Die jüngste Cybersicherheitsverordnung der Europäischen Union (EU), der Digital Operational Resilience Act(DORA), hat nicht nur Auswirkungen auf den Finanzdienstleistungssektor in diesem Gebiet, sondern auch auf die IKT-Dienstleister, mit denen sie zusammenarbeiten. Ganz oben auf dieser Liste steht Microsoft. Wenn Sie sich fragen, wie Ihr Unternehmen oder Ihre IT-Infrastruktur mit Microsoft DORA-Konformität neu unterstützt wird, finden Sie hier einen Überblick.
Microsoft-Lösungen für die DORA-Compliance
Microsoft verfügt über ein vielfältiges Portfolio für den Finanzsektor, darunter Microsoft Cloud for Financial Services, Microsoft 365, Microsoft Azure und vieles mehr. Daher verfügt sie bereits über solide IKT-Protokolle und gehört zu den ersten, die ihre Vorbereitungen für die Einhaltung der DORA-Vorschriften planen. Mit DORA verfolgt Microsoft folgende Ziele:
- den Kunden helfen, ihre vertraglichen Verpflichtungen erfolgreich zu erfüllen;
- iKT-Risiken zu managen und einen internen Verwaltungs- und Kontrollrahmen zu schaffen; und
- verstärkung der Dienste für die Verwaltung, Klassifizierung und Meldung von Vorfällen.
Microsoft Defender for Cloud und Azure Security Center können Kunden beispielsweise eine kontinuierliche Erkennung von und Reaktion auf Bedrohungen bieten. In der Zwischenzeit kann Microsoft Purview Resilienztests und den Austausch von Informationen über Vorfälle einrichten, um neue Vorschriften zu erfüllen.
Dies sind alles nützliche Integrationen, aber wie passen sie in den strengen Rahmen von DORA? In diesem Sinne wollen wir untersuchen, wie einige dieser Anwendungen mit den fünf Säulen der DORA-Verordnung zusammenarbeiten.
IKT-Risikomanagement
Der kritischste Aspekt der DORA-Konformität ist das IKT-Risikomanagement, und Microsoft setzt Advanced Threat Protection (ATP) und Microsoft Sentinel an die Spitze der proaktiven Erkennung und Reaktion auf Bedrohungen.
IT-Mitarbeiter können sich auf ATP verlassen, um sich in Echtzeit vor Cyberangriffen zu schützen. Es nutzt KI-gesteuerte Analysen und Algorithmen des maschinellen Lernens, um E-Mails, Anhänge und Links zu analysieren, bevor der Benutzer etwas unternehmen kann. Außerdem verwendet es Sandboxing-Technologie, um Bedrohungen in einer sicheren Umgebung zu isolieren. Andererseits kann Microsoft Sentinel Schwachstellen erkennen und verwertbare Sicherheitserkenntnisse und Analysen liefern.
Für die DORA-Konformität schlägt Microsoft vor, die Defender-Suite von Microsoft 365 E5 und Microsoft Sentinel in das IKT-Risikomanagement-Framework zu integrieren.
Meldung und Verwaltung von Vorfällen
Microsoft Defender und Compliance Center sind die beiden führenden Lösungen, die Microsoft für die Erkennung und rasche Meldung von IKT-bezogenen Vorfällen anbietet. Ersteres dient der frühzeitigen Erkennung von Sicherheitsbedrohungen, während das Compliance Center ein zentrales Dashboard für die Überwachung und Berichterstattung darstellt.
Mit diesen Komponenten erhalten die beaufsichtigten Unternehmen ein umfassendes Melde- und Verwaltungssystem für Vorfälle, das den neuen Normen der DORA entspricht. Beide Software-Integrationen verbessern auch die Effizienz durch automatisierte Arbeitsabläufe zur schnellen und genauen Bewertung, Dokumentation und Meldung von Vorfällen.
Unternehmen können auch die SIEM-Lösung (Security Information and Event Management) von Microsoft, Sentinel, und ihre KI-gestützten Analyse- und Erkennungsprotokolle nutzen, um die Sicherheitsrichtlinien zu stärken.
Prüfung der Belastbarkeit
Operational Resilience ist das übergeordnete Ziel, das DORA innerhalb der EU erreichen will. Um dieses Ziel zu unterstützen, können Kunden das Azure Security Center für aktualisierte Sicherheitsbewertungen und Resilienztests in ihren Reihen nutzen.
Azure kann die neuesten Sicherheitserkenntnisse konsolidieren, um Testumgebungen zu erleichtern und auf dem neuesten Stand zu halten, die den DORA-Bestimmungen zur Cyber-Resilienz entsprechen. Zur Erinnerung: Die Finanzinstitute werden auch dafür mitverantwortlich sein, dass Drittdienstleister ihre Schulungen auf dem neuesten Stand halten.
Die Microsoft Cybersecurity Reference Architectures(MCRA) können Ihnen dabei helfen, mehr über die Integration von Microsofts Cybersecurity-Funktionen und -Technologien in Ihr Risikomanagement-Rahmenwerk zu erfahren.
Risikomanagement für Dritte
Wenn es um Governance- und Compliance-Funktionen geht, ist Microsoft Purview eines der besten seiner Klasse.
Die Lösung eignet sich auch hervorragend für die Verwaltung von Drittanbieterdiensten, da sie Unternehmen einen vollständigen Einblick in ihre Datenstruktur bietet, einschließlich der Überwachung der von den Anbietern gespeicherten und verarbeiteten Daten. So bietet Microsoft Purview einheitliche Datenverwaltungsfunktionen, die regulierten Instituten helfen können, Vorschriften schnell einzuhalten.
Microsoft Purview Compliance Manager kann auch bei der Bewertung und Verwaltung der Compliance in Ihrer Multi-Cloud-Umgebung helfen. So können Sie beispielsweise vorgefertigte Bewertungen erstellen, die sowohl Ihren individuellen Anforderungen als auch den gängigen Branchen- und Regionalstandards entsprechen.
Informationsaustausch und Governance
Neben einer Reihe von Produktivitäts- und Kommunikationstools deckt Microsoft 365 bereits viele IKT-bezogene Protokolle ab, insbesondere mit dem Microsoft 365 Compliance Center. Von der Verhinderung von Datenverlusten (DLP) bis hin zu automatisierten Audits bietet das Compliance Center IT-Administratoren robuste Verwaltungstools für die Kontrolle von Ressourcen und die Einhaltung von Vorschriften. Darüber hinaus bietet Microsoft verschiedene sichere Kommunikationswege für Aktionäre an.
Bewährte Verfahren für die Umsetzung der DORA-Konformität mit Microsoft
Automatisierung von Risikobewertungen und Sicherheitskontrollen
Es gibt viele Gründe für die Automatisierung von Geschäftsprozessen, die über die Reduzierung menschlicher Fehler hinausgehen. IT-Automatisierung kann es Unternehmen ermöglichen, Ressourcen effizienter umzuverteilen, Arbeitsabläufe zu standardisieren und Sicherheitskontrollen zu verbessern. Zum Beispiel,
Azure RBAC (Role-Based Access Control) kann verwendet werden, um den Zugriff auf Ihre Assets zu verfeinern, was dazu beiträgt, die Compliance auf Benutzerebene sicherzustellen und die organisatorische Effizienz zu steigern.
Regelmäßige Sicherheitstests und Ausfallsicherheitsübungen
In mehreren DORA-Artikeln wurde die Schulung und Sensibilisierung hervorgehoben. Noch wichtiger ist, dass das Dokument die Verantwortung der Finanzorganisationen für die Schulung ihrer Mitarbeiter und Lieferanten gemäß den EU-Vorschriften festhält. Das Gute ist, dass sich Investitionen in die Ausbildung immer auszahlen – fast sofort und auf lange Sicht.
Einrichtung eines Konformitätsrahmens mit Microsoft-Tools
Ein Rahmen für die Einhaltung der Vorschriften ist für die Schaffung einer umfassenden und effizienten Risikomanagementlösung unerlässlich. Ein strukturierter Ansatz und eine klare Gliederung der Richtlinien und Anlagen können Ihrem Unternehmen helfen, sich schneller an neue Vorschriften anzupassen und Lücken im System proaktiv zu beheben.
FAQs zu Microsoft & DORA-Konformität
1. Können Microsoft-Dienste die DORA-Konformität vollständig gewährleisten?
Die Microsoft-Tools allein können die vollständige Einhaltung der Vorschriften nicht gewährleisten. Erstens muss die Software mit einer angemessenen Implementierung oder Integration einhergehen. Zweitens kann andere Software von Drittanbietern immer noch einen geeigneteren Rahmen oder eine geeignetere Lösung für die speziellen Anforderungen eines Unternehmens bieten.
Darüber hinaus erfordert die Einhaltung von DORA eine Risikoüberwachung und -prüfung durch Dritte. Sie ermutigt die Unternehmen auch, ihre IT-Infrastruktur zu diversifizieren, anstatt die Kernprozesse unter einem Dach zu konsolidieren. Daher müssen die Finanzinstitute mit anderen Anbietern darauf vorbereitet sein, die Bestimmungen der DORA zu erfüllen.
2. Was sind die wichtigsten Unterschiede zwischen DORA und anderen Cybersicherheitsvorschriften?
Bei DORA geht es vor allem um die digitale operationelle Belastbarkeit. Die Bestimmungen sollen sicherstellen, dass die Finanzinstitute in der EU über Fähigkeiten und Strategien verfügen, um erhebliche IT-Störungen zu überstehen und sich von ihnen zu erholen.
Andererseits konzentriert sich die Allgemeine Datenschutzverordnung(GDPR) mehr auf den Schutz der Privatsphäre und die Datensicherheit, während NIS2 umfassendere Richtlinien für verschiedene wichtige Branchen enthält. ISO 27001wiederum führt in erster Linie Standards für Informationssicherheitsmanagementsysteme (ISMS) ein.
3. Wie können kleine und mittlere Finanzinstitute die Microsoft-Tools kostengünstig nutzen?
Kleine und mittelgroße Finanzunternehmen können mit Microsoft 365 oder Microsoft Azure als Hauptintegration für die Einhaltung von Vorschriften beginnen. Viele Unternehmen verfügen bereits über eine Lizenz für mindestens eine dieser Softwarelösungen, und auch diejenigen, die noch keine haben, werden von diesen Suiten profitieren, die über die Erfüllung von Compliance-Anforderungen hinausgehen.
KMU können wichtige Pakete oder gebündelte Lösungen priorisieren, die aktuelle Lücken bei der Einhaltung der Vorschriften schließen. Das Unternehmen kann mit der Einführung fortschrittlicher und teurerer Lösungen warten, bis es bereit ist, diese zu skalieren.
Ausarbeitung einer wirksamen Strategie zur Einhaltung der DORA-Vorschriften
Microsoft-Tools und -Dienste können eine solide Grundlage für die Einhaltung der DORA-Vorschriften bilden. Die Diversifizierung Ihrer IT-Infrastruktur kann jedoch auch entscheidende Vorteile haben. Einige Prozesse, wie automatisierte Berichterstattung und Dokumentation, können durch integrierte Lösungen anderer Spezialisten weiter optimiert werden. Wichtig ist, dass alles, was Sie hinzufügen, Ihre Microsoft-Anwendungen ergänzt und Ihre Ausrichtung auf die DORA-Bestimmungen unterstreicht.