Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die Cybersicherheit und operative Resilienz von Finanzinstituten wie Banken, Versicherungen und Wertpapierfirmen zu stärken. DORA wurde anhand spezifischer Kriterien und Anforderungen entwickelt und schafft einen umfassenden Rahmen, um sicherzustellen, dass der europäische Finanzsektor schwerwiegenden Betriebsstörungen, einschließlich Cyberangriffen, standhalten und sich im Notfall auch wieder davon erholen kann.

Cybersicherheits-schulungen beginnen hier

Jetzt kostenlosen Test starten

So können Sie Ihre kostenlose Testversion nutzen:

  • Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
  • Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
  • Lernen Sie unsere Technologie in Aktion kennen!
  • Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.

Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.

Vielen Dank

Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.

Was ist DORA?

  • Beim Digital Operational Resilience Act, abgekürzt DORA, auf Deutsch auch als Gesetz zur digitalen Betriebsresilienz bekannt, handelt es sich um eine Verordnung, die 2022 von der EU verabschiedet wurde und im Januar 2025 in Kraft tritt. Diese DORA-Richtlinie soll Regeln und Anforderungen in Bezug auf die operative Resilienz des Finanzsektors in der gesamten EU harmonisieren und über 20 verschiedene Arten von Organisationen abdecken, von Finanzinstituten bis Drittanbietern aus der Informations- und Kommunikationstechnologie (IKT).

    DORA ist mehr als nur ein Set an Empfehlungen. Es ist eine wichtige Verordnung, die darauf abzielt, die Cybersicherheit und die operative Resilienz des europäischen Finanzsystems als Ganzes zu stärken. Um dies zu erreichen, schreibt DORA vor, dass Finanzinstitute ihre gesamte IT-Infrastruktur, einschließlich die der von ihnen genutzten Drittanbieter, verstehen und potenzielle Schwachstellen und Risiken proaktiv identifizieren müssen. Von diesen Unternehmen wird erwartet, dass sie robuste Strategien implementieren, um ihre Systeme, Daten und Kunden vor Störungen zu schützen.

    Was ist der Zweck von DORA?

    Die DORA-Verordnung soll den Finanzsektor in die Lage versetzen, IKT-bezogene Vorfälle, die die Bereitstellung kritischer Finanzdienstleistungen gefährden könnten, besser zu erkennen, sich davor zu schützen, darauf zu reagieren und sich davon zu erholen. Zu den wichtigsten Zielen gehören:

    Stärkung der Cybersicherheit und operativen Resilienz von Finanzinstituten in der Europäischen Union, wie Banken, Versicherungsgesellschaften und Wertpapierfirmen.
  • Durch die Schaffung eines umfassenden Rahmens wird sichergestellt, dass der Finanzsektor schwerwiegenden Betriebsstörungen, einschließlich Cyberangriffen, standhalten und sich davon erholen kann.
  • Standardisierung der Anforderungen im Zusammenhang mit der operativen Resilienz des EU-Finanzsektors, einschließlich der verschiedenen Arten von Finanzunternehmen und IKT-Drittanbietern.
  • Gewährleistung, dass Finanzinstitute ihre gesamte IT-Infrastruktur, einschließlich Drittanbieter, verstehen, potenzielle Schwachstellen und Risiken identifizieren und robuste Strategien implementieren können, um ihre Systeme, Daten und Kunden vor Störungen zu schützen.

    Der Hauptzweck von DORA besteht darin, die Cybersicherheitsstandards und die digitale Betriebsstabilität im europäischen Finanzsektor zu verbessern. Es geht über bloße Abwehrmaßnahmen hinaus und plädiert für einen robusten Resilienzrahmen, der die Kontinuität und Qualität der Finanzdienstleistungen auch bei erheblichen Betriebsstörungen gewährleistet.

Was sind die 5 Anforderungen von DORA?

DORAs umfassender Rahmen zur Stärkung der Cybersicherheit und der operativen Resilienz des EU-Finanzsektors gliedert sich in fünf Kernanforderungen:

1. IKT-Risikomanagement

DORA verlangt von Finanzunternehmen, dass sie über ein robustes IKT-Risikomanagement-Framework mit Strategien, Richtlinien und Verfahren zum Schutz von Informationen, Software und physischen Assets verfügen. Darüber hinaus müssen Unternehmen die Auswirkung von Vorfällen auf Geschäftsabläufe analysieren, Reaktions- und Wiederherstellungspläne erstellen und diese regelmäßig testen. Sie müssen außerdem Schulungen zur Steigerung des Sicherheitsbewusstseins implementieren.

2. Management, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen

Unternehmen müssen in der Lage sein, IKT-bezogene Vorfälle und Cyberbedrohungen schnell zu klassifizieren, zu beheben und den Aufsichtsbehörden und betroffenen Parteien zu melden. Vorfälle müssen innerhalb von vier Stunden nach Bekanntwerden gemeldet werden; ein ausführlicherer Bericht muss innerhalb einer Woche erfolgen. Dies erfordert, dass Unternehmen über solide Reaktionspläne und -prozesse zur Ursachenanalyse verfügen.

3. Digitale Tests zur Betriebsstabilität

DORA verlangt von Unternehmen, ihre IKT-Systeme und -Infrastrukturen regelmäßig zu testen, um Schwachstellen und die Wirksamkeit von Schutzmaßnahmen zu bewerten. Dazu gehören jährliche Basistests und alle drei Jahre umfassendere bedrohungsorientierte Penetrationstests, um Lücken und Schwächen in der Resilienz des Unternehmens zu identifizieren.

4. IKT-Risikomanagement für Drittparteien

DORA verpflichtet Unternehmen, IKT-Risiken, die von externen Dienstleistern ausgehen, aktiv zu managen, einschließlich Due-Diligence-Prüfungen und Audits. Verträge mit Drittanbietern müssen Bestimmungen zu Sicherheit, Vorfallsberichterstattung und Ausstiegsstrategien enthalten. Unternehmen sind auch dafür verantwortlich, dass Drittanbieter die Anforderungen von DORA erfüllen.

5. Informationsaustausch

Um das kollektive Bewusstsein zu stärken und Best Practices für die Prävention und Reaktion auf Cyberbedrohungen zu entwickeln, werden Unternehmen ermutigt, sich an einem freiwilligen Informationsaustausch über Cyberbedrohungen mit anderen Finanzinstituten zu beteiligen. Die Weitergabe von Informationen muss den Datenschutzbestimmungen entsprechen und die Offenlegung sensibler Kundeninformationen vermeiden.

Durch die Umsetzung dieser fünf Anforderungen können Finanzunternehmen in der EU ihre allgemeine digitale Betriebsstabilität stärken und schwerwiegenden IKT-bedingten Störungen besser standhalten bzw. sich davon erholen.

Welche Unternehmen sind von DORA betroffen?

Der Anwendungsbereich von DORA ist breit gefächert und deckt ein breites Spektrum an Finanzinstituten und -dienstleistungen in der EU ab. Zu den primär von DORA betroffenen Unternehmen gehören:

Traditionelle Finanzinstitute

  • Kreditinstitute (Banken)
  • Zahlungsinstitute
  • E-Geld-Institute
  • Investmentfirmen
  • Versicherungen
  • Ratingagenturen

Diese traditionellen Akteure des Finanzsektors sind DORAs Hauptziel, da sie für wichtige Finanzdienstleistungen verantwortlich sind und große Mengen vertraulicher Kundendaten besitzen.

 

Neue Finanzinstitute

  • Anbieter von Crypto-Asset-Diensten (CASPs)
  • Crowdfunding-Dienstleister
  • Manager alternativer Investmentfonds (AIFMs)
  • UCITS-Verwaltungsgesellschaften

DORA deckt auch neuere Finanzmarktteilnehmer ab und erkennt damit deren wachsende Rolle bei der Bereitstellung von Dienstleistungen sowie die Notwendigkeit an, auch deren operative Resilienz sicherzustellen.

 

Systemrelevante Drittanbieter

  • Cloud-Computing-Anbieter
  • Betreiber von Rechenzentren
  • Softwareanbieter
  • Datenanalyseunternehmen

DORA umfasst wichtige externe IKT-Dienstleister, die den Betrieb von Finanzunternehmen unterstützen. Diese Anbieter gelten als systemrelevant und müssen auch die Anforderungen von DORA erfüllen.

DORAs internationale Reichweite

DORA ist breit gefächert und deckt ein breites Spektrum an Finanzinstituten und Dienstleistern in der EU ab. Der volle Anwendungsbereich geht jedoch über in der EU ansässige Institutionen hinaus – DORA deckt auch Finanzunternehmen außerhalb der EU ab, die auf europäischen Märkten tätig sind. Das bedeutet, dass eine Organisation auch dann den DORA-Vorschriften unterliegt, wenn sie ihren Hauptsitz außerhalb der EU hat, aber innerhalb der EU präsent ist oder Dienstleistungen erbringt.

DORAs breite Reichweite ist beabsichtigt, da die allgemeine operative Resilienz des gesamten europäischen Finanzsektors verbessert werden soll. Durch die Einbeziehung traditioneller Banken, aufstrebender Fintech-Akteure und wichtiger externer Dienstleister versucht DORA, systemische Risiken zu mindern, die durch Störungen oder Cybervorfälle in jedem Teil des Finanzökosystems entstehen können.

Aktueller Status und Ausblick für DORA

Ab Frühjahr 2024 befindet sich der Digital Operational Resilience Act in der Umsetzungsphase, die ab dem Zeitpunkt seines Inkrafttretens zwei Jahre dauert. DORA tritt am 17. Januar 2025 in Kraft, und betroffene Unternehmen müssen bis zu diesem Datum die Anforderungen vollständig umgesetzt haben. Dies bedeutet, dass alle betroffenen Finanzunternehmen auf den EU-Märkten und ihre kritischen IKT-Anbieter darauf vorbereitet sein müssen, die Anforderungen der DORA-Richtlinie bis Januar 2025 vollständig zu erfüllen. Die Frist zur Umsetzung der DORA-Anforderungen endet am 17. Januar 2025. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Systeme und Prozesse entsprechend anzupassen.

Während die europäischen Regulierungsbehörden noch dabei sind, spezifische technische Details zu finalisieren, sind der Gesamtumfang und die Anforderungen von DORA jetzt klar. Im Januar 2024 veröffentlichten die europäischen Aufsichtsbehörden (ESAs) die ersten Anforderungen im Rahmen von DORA für das IKT- und Drittanbieter-Risikomanagement sowie die Klassifizierung von Vorfällen. Im Juli 2024 folgte die zweite Tranche der technischen Regulierungs- und Implementierungsstandards, die Finanzinstituten und ihren Dienstleistern präzisierende Einblicke und weitere Umsetzungshinweise bieten.

Wie wird DORA durchgesetzt?

Nach einer zweijährigen Übergangsfrist ist der Digital Operational Resilience Act ab Januar 2025 vollständig durchsetzbar. Die jeweiligen Regulierungsbehörden in jedem EU-Mitgliedstaat sind dafür zuständig, die Anforderungen von DORA durchzusetzen. In Deutschland übernimmt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine zentrale Rolle bei der Überwachung der Einhaltung der DORA-Anforderungen. Diese Behörden sind befugt, die Einhaltung der Vorschriftendes DORA-Gesetzes  zu überwachen und Strafen gegen Finanzunternehmen zu verhängen, die die Standards der Verordnung nicht einhalten. Die BaFin hat im Juli 2024 Umsetzungshinweise zu DORA veröffentlicht, die Banken und Versicherern bei der Implementierung der Anforderungen unterstützen sollen. Zudem plant die BaFin, bestehende Rundschreiben wie BAIT und VAIT aufzuheben, da DORA ab Januar 2025 direkt anwendbar ist. Unternehmen sollten sich auf mögliche Prüfungen und Kontrollen durch die Aufsichtsbehörden vorbereiten.

Zu den entscheidenden Aspekten der Durchsetzungsstandards von DORA gehören:

  • Regulierungsaufsicht: Die Aufsichtsbehörden überwachen die Einhaltung der DORA-Anforderungen durch Finanzinstitute, einschließlich IKT-Risikomanagement, Vorfallberichterstattung, Resilienzstests und Risikomanagementpraktiken Dritter. Die nationalen Aufsichtsbehörden, wie die BaFin, sind befugt, die Einhaltung der DORA-Anforderungen zu überwachen und bei Verstößen Sanktionen zu verhängen.
  • Strafen bei Nichteinhaltung: Die Behörden können Finanzinstituten, die DORA-Standards nicht einhalten, erhebliche Strafen auferlegen. Diese Strafen können Verwaltungsstrafen von bis zu 1 % des gesamten Jahresumsatzes des Unternehmens sowie andere Maßnahmen wie öffentliche Rügen oder sogar den Entzug der Betriebsgenehmigung des Unternehmens umfassen.
  • Anleitung und Koordinierung: Regulierungsbehörden stellen jedoch auch Leitlinien und Best Practices bereit, um Finanzunternehmen bei der Einhaltung von DORA zu unterstützen. In der gesamten EU sollen einheitliche Aufsichtspraktiken gelten, um gleiche Wettbewerbsbedingungen zu gewährleisten.
  • Aufsicht über kritische Dritte: DORA führt einen neuen Rahmen für die Überwachung kritischer IKT-Drittanbieter ein, die den Finanzsektor unterstützen. Diese Anbieter werden der direkten Aufsicht der ESAs unterliegen, um die Risiken zu bewältigen, die sie für Finanzunternehmen darstellen.

Durch die Ermächtigung der Regulierungsbehörden, die Einhaltung genau zu überwachen und erhebliche Strafen zu verhängen, möchte DORA sicherstellen, dass Finanzinstitute in der EU alle notwendigen Schritte unternehmen, um die Regulierungsstandards von DORA einzuhalten.

Vor welchen Herausforderungen stehen Unternehmen auf dem Weg zu DORA-Compliance?

Während Finanzunternehmen auf die Einhaltung des Digital Operational Resilience Act hinarbeiten, stehen sie bei der Einhaltung der DORA-Standards vor mehreren wichtigen Herausforderungen und Hürden.

Komplexität der regulatorischen Anforderungen

Aufgrund ihrer Komplexität kann die Interpretation und das Verständnis der vielen DORA-Vorschriften eine Herausforderung darstellen. Unternehmen müssen viel Zeit und Ressourcen investieren, um die Anforderungen der Verordnung umfassend zu verstehen und maßgeschneiderte Compliance-Lösungen zu entwickeln.

Eingeschränkte Ressourcen

Viele Unternehmen sind mit Einschränkungen hinsichtlich Budget, Personal und technischem Fachwissen konfrontiert, die für die Umsetzung der von DORA geforderten strengen Compliance-Maßnahmen des DORA-Gesetzes erforderlich sind. Dazu gehören die Durchführung gründlicher Risikobewertungen, Investitionen in fortschrittliche Cybersicherheitslösungen und die Aktualisierung bestehender IT-Systeme.

Veraltete IT-Systeme

Veraltete Infrastrukturen und Legacy-Systeme in Finanzinstituten verfügen möglicherweise nicht über alle erforderlichen Funktionen und Sicherheitsmaßnahmen, um die Anforderungen von DORA zu erfüllen. Die Aktualisierung oder der Austausch dieser Systeme kann ein kostspieliges und komplexes Unterfangen sein.

Neue Cyberbedrohungen

Die dynamische und komplexe Natur von Cyberbedrohungen stellt für Unternehmen, die die Einhaltung gesetzlicher Vorschriften gewährleisten wollen, eine ständige Herausforderung dar. Um mit der sich entwickelnden Bedrohungslandschaft Schritt zu halten, ist eine kontinuierliche Überwachung, Bewertung und Verbesserung der Sicherheitsmaßnahmen erforderlich.

Risikomanagement für Drittanbieter

DORA legt großen Wert auf die Verwaltung der IKT-Risiken, die von externen Dienstleistern ausgehen. Finanzinstitute müssen für ihr umfangreiches Lieferantennetzwerk robuste Kontroll- und Due-Diligence-Prozesse etablieren, was komplex und ressourcenintensiv sein kann. Viele Unternehmen haben bereits Vorarbeiten zur DORA-Compliance geleistet, insbesondere im Bereich des IKT-Drittparteienrisikomanagements. Dennoch erfordert DORA eine Erweiterung des Anwendungsbereichs auf alle IKT-Drittdienstleister, die kritische oder wichtige Funktionen unterstützen.

Resilienztests

Das regelmäßige Testen der digitalen Betriebsstabilität von Finanzinstituten, wie von DORA gefordert, kann eine Herausforderung sein. Organisationen müssen einen strategischen und koordinierten Ansatz für Schwachstellenbewertungen, Penetrationstests und andere Resilienztests entwickeln, um eine umfassende Abdeckung ihrer kritischen Funktionen sicherzustellen.

Förderung einer Compliance-Kultur

Für eine effektive DORA-Compliance ist es entscheidend, unternehmensweit eine Kultur des Risikobewusstseins, der Verantwortlichkeit und der kontinuierlichen Verbesserung zu etablieren. Die Überwindung isolierter Denkweisen und die Abstimmung verschiedener Teams wie IT, Compliance, Rechtsabteilung und Risikomanagement kann eine große Herausforderung darstellen.

Um diese Hürden zu meistern, müssen Finanzunternehmen einen proaktiven und kooperativen Ansatz verfolgen und bei Bedarf externes Fachwissen und Lösungen zu Rate ziehen. Um die Anforderungen von DORA erfolgreich zu erfüllen, sind eine sorgfältige Planung, eine strategische Ressourcenzuweisung und das Engagement für die Verbesserung der digitalen Betriebsstabilität von entscheidender Bedeutung.

DORA und Finanzdienstleistungen

Der Finanzdienstleistungssektor wurde als Hauptziel für Cyberbedrohungen identifiziert, was die dringende Notwendigkeit robuster Maßnahmen zur operativen Resilienz unterstreicht.

Erweiterter Geltungsbereich: DORA betrifft aber nicht nur traditionelle Finanzinstitute, sondern auch Anbieter von Krypto-Dienstleistungen, Crowdfunding-Dienstleister und andere neue Marktteilnehmer. Dies unterstreicht die Notwendigkeit einer umfassenden Compliance-Strategie.

Nach Angaben des Internationalen Währungsfonds (IWF) ergab seine Umfrage, dass der Finanzsektor aufgrund einer schwachen Cyberabwehr besonders anfällig ist.

Diese Einschätzung wird von der Bank of England bestätigt, deren jüngste Umfrage zu systemischen Risiken ergab, dass 74 % der Befragten Cyberangriffe als das größte Risiko für den Finanzsektor ansehen.

Frameworks wie DORA sind von entscheidender Bedeutung, wenn es darum geht, dass Finanzinstitute und ihre angeschlossene Lieferanten, wie z. B. IKT-Anbieter, verstehen, wie sie diese sich entwickelnden Cyberrisiken effektiv bewältigen können. Aktuelle Branchenstudien verdeutlichen die erheblichen Cyberbedrohungen, denen der Finanzsektor ausgesetzt ist:

Diese alarmierenden Statistiken unterstreichen die dringende Notwendigkeit für Finanzinstitute, ihre Cybersicherheitslage und operative Resilienz im Einklang mit Vorschriften wie DORA zu stärken.

DORA und IKT-Anbieter

Der Digital Operational Resilience Act legt großen Wert auf das Risikomanagement Dritter und erkennt die wichtige Rolle an, die IKT-Anbieter bei der Unterstützung des Finanzdienstleistungssektors spielen. DORA führt einen neuen Rahmen für die Überwachung kritischer IKT-Drittanbieter ein, die den Finanzsektor unterstützen. Diese Anbieter werden der direkten Aufsicht der ESAs unterliegen, um die Risiken zu bewältigen, die sie für Finanzunternehmen darstellen.

Branchenstudien verdeutlichen die wachsende Bedrohung durch Lieferkettenangriffe, die auf den Finanzsektor abzielen. Laut dem bereits erwähnten Verizon 2022 Data Breach Investigations Report war die Finanzbranche das zweitbeliebteste Ziel dieser Art von Angriffen. DORA will diese Schwachstelle beheben, indem es umfassende Anforderungen an Finanzunternehmen zur Bewältigung der von Drittanbietern ausgehenden IKT-Risiken festlegt.

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat über eine zunehmende Raffinesse und ein zunehmendes Volumen von Angriffen auf die Lieferkette berichtet, wobei Bedrohungsakteure insbesondere die Technologielieferkette ins Visier nehmen, um Daten und finanzielle Assets zu stehlen. Die Bestimmungen von DORA für das Risikomanagement Dritter werden die Anforderungen unter Verwendung bestehender Rahmenwerke wie der Outsourcing-Richtlinien der European Banking Authority (EBA).

Jeder von einer Europäischen Aufsichtsbehörden (ESAs) als „kritisch“ eingestufte IKT-Anbieter unterliegt einem strengen Aufsichtsrahmen. Diese verschärfte Kontrolle stellt sicher, dass diese systemrelevanten Technologieanbieter robuste Sicherheitsmaßnahmen implementieren und die Anforderungen von DORA einhalten.

Finanzinstitute greifen zunehmend auf Zero-Trust-Lösungen zurück, um Risiken Dritter effektiv zu verwalten. Diese Technologien sorgen für eine verbesserte Sichtbarkeit im gesamten erweiterten Lieferantennetzwerk, einschließlich IKT-Anbietern. Durch die Durchsetzung von Sicherheitsmaßnahmen wie Least-Privilege-Zugriff und proaktiver Kontrolle sensibler Bereiche und Daten trägt Zero Trust dazu bei, Datenverletzungen zu verhindern und die Auswirkungen von Ransomware und anderen Cyberbedrohungen abzuschwächen.

So bereiten Sie sich auf DORA-Compliance vor

Da der Digital Operational Resilience Act im Januar 2025 in Kraft tritt, müssen Finanzinstitute proaktiv Maßnahmen ergreifen, um sicherzustellen, dass sie auf die Anforderungen der Verordnung vorbereitet sind. Hier sind einige hilfreiche Tipps zur proaktiven Vorbereitung auf DORA-Compliance:

DORA im Detail verstehen

  • Machen Sie sich gründlich mit der DORA-Verordnung, ihren spezifischen Anforderungen und ihrer Anwendbarkeit auf Ihre Organisation vertraut.
  • Erwägen Sie die Teilnahme an einer speziellen Schulung, beispielsweise der Ausbildung zum DORA Certified Compliance Specialist, um Ihr Wissen über die Verordnung zu vertiefen.

Cyberrisiken einschätzen

  • Führen Sie eine umfassende Bewertung der Cyberrisiken in Ihrem Unternehmen und der erweiterten Lieferkette durch.
  • Nutzen Sie Lösungen zur Risikobewertung, um potenzielle Schwachstellen zu identifizieren und zu bewerten.

Wahren Sie die Verhältnismäßigkeit

  • Stellen Sie sicher, dass Ihr Ansatz zur DORA-Compliance das Ausmaß, die Komplexität und die Bedeutung Ihrer IKT-bezogenen Abhängigkeiten und Risiken berücksichtigt.
  • Treffen Sie fundierte Entscheidungen zum Risikomanagement, die den Anforderungen der Verordnung entsprechen.

Beziehen Sie funktionsübergreifende Teams ein

  • Binden Sie mehrere Teams, darunter IT-Sicherheit, Rechtsabteilung, Compliance, Risikomanagement und Führungskräfte, in den DORA-Compliance-Prozess ein.
  • Stellen Sie einen ganzheitlichen, organisationsweiten Ansatz zur Erfüllung der DORA-Anforderungen sicher.

Stärken Sie Ihre Führungskräfte

  • Stellen Sie sicher, dass die Geschäftsleitung die DORA-Implementierung leitet und eine angemessene Schulung erhält.
  • Sichern Sie sich die Zustimmung und Unterstützung des Vorstands für notwendige DORA-bezogene Änderungen.

Pläne regelmäßig überprüfen und aktualisieren

  • Überprüfen und aktualisieren Sie Ihre Strategie zur digitalen Betriebsstabilität und Ihre Richtlinien zum IKT-Risikomanagement von Drittanbietern kontinuierlich, um ihre DORA-Compliance zu wahren.
  • Bleiben Sie flexibel, um bei sich ändernden Vorschriften und Bedrohungen die notwendigen Anpassungen vorzunehmen.

Priorisierung von Abhilfemaßnahmen

  • Entwickeln Sie einen unkomplizierten Prozess zur Priorisierung und Behebung operativer Schwachstellen, die durch DORA-bezogene Prüfungen identifiziert wurden.
  • Konzentrieren Sie sich zunächst auf die kritischsten Bereiche, um die Risiken mit der höchsten Priorität zu mindern.

Legen Sie nachweisbare Belege vor

  • Sie müssen in der Lage sein, den Aufsichtsbehörden den Nachweis zu erbringen, dass Ihr Unternehmen sowohl gegenüber unternehmensspezifischen als auch gegenüber umfassenderen branchenbezogenen Bedrohungen widerstandsfähig ist.
  • Führen Sie eine umfassende Dokumentation, um Ihre Bemühungen zur Einhaltung des DORA-Gesetzes nachweisen zu können.

Faktor externes Umfeld

  • Überwachen Sie regelmäßig die externe Bedrohungslandschaft und integrieren Sie diese Informationen in Ihre allgemeine Strategie zur operativen Resilienz.
  • Bleiben Sie über potenzielle Risiken informiert und ergreifen Sie proaktiv Maßnahmen, um diese zu mindern.

Kritische Funktionen identifizieren

  • Identifizieren Sie gemäß den DORA-Anforderungen eindeutig die kritischen oder wichtigen Funktionen (CIFs) in Ihrer Organisation.
  • Stellen Sie sicher, dass diese CIFs der Mittelpunkt für den Aufbau einer robusten Betriebsstabilität sind.

Indem sie diese umfassenden Tipps befolgen, können sich Finanzinstitute besser auf die bevorstehenden DORA-Compliance-Anforderungen vorbereiten und ihre digitale Betriebsstabilität insgesamt stärken.

So kann Proofpoint helfen

Proofpoint bietet eine Reihe von Lösungen und Fachwissen, die Organisationen im Finanzsektor dabei helfen können, die Anforderungen des Digital Operational Resilience Act effektiv zu erfüllen. Die Angebote von Proofpoint können die allgemeine Cybersicherheitsresilienz und die Reaktionsfähigkeit eines Unternehmens auf Vorfälle verbessern. Durch die Bereitstellung fortschrittlicher Tools zur Bedrohungserkennung, -prävention und -reaktion ermöglicht Proofpoint Unternehmen einen besseren Schutz vor externen Cyberbedrohungen, Insiderrisiken und Schwachstellen in der Lieferkette – alles kritische Komponenten der DORA- und NIS 2-Richtlinie zur Compliance von Netzwerken und Informationssystemen.

Wie diese Vorschriften fordern, erleichtert Proofpoint auch den Austausch von Informationen und Bedrohungsinformationen. Die Threat-Intelligence-Dienste und sicheren Kollaborationsplattformen von Proofpoint helfen Unternehmen dabei, über die neuesten Cyberbedrohungen auf dem Laufenden zu bleiben und ihre Bemühungen mit relevanten Interessengruppen und Behörden zu koordinieren. Von der Durchführung von Risikobewertungen und Lückenanalysen bis hin zur Entwicklung maßgeschneiderter Compliance-Strategien: Proofpoint kann Unternehmen dabei unterstützen, ihre aktuellen Fähigkeiten zu verstehen, Bereiche mit Verbesserungspotenzial zu identifizieren und notwendige Kontrollen und Prozesse zu implementieren.

Darüber hinaus ermöglichen die Lösungen von Proofpoint auch eine kontinuierliche Compliance-Überwachung und Berichterstattung. Unternehmen können die Tools von Proofpoint nutzen, um ihre Sicherheitslage regelmäßig zu bewerten, Schwachstellen zu identifizieren und die erforderliche Dokumentation zu erstellen, um gegenüber Aufsichtsbehörden ihre Einhaltung der DORA- und NIS 2-Anforderungen nachzuweisen.

Durch eine Partnerschaft mit Proofpoint können Finanzinstitute und andere Anbieter kritischer Infrastrukturen ihre digitale Betriebsstabilität insgesamt stärken und die strengen Cybersicherheitsstandards erfüllen, die in diesen wegweisenden europäischen Vorschriften festgelegt sind. Weitere Informationen erhalten Sie direkt bei Proofpoint.

Möchten Sie Proofpoint ausprobieren?

Starten Sie Ihre kostenlose Proofpoint Testphase.