Wie „DORA“ die Finanzwelt sicherer macht
Die Europäische Kommission hat einen wichtigen Schritt unternommen, um die Cybersicherheit auf den Finanzmärkten zu erhöhen, indem sie die DORA-Verordnung (Digital Operational Resilience Act) eingeführt hat. Diese Verordnung etabliert einen einheitlichen Rahmen für die Cybersicherheit in Banken und Geldinstituten.
Die DORA-Verordnung hat das Ziel, einen einheitlichen Aufsichtsansatz für alle relevanten Sektoren zu schaffen und die Sicherheits- und Resilienzpraktiken innerhalb der EU zu harmonisieren. Der Fokus liegt darauf, widerstandsfähige Betriebsabläufe für den Fall auch von schwerwiegenden Störungen sicherzustellen, die Netzwerke und Informationssysteme gefährden könnten. Sie stellt einen umfassenden Rahmen für effektives Risikomanagement und Cybersicherheitsfunktionen bereit, um konsistente Dienstleistungen in der gesamten Wertschöpfungskette zu gewährleisten.
Die Verordnung adressiert fünf Schlüsselthemen, darunter das Management von Drittparteien, den Informationsaustausch und das Testen der digitalen Betriebsresilienz.
Im Bereich der operativen Widerstandsfähigkeit und des Risikomanagements sind Finanzunternehmen verpflichtet, robuste IKT-Systeme und -Werkzeuge einzurichten, um die Auswirkungen von IKT-Risiken zu minimieren. Sie müssen auch kritische Funktionen und Vorfälle identifizieren, dokumentieren und klassifizieren, um gezielte Maßnahmen zur Sicherung dieser Bereiche zu ergreifen. Des Weiteren müssen alle Quellen von IKT-Risiken kontinuierlich überwacht werden, um rechtzeitig auf potenzielle Bedrohungen reagieren zu können. Die Einführung von Business Continuity-Plänen und Notfallwiederherstellungsplänen wird ebenfalls gefordert, um den Betrieb im Falle von Störungen aufrechtzuerhalten.
Im Bereich des Managements von IKT-Vorfällen und der Cybersicherheit sollen Finanzunternehmen bewährte Verfahren für die Protokollierung, Verfolgung und Klassifizierung von IKT-Vorfällen entwickeln. Schwere IKT-Vorfälle müssen gemäß den Kriterien der Verordnung und den Vorgaben der europäischen Aufsichtsbehörden bestimmt werden. Die Berichterstattung über erfolgte Vorfälle sowie die Harmonisierung der Berichterstattung nach den Standards der European Supervisory Authorities sind ebenfalls Teil der Verordnung.
Die Verordnung schreibt auch regelmäßige Tests von IKT-Systemen und -Werkzeugen vor, um ihre Funktionalität und Widerstandsfähigkeit zu überprüfen. Die Identifizierung und Behebung von Schwachstellen ist ein zentraler Bestandteil dieser Tests.
Im Bereich des Managements von Drittparteien müssen Finanzunternehmen die Risiken bei der Nutzung von IKT-Drittanbietern überwachen und kontrollieren. Hierzu gehören die Pflege eines Verzeichnisses aller ausgelagerten Tätigkeiten, die Identifizierung und Milderung von Risiken und die Harmonisierung von Schlüsselelementen der Dienstleistung und der Beziehung zu Drittparteien.
Die Verordnung ermöglicht zudem den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools zwischen betroffenen Finanzunternehmen und den Aufsichtsbehörden. Dieser Austausch zielt darauf ab, die digitale Betriebsresilienz zu stärken und die Verteidigung gegen Cyberangriffe zu unterstützen.
Insgesamt bietet die DORA-Verordnung einen umfassenden Rahmen für die Stärkung der Cybersicherheit im Finanzsektor. Durch die Umsetzung dieser Maßnahmen können Finanzunternehmen ihre Widerstandsfähigkeit gegenüber IKT-Risiken erhöhen, den Geschäftsbetrieb aufrechterhalten und das Vertrauen der Kunden in die Finanzmärkte stärken.
Quelle des Beitrags: DEUDAT GmbH
