Eine Zusammenfassung der DORA-Gesetzgebung
Eine kurze Erklärung der DORA-Verordnung und was sie bedeutet.
8 FRAGEN UND ANTWORTEN ZUM DIGITAL OPERATIONAL RESILIENCE ACT
Was ist die neue DORA-Gesetzgebung in Kurzform? Diese Frage wird uns von unseren Kunden immer häufiger gestellt. Die Experten Eva van Emmerik und Ben Brücker, die bei Bureau Veritas Cybersecurity arbeiten, beantworten die am häufigsten gestellten Fragen zu DORA. Bis Anfang 2025 muss der Finanzsektor in Europa auf dieses Cybersicherheitsgesetz vorbereitet sein.
1. Was ist DORA?
'DORA konzentriert sich auf den Schutz von Netzwerken und Informationssystemen. Es handelt sich um eine weltweite Regelung, die der gesamte Finanzsektor in der EU einhalten muss", sagt Eva van Emmerik. Sie arbeitet als Group Manager Finance bei Bureau Veritas Cybersecurity und hilft Organisationen im Finanzsektor bei ihrer digitalen Sicherheit. Das Ziel dieses Gesetzes ist es, den Sektor widerstandsfähiger gegen digitale Risiken zu machen.
2. AB WANN GILT DORA FÜR MEINE ORGANISATION?
Van Emmerik: 'Ab dem 17. Januar 2025 müssen alle europäischen Finanzinstitute die DORA-Vorschriften einhalten. Die Details der Vorschriften werden immer klarer. Batch 1 der technischen Regulierungsstandards (RTS) und die technischen Durchführungsstandards (ITS) wurden am 17. Januar 2024 veröffentlicht. Batch 2 dieser Standards wurde am 17. Juli 2024 veröffentlicht.' Das bedeutet, dass Ihnen nur noch wenig Zeit bleibt, um sich auf die Einhaltung von DORA vorzubereiten.
3. WARUM WURDE DORA EINGEFÜHRT?
Die Finanzwelt ist natürlich schon seit einiger Zeit an Gesetze und Vorschriften und die damit verbundene Aufsicht gebunden", sagt Van Emmerik. Aber diese konzentrieren sich hauptsächlich auf den finanziellen Aspekt, denken Sie an das Kreditrisiko oder die Betrugsbekämpfung.
Auch die Anforderungen an die Cybersicherheit entwickeln sich weiter: "Wir hatten bereits die NIS-Richtlinie aus dem Jahr 2016, die auf die Sicherung von Netzwerk- und Informationssystemen abzielt. Aber DORA ist der erste weltweite Standard für den Finanzsektor, der besagt: Sie müssen alle Ihre digitalen IKT-Risiken abbilden.
Das bedeutet, dass alle Finanzakteure mehr oder weniger die gleichen Anforderungen erfüllen müssen. Also nicht nur die großen Banken, die ohnehin oft gut reguliert sind und bei denen Cybersicherheit eine Priorität ist.
Der größte Vorteil von DORA ist, dass der gesamte Sektor letztendlich widerstandsfähiger gegen Bedrohungen wird", glaubt Van Emmerik. Auch die internationale Zusammenarbeit wird wahrscheinlich einfacher werden, weil man von Ihnen allen erwartet, dass Sie auf die gleiche Weise arbeiten.
Eva van Emmerich
Gruppenleiter Finanzen
Bureau Veritas Cybersecurity
Der größte Vorteil von DORA ist, dass der gesamte EU-Finanzsektor widerstandsfähiger gegen Bedrohungen sein wird.
4. FÜR WEN GILT DORA?
DORA wird nicht nur für Banken und Finanzinstitute gelten, sondern auch für wichtige Lieferanten des Finanzsektors, erklärt Van Emmerik: 'Denken Sie an ein Unternehmen, das das Netzwerk einer Bank verwaltet, um ein einfaches Beispiel zu nennen.
Wenn die Bank sicher ist, aber der IKT-Lieferant nicht, besteht natürlich ein großes Risiko. Daher sind diese Anbieter auch von DORA abgedeckt.'
Für kritische Dienstleister gelten allerdings etwas andere Regeln als für Banken oder Vermögensverwalter.
Ben Brücker
Red Teaming Leiter
Bureau Veritas Cybersecurity
Es ist wichtig, einen Test durchzuführen, der tief genug geht, um ein genaues Bild der Cyber-Resilienz eines Unternehmens zu erhalten, aber so, dass der Test bezahlbar ist.
5. WAS BEDEUTET DORA FÜR MEINE ORGANISATION?
Für große Banken und Pensionsfonds, die bereits viel für die Sicherheit tun, wird DORA nicht so aufregend sein", erwartet Van Emmerik. Sie können eine Lückenanalyse durchführen: Was tun wir bereits und was muss noch getan werden?
Aber die etwas kleineren Unternehmen stehen vor einer Herausforderung. Sie müssen vielleicht Dinge tun, die sie vorher nicht getan haben.
Die 5 Schlüsselelemente von DORA sind:
- Sie müssen über einen ICT-Risikomanagementrahmen verfügen
- Sie müssen über einen Prozess zur Reaktion auf Vorfälle verfügen
- Tests sollten häufiger durchgeführt werden und obligatorisch sein
- Risiken von Dritten müssen identifiziert werden, d.h. die Risiken, denen Ihre Lieferanten ausgesetzt sind
- Der Austausch von Informationen über Bedrohungen wird obligatorisch
PROZESS FÜR ZWISCHENFÄLLE WIRD AUSGEWEITET
Der Prozess der Reaktion auf Vorfälle wird erweitert, sagt Van Emmerik: "Bisher war dieser Prozess ein Standardbestandteil des Risikomanagementrahmens, den ein Unternehmen bereits hatte. Aber DORA geht noch einen Schritt weiter. Sie müssen einen Vorfall klassifizieren und in bestimmten Fällen auch entsprechend melden.'
HÄUFIGERE UND OBLIGATORISCHE TESTS
Die Gesetzgebung bedeutet auch: mehr und obligatorische Tests, sagt Brücker. Finanzinstitute müssen alle drei Jahre einen Threat-Led Penetration Test, kurz TLPT, durchführen lassen. Und das könnte möglicherweise auch IT-Dienstleister betreffen. Die Tests sind derzeit nicht verpflichtend, das ist also eine Änderung.
6. WIE IST DIE BEZIEHUNG ZWISCHEN NIS2 UND DORA?
DORA ist nicht die einzige wichtige Cybersicherheitsrichtlinie, die in naher Zukunft in Kraft tritt. Auch NIS2 legt Anforderungen an die digitale Sicherheit von Unternehmen und Organisationen in Europa fest.
In welchem Verhältnis stehen die beiden Richtlinien zueinander? Van Emmerik: 'Beide befassen sich mit der IKT-Sicherheit. Der Unterschied besteht darin, dass DORA sich ausschließlich auf den Finanzsektor konzentriert und NIS2 auf alle kritischen Sektoren. Für den Finanzsektor wird DORA führend sein.'
Ein weiterer Unterschied besteht darin, dass NIS2 eine Richtlinie ist, die in jedem Mitgliedsstaat zu einer eigenen Gesetzgebung führt. DORA ist eine Verordnung, die in jedem Mitgliedsstaat in gleicher Weise gilt.
7. WO SOLL MEINE ORGANISATION MIT DORA BEGINNEN?
01
SCHRITT 1: RISIKOMANAGEMENT ABBILDEN
Die Vorbereitung auf DORA beginnt auf der Prozessseite", rät Van Emmerik. Es ist gut, zuerst zu prüfen, ob Sie ein ICT Risk Management Framework haben. Das ist die Grundlage. Es gibt Standard-Rahmenwerke, die Sie verwenden können, wenn Sie noch keines haben.
02
SCHRITT 2: EINE LÜCKENANALYSE DURCHFÜHREN
Wenn die Organisation bereits ein Rahmenwerk verwendet, prüfen Sie anhand einer Lückenanalyse, ob in diesem Rahmenwerk Elemente fehlen, die in der neuen Gesetzgebung benötigt werden. Sind Sicherheitstests bereits Teil des Risikomanagements oder nicht? Und wie ist dies bei den Lieferanten geregelt?
03
SCHRITT 3: PRÜFEN SIE DEN PROZESS DES VORFALLS
Denken Sie sorgfältig über die Abläufe bei Zwischenfällen nach. Ist die Organisation in der Lage, Vorfälle ordnungsgemäß zu melden?
04
SCHRITT 4: STELLEN SIE SICHER, DASS SIE EINEN TESTPLAN HABEN
'Was werde ich testen? Wann werde ich testen? Wie werde ich demonstrieren, was ich getestet habe? Stellen Sie sicher, dass Sie ein Testprogramm oder einen Testplan für die kommenden Jahre haben und eine Partei, die über genügend Kapazitäten verfügt, um Ihnen dabei zu helfen', rät Van Emmerik.
Ein Unternehmen, das bereits über eine ausgereifte Sicherheit verfügt, führt am besten eine Lückenanalyse durch, um festzustellen, welche zusätzlichen Maßnahmen für DORA erforderlich sind.
8. WAS IST DIE GRÖSSTE HERAUSFORDERUNG FÜR DORA?
Obwohl Van Emmerik und Brücker DORA gegenüber positiv eingestellt sind, sehen sie auch Probleme voraus.
1. VIEL ARBEIT
Wenn Sie alleiniger CISO einer Organisation sind, in der der Cybersicherheit noch nicht viel Aufmerksamkeit geschenkt wurde, wird DORA Ihnen eine Menge Arbeit bescheren", sagt Van Emmerik.
'Auf die Branche kommt wegen DORA und NIS2 so viel Arbeit zu, dass es wahrscheinlich nicht genug Leute geben wird, um all diese Arbeit in der vorgesehenen Zeit zu erledigen. Sicherheitspersonal ist knapp, das ist also die erste Herausforderung.'
2. MELDUNG VON VORFÄLLEN
Sie werden verpflichtet sein, Sicherheitsvorfälle zu melden. Aber die Frage ist: Wie wird das erleichtert?' fragt sich Van Emmerik. 'Was passiert mit diesen Informationen? Es wird spannend für Unternehmen, wenn sie diese Art von Vorfällen melden müssen.
3. RISIKEN MIT DRITTEN
Eine dritte Herausforderung für DORA: die Kontrolle über die Risiken bei Drittparteien. Was ist, wenn Ihr Dritter ein kleiner IT-Lieferant oder eine ausländische Partei ist, über die Sie nicht so viel Kontrolle haben? Wie wollen Sie das machen? Das ist noch nicht klar.'
Einladung
Nehmen Sie an unserem nächsten Webinar teil, in dem wir die neuesten technischen Regulierungsstandards (RTS) innerhalb von DORA diskutieren, interpretieren und anwenden. Dabei geht es um BATCH 2.
Dieses Webinar bietet zwei wesentliche Perspektiven: aus technischer Sicht und aus verfahrenstechnischer Sicht.
Mehr Informationen
Finden Sie heraus, wie Bureau Veritas Cybersecurity Sie bei der Vorbereitung auf DORA unterstützen kann. Füllen Sie das Formular aus und wir werden Sie innerhalb eines Arbeitstages kontaktieren.
