/
  • Last updated
/
  • 10 min read

Wie erreicht man DORA-Compliance (Digital Operational Resilience Act)?

  • von Andrew Gono   |  übersetzt von Dragos Frangulea
DORA-Compliance

Der Digital Operational Resilience Act (DORA) ist eine Verordnung, die Standards für die Cybersicherheit und das Risikomanagement im Finanzsektor der EU festlegt. Eine verbesserte betriebliche Resilienz macht Ihr Unternehmen weniger anfällig für Angriffe und Datenverluste, was für große Banken und Kreditinstitute essenziell ist. Hier kommt DORA ins Spiel.

Dieser Artikel befasst sich mit der DORA-Verordnung, ihren wichtigsten Anforderungen und der Frage, wie die Compliance im Finanzsektor in der EU erreicht werden kann.

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act ist ein umfassendes Framework, der Risikomanagement-Methoden durchsetzt, um die EU-Finanzinstitute gegen Cyberangriffe zu schützen.

Vor DORA bereiteten sich Banken, Versicherungsgesellschaften und Großinvestoren auf Cyber-Vorfälle vor, indem sie einfach Kapital zur Seite legten, um für mögliche Verluste aufzukommen. Es war überhaupt nicht proaktiv. Da DORA jedoch erst 2023 in Kraft tritt, muss der EU-Finanzsektor nun konkrete Schritte unternehmen, um sicherzustellen, dass diese Verluste gar nicht erst entstehen.

Diese präventive Regelung wird von der Europäischen Union durchgesetzt, um ihre Fähigkeit zu stärken, Online-Bedrohungen zu widerstehen, die auf Finanzsysteme abzielen.

Für wen gilt DORA?

Der Digital Operational Resilience Act gilt für folgende EU-Einrichtungen:

  • Anbieter von Kontoinformationsdiensten (AISPs): Einrichtungen, die Zahlungsverkehrskonto-Informationen sammeln und verwalten.
  • Verwalter von kritischen Benchmarks: Organisationen, die Leitprinzipien für Finanzinstitute festlegen.
  • Zentrale Gegenparteien: Intermediäre, die das Gegenparteirisiko bei Finanztransaktionen minimieren.
  • Zentrale Wertpapierverwahrstellen: Unternehmen, die Wertpapiere verwahren und übertragen.
  • Rating-Agenturen: Institutionen, die die Kreditwürdigkeit von Emittenten bewerten und einstufen.
  • Anbieter von Crowdfunding-Dienstleistungen: Plattformen, die die öffentliche Mittelbeschaffung erleichtern.
  • Diensteanbieter für Krypto-Assets und Emittenten von wertreferenzierten Token: Einrichtungen, die Kryptowährungsdienste anbieten und wertbezogene Token ausgeben.
  • Anbieter von Datenübermittlungsdiensten (DSRP): Einrichtungen, die Finanzdaten zur Wahrung der Transparenz melden.
  • E-Geld-Institute (mit Ausnahmeregelungen): Institute, die die Transparenzrichtlinien befolgen und Finanzdaten melden.
  • IKT-Drittdienstleister: Anbieter von IT-Services für Finanzinstitute.
  • Einrichtungen der betrieblichen Altersversorgung (IORP): Verwalter von Systemen der betrieblichen Altersversorgung.
  • Versicherungs- und Rückversicherungsunternehmen: Unternehmen, die Versicherungen und Risikodeckungen anbieten.
  • Versicherungsvermittler: Versicherungsmakler/Vertreter, die Versicherungspakete verkaufen.
  • Wertpapierfirmen: Organisationen, die Asset-Management und Anlagemöglichkeiten anbieten.
  • Verwaltungsgesellschaften: Einrichtungen, die Investmentfonds leiten.
  • Verwalter alternativer Investmentfonds: Unternehmen, die alternative Investmentfonds verwalten, wie zum Beispiel Hedgefonds oder Private Equity.
  • Hypothekendarlehensgeber: Institutionen, die durch Immobilien besicherte Kredite anbieten.
  • Zahlungsinstitute: Einrichtungen, die Zahlungsdienste anbieten.
  • Altersvorsorgeeinrichtungen: Institutionen, die Altersvorsorgeprodukte anbieten.
  • Verbriefungsregister: Einrichtungen, die Aufzeichnungen über Verbriefungstransaktionen sammeln, speichern und pflegen.
  • Transaktionsregister: Organisationen, die Aufzeichnungen über Derivate, Wertpapierfinanzierungen und andere Finanzgeschäfte zentralisieren und aufbewahren, um die Regulierungsaufsicht zu verbessern.
  • Handelsplätze: Plattformen, die den Kauf und Verkauf von Finanzinstrumenten erleichtern, einschließlich geregelter Märkte, multilateraler Handelssysteme (MTFs) und organisierter Handelssysteme (OTFs).

Auch Drittanbieter von Software unterliegen den DORA-Richtlinien, wobei die Nichteinhaltung „wirksame, verhältnismäßige und abschreckende“ Strafen nach sich zieht, ganz zu schweigen von der Schädigung Ihres Rufs. Die Ernsthaftigkeit dieser Klausel ist darauf zurückzuführen, wie sehr MSPs mit den kritischen Prozessen, von denen Banken und andere Institutionen abhängen, verflochten sind. Vorfallsberichte und Sicherheits-Patch-Management sind einige Beispiele.

Vor diesem Hintergrund werden durch die vollständige Compliance nicht nur Störungen am Arbeitsplatz minimiert, sondern auch die Cybersicherheits-Standards Ihres Unternehmens verbessert und die digitale Infrastruktur des gesamten Finanzsystems der EU verstärkt.

Die Haupt-Anforderungen der DORA-Compliance

IKT-Risikomanagement

Der Digital Operational Resilience Act handelt von der Identifizierung, Minimierung und kontinuierlichen Überwachung aktueller und neuer Bedrohungen. Der erste Schritt besteht im Risiko-Management.

Kontrollieren Sie Benutzerrechte, sorgen Sie für die Genauigkeit und Integrität der Daten, und verwenden Sie zuverlässige Verschlüsselung, um alles sicher zu halten. Diese Maßnahmen sowie die zum Schutz der Informationen eingerichteten internen Systeme sollten von Expert:innen gepflegt und optimiert werden, die ebenfalls die Verantwortung dafür tragen.

Berichterstellung über Vorfälle

Finanzinstitute müssen ihr eigenes Protokoll für die Bewertung sowie Berichterstellung über Vorfälle entwickeln, was zeitnah erfolgen sollte.

Erstellen Sie detaillierte Berichte über Vorfälle, passen Sie robuste Reaktionsprotokolle an, bewerten Sie die Ergebnisse, pflegen Sie den Kontakt zu den Behörden und erstatten Sie Kunden und Aktionären regelmäßig Bericht.

Test- und Resilienzstrategien

DORA schreibt Finanzinstituten vor, ihre digitale Verteidigung jährlich auf drei Arten zu testen: Fortgeschrittene Schwachstellentests für Informations- und Kommunikationstechnologie-Systeme (IKT), unabhängige Bewertung der Schwachstellen Ihrer Infrastruktur und bedrohungsgesteuerte Penetrationstests (TLPT), die reale Angriffe simulieren.

Das ist aber noch nicht alles. Ihr Unternehmen muss außerdem eine Dokumentation über diese Tests erstellen und pflegen, die auch die Methoden und die zusätzlichen Schritte zum Patching von Schwachstellen in Ihrem digitalen Ökosystem enthalten sollte.

🛑 Erkennen, bewerten, minimieren und beheben Sie proaktiv Schwachstellen in Ihrer IT-Umgebung.

Lesen Sie diesen Guide zur Reduzierung von Schwachstellen.

Management der von Drittanbietern stammenden Risiken

Drittanbieter müssen konsequent überwacht und bewertet werden, um sicherzustellen, dass sie die strengen Anforderungen von DORA erfüllen.

Bewerten Sie jeden Drittanbieter auf der Grundlage seiner technischen Fähigkeiten, des Sicherheitsniveaus und der Notfallwiederherstellungs-Pläne. Darüber hinaus sollten die Verträge mit Drittanbietern lückenlos sein, und alle DORA-Standards sollten durchgesetzt werden.

Informationsaustausch und Governance

DORA ermutigt Mitglieder des Finanzsektors, ihr Wissen über sich entwickelnde Cyber-Bedrohungen untereinander auszutauschen. Netzwerke, die sich über neue Malware und die neuesten Hackermethoden austauschen, sind unschätzbare Informationsquellen für Ihr IT-Team und können helfen, PR-Albträume zu vermeiden. Sehen Sie sich nur diese Statistik zur Cybersicherheit aus dem Jahre 2025 an: Jüngste Studien zeigen, dass Bedrohungsakteure zuverlässig in 93 % der Netzwerke von Unternehmen eindringen können.

Was sind die Vorteile der DORA-Compliance?

Die Technologie entwickelt sich schnell weiter, sodass DORA Finanzinstituten eine weitere Verteidigungslinie gegen hochentwickelte Bedrohungen bietet, die zwangsläufig auftauchen werden. Die Compliance schützt nicht nur Ihr Unternehmen, sondern ebnet auch den Weg für eine ununterbrochene Produktivität. Dadurch wird Ihrem Unternehmen den nötigen Vorsprung verschafft, um an der Spitze zu bleiben.

Die neuen EU-Standards haben sich auch als effektiv für Unternehmen erwiesen, während sie Vertrauen bei Aufsichtsbehörden, Aktionären und potenziellen Kunden aufbauen. Eine Studie des Future Business Journal aus dem Jahr 2024 zeigte, dass die Transparenz in Bezug auf Cybersicherheit sich positiv auf die Leistung der Banken auswirkt und mehr Banken ermutigt, die gleichen Maßnahmen zu ergreifen. Einfach ausgedrückt: Menschen wollen wissen, dass ihr Geld sicher ist, und die DORA-Compliance stärkt ihr Vertrauen.

DORA-Compliance: Die Haupt-Herausforderungen

DORA bietet zwar einige wichtige Vorteile, aber kleine bis mittelgroße Finanzinstitute in der EU haben mit Größen- und Budgetbeschränkungen zu kämpfen. Ihre Herausforderungen können sich auch auf die Vertragsverhandlungen mit Drittanbietern auswirken. Dies ist ein Grund, warum sich manche an Managed Service Provider (MSP) wenden, von denen viele IKT-Support zu angemessenen Preisen anbieten können. Andere setzen kosteneffiziente Komplett-Verwaltungstools ein, um den IT-Frust zu beseitigen, ohne riesige Geldsummen zu zahlen.

Schritte zur Erreichung der DORA-Compliance

1. Durchführung einer Analyse der Compliance-Lücken

Führen Sie zunächst eine Lückenanalyse durch, in der Sie Ihre aktuelle Lage mit der vergleichen, die Sie mit Hilfe der DORA-Normen erreichen wollen. Betrachten Sie es als ein Venn-Diagramm, durch das die fehlenden Elemente in Ihrem IT-Framework erkannt werden können. Gehen Sie wie folgt vor:

  • Identifizieren Sie die Lücke zwischen Ihrer Struktur und den Anforderungen von DORA.
  • Ordnen Sie diese nach ihrer Wichtigkeit.
  • Erstellen Sie zeitnahe Aktionspläne, um diese Probleme kompetent anzugehen.

2. Erstellen Sie ein Framework für das IKT-Risikomanagement

Als Nächstes sollten Sie in Ihrem Unternehmen eine Managementstruktur schaffen und klare Rollen zuweisen. Dieses DORA-Framework für Cybersicherheit sollte es Ihnen ermöglichen:

  • klare Rollen in der Führungsstruktur zuzuweisen.
  • Risiken zu bewerten, die sich auf den Betrieb auswirken, wie etwa Ransomware, Systemausfälle usw.
  • Strategien zur Minimierung bekannter Risiken zu entwickeln, wie zum Beispiel Firewallsminimale Zugriffsberechtigungen oder verschlüsselte Laufwerke.
  • Maßnahmen zur Reaktion auf Vorfälle und zur Notfallwiederherstellung zu koordinieren.
  • vergangene Fälle sowie aktuelle Maßnahmen zu überwachen und überprüfen, wenn neue Bedrohungen auftauchen.

3. Entwickeln Sie einen durchdachten Reaktionsplan für Vorfälle

Vorfälle ereignen sich zwangsläufig, deswegen muss man darauf rund um die Uhr gefasst sein. Laut DORA sollen Sie folgende Maßnahmen ergreifen:

  • Definieren Sie Vorfälle nach Schweregrad und Häufigkeit.
  • Entwerfen Sie für interne und externe Partner klare Schritte zur Vorgehensweise, Minimierung und Eindämmung von Vorfällen.
  • Delegieren Sie Rollen bei der Vorbereitung auf künftige Vorfälle.
  • Entwickeln Sie Maßnahmen zur Sicherstellung der Geschäftskontinuität, um Daten wiederherzustellen und Systeme schnell wieder in Betrieb zu nehmen.
  • Führen Sie regelmäßig Tabletop-Übungen/Simulationen durch, um zu prüfen, ob Verbesserungen erforderlich sind. Eine ausführlichere Diskussion finden Sie im Guide IT-Security-Checkliste für Ihr Unternehmen.

4. Arbeiten Sie mit Drittanbietern zur Überprüfung der Compliance zusammen

Führen Sie eine gründliche Prüfung der Drittanbieter durch, die Sie beauftragen, um die vollständige DORA-Compliance zu garantieren. Dies erfolgt folgendermaßen:

  • Vergewissern Sie sich, dass Ihr Anbieter gute Sicherheitspraktiken und Datensicherungsrichtlinien anwendet.
  • Nehmen Sie die DORA-Compliance-Standards in die Verträge Ihres Unternehmens auf. Wir empfehlen die Lektüre unseres Guides über Vereinbarungen über verwaltete Dienste für MSPs für weitere Informationen. 
  • Überwachen Sie ständige ihre Leistung durch Audits.
  • Arbeiten Sie zusammen, um eventuelle Lücken in Ihrer Infrastruktur zu schließen.
  • Erhalten Sie einen offenen Kommunikationskanal aufrecht.

Lesen Sie diesen Guide → Wie man einen zuverlässigen IT-Dienstleister auswählt

5. Führen Sie regelmäßige Tests und überwachen Sie die Widerstandsfähigkeit Ihrer Systeme

Überprüfen Sie die Sicherheitsmaßnahmen Ihres Systems mit umfangreichen Simulationen, die seine Belastbarkeit testen:

  • Führen Sie jährliche Sicherheitstests durch.
  • Bewerten Sie alle 4 Monate die Schwachstellen Ihres Systems.
  • Verwenden Sie TLPT, um reale Angriffe zu simulieren.
  • Verfolgen Sie während der Tests kontinuierlich die Leistung, Verfügbarkeit und Sicherheit des Systems.
  • Analysieren Sie die Ergebnisse, um Schwachstellen und Verbesserungsmöglichkeiten zu ermitteln.
  • Überarbeiten und verstärken Sie Ihre Sicherheitsprotokolle, Wiederherstellungspläne und Maßnahmen zur Reaktion auf Sicherheitsvorfälle.

Wie sich DORA auf die Zukunft der Compliance im Finanzsektor auswirkt

DORA ergänzt bereits bestehende Standards und Vorschriften in der EU, wie die Datenschutz-Grundverordnung (GDPR) sowie die Sicherheitsrichtlinie von NIS2, und verbessert das allgemeine digitale Wohlergehen des Finanzsektors.

Dieser wichtige Vorstoß für bessere Standards für die betriebliche Resilienz wird wahrscheinlich andere Länder außerhalb der EU dazu inspirieren, ähnliche Grundsätze zu übernehmen, wie zum Beispiel die Datenschutz-Grundverordnung, die einen Präzedenzfall für die Datenregulierung und die betriebliche Sicherheit weltweit darstellt.

Wenn sich Länder auf neue und robuste Sicherheits-Frameworks wie DORA einigen, können sie eine gesündere Weltgemeinschaft fördern, die besser gegen die digitalen Bedrohungen von heute gewappnet ist.

Ihre Reise zur DORA-Compliance

DORA setzt strengere Risikomanagement-Standards für Banken und andere Finanzinstitute in der Europäischen Union durch. Das DORA-Framework erfordert die Bildung von Führungskräften im Bereich IKT-Risikomanagement, eine schnelle und zuverlässige Berichterstellung über Vorfälle, einheitliche Tests, die Bewertung von Drittanbietern und den Informationsaustausch.

Große Finanzinstitute sind das Rückgrat der Wirtschaft, und obwohl es zu Vorfällen kommen kann, ist es Ihre Pflicht, das Risiko so weit wie möglich zu minimieren. Die Befolgung von DORA bietet Ihrem Unternehmen ein stärkeres Führungssystem, erstklassige Cybersicherheits-Maßnahmen und vieles mehr. Beginnen Sie also noch heute mit Ihrer Reise zur Compliance.

Starten Sie Ihre kostenlose Testphase

Das könnte Sie auch interessieren

Verwaltung der Speicher-Integrität der Kernisolierung in Windows 10

Wie man die Speicher-Integrität der Kernisolierung in Windows 10 konfigurieren kann

Ändern der Einstellungen für den Exploit-Schutz von Windows Defender im Windows-Blog-Bannerbild

So ändern Sie die Einstellungen für den Exploit-Schutz von Windows Defender in Windows

Aktivieren oder Deaktivieren von Secure Boot im Windows-Blog-Bannerbild

Anleitung: So aktivieren oder deaktivieren Sie Secure Boot auf einem Windows 10-PC

Mit Windows Defender nach Malware scannen

Wie man mit Windows Defender nach Malware scannen kann

Alternative Datenströme: Alternative Datenströme

Alternative Datenströme: Ein vollständiger Überblick

Zurücksetzen der Firewall-Einstellungen in Windows Defender Blog-Bannerbild

So setzen Sie die Firewall-Einstellungen in Windows Defender zurück

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).
Ich akzeptiere