Maß­nahmen aus den DORA-Anforderungen -insbesondere im Bereich des umfassenden IKT-Risikomanagements – zu identifizieren und umzusetzen.

Im ersten Halbjahr 2024 erfolgt die Veröffent­lichung der ersten Reihe von Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS). Diese adres­sieren unter anderem das IKT-Risk Management Framework, operative Sicherheits­standards, die Klassifi­zierung von IKT-Vorfällen und das Management von IKT-Drittpartei­risiken. Im zweiten Halbjahr 2024 werden weitere Standards publiziert, die detaillierte Vorgaben zur Meldung von IKT-Vorfällen, zur Methodologie und zu den Test­anforderungen für die digitale Betriebsresilienz sowie zur Gestaltung von Sub-Outsourcing-Arrangements enthalten.

Da die DORA-Anforderungen 24 Monate nach Inkraft­treten, also bis Anfang 2025, durchsetzbar sind, sollten Unternehmen umgehend damit beginnen, ihre Compliance-Strategie zu entwickeln und umzusetzen, um den steigenden regulatorischen Anforderungen gerecht zu werden.

Haben Sie weitere Fragen zu DORA?

Kontaktieren Sie uns. Wir helfen Ihnen bei Fragen gerne weiter.

Kontakt

DORA ist seitdem 17.1.2025 in Kraft

Wichtig zu wissen: Mit dem endgültigen Inkraft­treten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 stehen alle beauf­sichtigten Finanz­institute in der EU vor der dringenden Aufgabe, ihre Cyber­sicherheit und operative Widerstands­fähigkeit grund­legend zu stärken. DORA etabliert einen einheit­lichen, ganzheit­lichen Rahmen für das effektive Management von Cybersicherheits- und IKT-Risiken – von der Meldung von Sicherheits­vorfällen bis hin zum Risiko­management entlang der gesamten Lieferkette.

Obwohl die Verordnung umfassende Anforderungen an den Betrieb stellt, bleiben einige technische Details, insbesondere im Bereich des Drittparteien­risiko­managements, bislang unklar. Finanz­unternehmen müssen nicht nur interne IKT-Risiken adressieren, sondern auch Gefahren durch externe Dienstleister und deren Sub­unternehmer berücksichtigen. Während bisher primär die Unternehmen selbst für die Überwachung kritischer IKT-Dienstleister verantwortlich waren, sollen künftig auch die europäischen Aufsichts­behörden erweiterte Informations-, Kontroll- und Prüfrechte ausüben.

Wofür steht die SECURAM Consulting?

Expertise und Know-How in den Regulariken der IT-Security und Informationssicherheit

Konstruktive & vertrauensvolle Zusammenarbeit

Verantwortung übernehmen & Sicherheit leben

Hands-on beim Aufbau von IT-Security & Informationssicherheit

Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben

Wesentliche Elemente von DORA

Übersicht zu den DORA-Inhalten im Detail:

Wesentliche Elemente von DORA

IKT-Risikomanagement

EU-Überwachungsrahmenwerk

IKT-Vorfallmeldewesen

Testen der digitalen operationellen Resilienz

TLPT (Thread Led Penetration Testing)

Information Sharing & Cyberübungen im Rahmen von DORA

Die DORA-Verordnung markiert einen entscheidenden Schritt zur Verbes­serung der digitalen Resilienz von Finanzinstituten in der EU. Sie etabliert einheitliche Standards für den Umgang mit IKT-Risiken, Cybersecurity und Störungsmanagement, um einen reibungslosen und sicheren Geschäfts­betrieb auch in Krisenzeiten zu gewähr­leisten. Im Folgenden werden die fünf zentralen Säulen vorgestellt, die den Kern der DORA-Anforderungen bilden und den institutionellen Rahmen für eine robuste digitale Betriebs­resilienz definieren.

Operational Resilience & Risikomanagement

Unternehmen sind verpflichtet, ein umfassendes IKT-Risiko­management zu imple­mentieren. Dies umfasst den Aufbau und die Pflege belastbarer IKT-Systeme, die Identi­fizierung und Klas­sifizierung kritischer Funktionen sowie eine kontinu­ierliche Überwachung und schnelle Erkenn­ung anomaler Akti­vitäten. Ergänzt wird dies durch die Einführ­ung detail­lierter Business-Continuity- und Notfall­pläne, die regel­mäßig getestet werden, um aus Vor­fällen zu lernen und präventive Maßnahmen zu optimieren.

Management von IKT-Vorfällen & Cyber Security

Finanzinstitute müssen ein standard­isiertes Ver­fahren zur Protokol­lierung, Klassi­fizierung und Meldung aller IKT-bezogenen Vorfälle ent­wickeln. Schwer­wiegende Ereignisse werden anhand fest­gelegter Kriterien erfasst, wobei ein initialer, Zwischen- und Abschluss­bericht unter Nutzung einheit­licher Vorlagen zu erstel­len ist.

Digital Operational Resilience Testing

Alle Einrich­tungen sind dazu angehalten, ihre IKT-Werkzeuge und -Systeme jährlich ein­gehend zu testen. Hierzu zählen grund­legende System­prüfungen zur Identi­fikation von Schwach­stellen sowie fort­geschrittene, bedrohungs­gesteuerte Penetrations­tests (TLPT) für kritische Funktionen. Die Kooperation von Dritt­anbietern ist dabei zwingend erforderlich.

Governance & Management von Drittparteien

Die Über­wachung der Risiken aus der Auslager­ung von IKT-Diens­tleistungen ist ein weiterer Schwer­punkt. Finanz­unternehmen müssen ein vollstän­diges Verzeichnis aller ausge­lagerten Tätigkeiten führen und vertragliche Verein­barungen so gestalten, dass alle relevanten Überwachungs­aspekte – wie Leistungs­umfang und Daten­verarbeitungs­standorte abgedeckt sind. Kritische IKT-Drittdienst­leister unterliegen zudem einem speziellen EU-Aufsichts­rahmen, der bei Nicht­einhaltung von Empfeh­lungen das Risiko weiter bewertet.

Informations­austausch

Finanzinstitute werden ermutigt, unter­einander sowie mit den Aufsichts­behörden Infor­mationen und Erkennt­nisse über Cyber­bedrohungen auszu­tauschen. Durch etablierte Mech­anismen soll sicher­gestellt werden, dass anonym­isierte, von den Behörden bereit­gestellte Informationen überprüft und in die Optimierung der Sicher­heitsmaß­nahmen integriert werden.

IKT-Risikomanagement (Informations- und Kommunikations-technologie-Risikomanagement)

IKT-Risikomanagementrahmen

Ein effektiver IKT-Risikomanagement­rahmen ist ein system­atischer Ansatz zur Verwaltung und Kontrolle von IKT-Risiken. Dieser Rahmen muss alle Aspekte der IKT-Risiken abdecken, einschließ­lich der Identi­fizierung potenzieller Bedroh­ungen, der Bewertung ihrer Auswirk­ungen und der Implemen­tierung von Maß­nahmen zur Risiko­minderung. Der Rahmen sollte regelmäßig überprüft und aktualisiert werden, um sicher­zustellen, dass er aktuellen Bedrohungen und techno­logischen Entwicklungen entspricht. Zu den wesent­lichen Bestandteilen gehören die Risikoanalyse, die Entwicklung von Risiko­minderungs­strategien und die Implemen­tierung von Kontroll­maßnahmen.

Governance und Organisation

Die Governance und Organisation des IKT-Risiko­managements sind zentrale Elemente von DORA. Die Leitungs­ebene eines Finanz­unternehmens trägt die Haupt­verantwortung für die Umsetzung und Überwachung des IKT-Risiko­managements. Das bedeutet, dass der Vorstand und andere Führungs­kräfte sicherstellen müssen, dass alle IKT-Risiken angemessen identi­fiziert, bewertet und gemanagt werden. Dies umfasst die Entwicklung und Durch­setzung von Richt­linien, die Zuweisung von Verantwort­lichkeiten und die Sicher­stellung, dass alle Mitarbeiter die Bedeutung der IKT-Risiken verstehen und entsprechend handeln.
DORA Finanzen Banken

IKT-Systeme, -Protokolle und -Tools

Die Sicherheit der IKT-Systeme, -Protokolle und -Tools ist von ent­scheidender Bedeutung für den Schutz vor Cyber­angriffen und anderen Bedro­hungen. DORA fordert Finanz­unternehmen auf, robuste technische und organi­satorische Maßnahmen zu imple­mentieren, um die Integrität, Vertrau­lichkeit und Verfüg­barkeit ihrer IKT-Systeme zu gewährleisten. Dies umfasst die Nutzung von sicheren Kommunikations­protokollen, regelmäßige Sicherheits­updates und Patches sowie die Implemen­tierung von Zugangs­kontrollen und Verschlüssel­ungstechnologien.

Lernprozesse und Weiterentwicklung

Kontinuierliche Lern­prozesse und Weiter­entwicklung sind entscheidend, um die Wirksamkeit des IKT-Risiko­managements zu gewährleisten. Finanz­unternehmen müssen sicherstellen, dass ihre Mitarbeiter regelmäßig geschult werden und dass neue Bedroh­ungen und Sicherheits­praktiken in die bestehenden Prozesse integriert werden. Dies kann durch regelmäßige Schulungen, Workshops und die Teilnahme an Branchen­veranstaltungen erreicht werden. Darüber hinaus sollten Unternehmen aus vergangenen Vorfällen lernen und ihre Sicherheits­maßnahmen entsprechend anpassen.

Kommunikation

Eine effektive Kommuni­kation über IKT-Risiken und Sicherheits­maßnahmen innerhalb des Unternehmens ist unerlässlich. DORA betont die Bedeutung der trans­parenten und klaren Kommuni­kation, um sicher­zustellen, dass alle Mitarbeiter über die Risiken und die erforderlichen Maß­nahmen informiert sind. Dies umfasst die regelmäßige Bericht­erstattung an das Management, die Sensibili­sierung der Mitarbeiter und die Einrichtung von Kommunikations­kanälen für die Meldung und das Management von Sicherheits­vorfällen.

Wie kann SECURAM Consulting bei DORA helfen?

Die GAP-Analyse steht im Regelfall am Anfang und hilft Finanzunternehmen zu bestimmen, welche Handlungsfelder existieren und wie das eigene Unternehmen aufgestellt ist.

Zusammen mit dem Kunden werden systematische Maßnahmen geplant und umgesetzt. Die Expertise der SECURAM Consulting hilft die identifizierten Lücken systematisch zu schließen.

Aufbau und Dokumentation münden final in gelebten Sicherheitsprozessen, mit denen Unternehmen die eigene Sicherheit im Firmenalltag signifikant verbessern können.

EU-Über­wachungs­rahmen­werk

 

Ein zentrales Element für DORA

Das EU-Überwachung­srahmenwerk für kritische IKT-Dritt­dienstleister ist ein zentrales Element von DORA. Dieses Rahmen­werk sieht vor, dass die EU kritische IKT-Drittdienst­leister, die wesentliche Dienst­leistungen für Finanz­unternehmen erbringen, überwacht. Ziel ist es, sicher­zustellen, dass diese Dienst­leister die hohen Sicherheits­standards einhalten und keine systemischen Risiken für den Finanz­sektor darstellen.

Die Überwachung umfasst mehrere Aspekte, darunter regelmäßige Überprüfungen und Audits der Sicherheits­praktiken der Dritt­anbieter. Kritische IKT-Dritt­dienstleister müssen zudem sicherstellen, dass sie transparent über ihre Sicherheits­maßnahmen berichten und den Aufsichts­behörden Zugang zu relevanten Informationen gewähren. Bei Verstößen gegen die Sicherheits­anforderungen können Sanktionen verhängt werden, um sicher­zustellen, dass die Dritt­anbieter ihre Sicherheits­praktiken verbessern.

Das Überwachungs­rahmenwerk der EU stellt sicher, dass Finanz­unternehmen bei der Zusammen­arbeit mit IKT-Dritt­anbietern geschützt sind und dass die Risiken, die durch externe Dienstleister entstehen, auf ein Minimum reduziert werden.

DORAConsultung DORA Beratung

IKT-Vorfallmeldewesen

Festlegung von Definitionen

Ein wesentlicher Bestand­teil des IKT-Vorfall­melde­wesens unter DORA ist die klare Fest­legung von Defini­tionen. Es muss eindeutig fest­gelegt werden, welche Arten von Vor­fällen als IKT-bezogen gelten. Diese Defini­tionen helfen dabei, ein gemein­sames Verständ­nis innerhalb des Unter­nehmens und im gesamten Finanz­sektor zu schaffen. Zu den IKT-bezogenen Vor­fällen gehören beispiels­weise Cyber­angriffe, Daten­lecks, System­ausfälle und andere Sicherheits­­vorfälle, die die Integrität, Vertrau­lichkeit oder Verfügbar­keit von Informations- und Kommunikations­systemen beein­trächtigen können.

Klassifikations­kriterien

Die Klassifikation von IKT-bezogenen Vorfällen ist ein weiterer wichtiger Aspekt des Vorfallmeldewesens. DORA legt Kriterien fest, nach denen Vorfälle bewertet und eingeordnet werden müssen. Diese Klassifikationskriterien umfassen Faktoren wie die Schwere des Vorfalls, die betroffenen Systeme und Daten, die Auswirkungen auf die Geschäftskontinuität und die potenziellen Schäden für das Unternehmen und seine Kunden. Durch die Anwendung dieser Kriterien können Unternehmen Vorfälle priorisieren und entsprechend reagieren.

Meldeprozess

Ein gut strukturierter Melde­prozess ist entscheidend, um sicher­zustellen, dass IKT-Vorfälle schnell und effizient gemeldet und dokumentiert werden. DORA fordert Finanz­unternehmen auf, Prozesse und Tools zu implemen­tieren, die eine zeitnahe Erfassung und Meldung von Vorfällen ermöglichen. Der Melde­prozess sollte klare Anweisungen für die Identifi­kation, Dokumen­tation und Weiter­leitung von Vorfällen an die zuständigen Behörden enthalten.

Zu den spezifischen Anforderungen des Meldeprozesses gehören:

Vorfälle müssen innerhalb bestimmter Zeit­rahmen gemeldet werden, um eine schnelle Reak­tion zu ermöglichen.
Die Meldung muss detail­lierte Infor­mationen über den Vor­fall enthalten, einschließ­lich der Art des Vor­falls, der betrof­fenen Systeme und Daten, der getrof­fenen Maß­nahmen und der potenziellen Aus­wirkungen.
Es müssen sichere und zuver­lässige Kommun­ikations­kanäle eingerichtet werden, um die Meldung von Vorfällen zu erleichtern.
Alle Vorfälle müssen gründlich doku­mentiert werden, und regel­mäßige Berichte über die Vorfälle und die ergrif­fenen Maß­nahmen müssen an das Manage­ment und die Aufsichts­behörden übermittelt werden.
Der Meldeprozess stellt sicher, dass alle rele­vanten Parteien rechtzeitig über IKT-Vor­fälle informiert werden und geeig­nete Maß­nahmen zur Schadens­begrenzung und Wiederher­stellung ergriffen werden können. Dies trägt dazu bei, die Auswirk­ungen von Vorfällen zu minimieren und die Resilienz des Unter­nehmens zu stärken.

Testen der digitalen operationellen Resilienz

Basistests

DORA verlangt von Finanzunternehmen, regelmäßige Basistests durchzuführen, um die Sicherheit ihrer Informations- und Kommunikationssysteme zu gewährleisten. Diese Tests sind unerlässlich, um Schwachstellen zu identifizieren und sicherzustellen, dass die Systeme den aktuellen Sicherheitsanforderungen entsprechen. Sie müssen den gesamten Finanzsektor abdecken und sollten regelmäßig durchgeführt werden, um sicherzustellen, dass die IT-Systeme stets auf dem neuesten Stand der Sicherheitstechnik sind. Zu den Basistests gehören:

Schwachstellenscans

Automatisierte Scans, die darauf abzielen, potenzielle Schwachstellen in den IT-Systemen zu identifizieren. Diese Scans sollten regelmäßig durchgeführt werden, um sicherzustellen, dass neue Schwachstellen schnell erkannt und behoben werden können.

Quellcodetests

Überprüfungen des Quellcodes von Softwareanwendungen, um Sicherheitslücken oder Fehler zu identifizieren, die ausgenutzt werden könnten. Diese Tests umfassen sowohl statische als auch dynamische Analysen des Codes.

Performancetests

Tests, die die Leistung und Stabilität der IT-Systeme unter verschiedenen Bedingungen überprüfen. Ziel ist es, sicherzustellen, dass die Systeme auch unter hoher Belastung zuverlässig funktionieren und keine sicherheitsrelevanten Ausfälle auftreten.

TLPT (Threat Led Penetration Testing)

Threat Led Penetration Testing (TLPT) ist eine fortgeschrittene Test­methode, die unter DORA für system­relevante Finanz­unternehmen mit hohem IKT-Reifegrad vorgesch­rieben ist. TLPT simuliert reale Cyber­angriffe, um die Widerstands­fähigkeit der IT-Systeme zu testen. Dabei werden Taktiken, Techniken und Verfahren verwendet, die auch von echten Angreifern genutzt werden könnten. Die wichtigsten Aspekte von TLPT sind:
Simulierte reale Angriffe
TLPT-Tests ahmen die Metho­den und Ansätze realer Cyber­angriffe nach. Dies hilft, Schwach­stellen in einer kontrol­lierten Um­gebung zu identi­fizieren, bevor sie von tatsäch­lichen Angreifern ausge­nutzt werden können.
Systemrelevante Finanzunternehmen
TLPT ist speziell für Finanz­unternehmen mit hoher System­relevanz und fort­geschrittenem IKT-Reifegrad vorgesehen. Diese Unter­nehmen haben oft komplexe und weit­reichende IT-Infra­strukturen, die besonders anfällig für Cyber­angriffe sind.
TIBER-EU als Blaupause
DORA orien­tiert sich am TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) Frame­work, das bereits in mehreren EU-Ländern erfolgreich angewendet wird. TIBER-EU bietet eine struk­turierte Vorgehens­weise für die Durch­führung von TLPT, einschließ­lich der Planung, Durch­führung und Auswertung der Tests.
Berichtswesen und Maßnahmen
Nach Abschluss eines TLPT müssen die Ergeb­nisse dokumentiert und dem Manage­ment sowie den Aufsichts­behörden gemeldet werden. Auf Basis der Ergeb­nisse müssen geeig­nete Maß­nahmen zur Behebung identifizierter Schwach­stellen ergriffen werden.

Die Implementierung von TLPT unter DORA sollen sicherstellen, dass Finanzunternehmen proaktiv ihre IT-Sicherheit überprüfen und kontinuierlich verbessern.

Information Sharing & Cyberübungen im Rahmen von DORA

Freiwilliger Austausch von Informationen und Erkenntnissen

Ein zentrales Element von DORA ist der freiwillige Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen. Dieser Austausch zielt darauf ab, die „Situational Awareness“ im gesamten Finanzsektor zu verbessern, was bedeutet, dass Unternehmen besser über aktuelle Bedrohungen und Sicherheitsvorfälle informiert sind. Die wichtigsten Aspekte dieses Informationsaustauschs sind:

Gemeinsame Bedrohungsanalyse

Die „Gemeinsame Bedrohungsanalyse“ gemäß der DORA-Verordnung (Digital Operational Resilience Act) verpflichtet Finanzunternehmen, sektorübergreifend koordinierte Risikoanalysen durchzuführen, um systemische Bedrohungen frühzeitig zu identifizieren. Ziel ist es, die digitale Resilienz durch einheitliche Lagebilder und abgestimmte Reaktionsstrategien zu stärken. Diese Zusammenarbeit fördert ein gemeinsames Verständnis der Bedrohungslage und dient als Fundament für präventive und reaktive Maßnahmen im gesamten Finanzsektor.

Best Practices und Sicherheitsstrategien

Unternehmen können bewährte Sicherheitspraktiken und Strategien austauschen, um ihre eigenen Schutzmaßnahmen zu verbessern. Dies umfasst auch technische Details zu Sicherheitslösungen und Abwehrmaßnahmen.

Erkenntnisse aus Vorfällen

Informationen über tatsächliche Sicherheitsvorfälle, einschließlich der Art des Angriffs, der betroffenen Systeme und der ergriffenen Gegenmaßnahmen, werden geteilt. Dies hilft anderen Unternehmen, ähnliche Bedrohungen zu erkennen und vorzubeugen.

Sektor­übergreifende Krisen­management- und Notfall­übungen

DORA betont die Bedeu­tung sektor­übergreifender Krisen­management- und Notfall­übungen mit einem Fokus auf Cyber­bedrohungen. Diese Übungen dienen dazu, die Kommu­nikations- und Reaktions­fähigkeiten der Finanz­unternehmen zu testen und zu verbessern. Die wesent­lichen Elemente dieser Übungen sind:

Simulierte Cyberangriffe

Unternehmen nehmen an Übun­gen teil, bei denen simulierte Cyber­angriffe durch­geführt werden. Diese Simu­lationen helfen, die Reaktions­fähigkeit und die Wirksam­keit der bestehen­den Notfall­pläne zu überprüfen.

Koordination und Kommunikation

Die Übungen fördern die Zusam­menarbeit zwischen verschie­denen Abteil­ungen und Unter­nehmen sowie mit exter­nen Stellen wie Aufsichts­behörden und IT-Dienst­leistern. Ziel ist es, die Kommunikations­wege zu testen und sicher­zustellen, dass alle Beteiligten im Ernstfall effektiv zusam­menarbeiten können.

Ermittlung von Schwachstellen

Durch die Durch­führung von Krisen­management- und Notfall­übungen können Unter­nehmen Schwach­stellen in ihren Sicherheits­maßnahmen und Notfall­plänen identifizieren. Diese Erkennt­nisse werden genutzt, um die Pläne zu überarbeiten und zu verbessern.

Szenarienbasiertes Training

Übungen basieren auf realis­tischen Szenarien, die ver­schiedene Arten von Cyber­angriffen und deren potenzielle Aus­wirkungen nachbilden. Dies hilft den Teil­nehmern, praxisnah auf verschiedene Bedro­hungen vorbereitet zu sein.

Was bedeutet digitale operationale Resilienz?

Digitale operationale Resilienz im Sinne der DORA-Verordnung bedeutet, dass ein Unternehmen in der Lage ist, seine Betriebsfähigkeit und Stabilität digitaler Prozesse aufzubauen, dauerhaft sicherzustellen und regelmäßig zu kontrollieren.

Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Belastbarkeit und Stabilität von Finanzunternehmen zu verbessern.

Was ist das Ziel von DORA?

Ziel des DORA-Regelwerks ist es, die bislang unterschiedlichen nationalen Anforderungen an IT-Sicherheit im Finanzwesen zu harmonisieren. Damit entsteht erstmals ein EU-weit einheitlicher Rechtsrahmen für digitale Resilienz in der Finanzbranche.

Wichtige Fragen für Unternehmen zu DORA

Haben Sie bereits eine umfassende Gap-Analyse durchgeführt, um festzustellen, in welchen Bereichen In­ves­tition­en erforderlich sind, um die Einhaltung der DORA-Vorschriften innerhalb der 24-monatigen Vor­be­rei­tungs­zeit bis Januar 2025 sicherzustellen?
Haben Sie bereits die Abhängigkeiten Ihrer IKT-Drittanbieter umfassend bewertet und  Maßnahmen umgesetzt, um deren operationale Wider­stands­fähig­keit im Rahmen der DORA-Anforderungen effektiv zu testen und zu überwachen?

Kontakt

Neue ABC-Straße 8
20354 Hamburg
040 2984553-0
contact@securam-consulting.com