5 Eckpunkte des Digital Operational Resilience Acts (DORA)

Was Finanzinstitute jetzt wissen müssen

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Angesichts fortschreitender Digitalisierung und ständig wachsender Bedrohung durch Cyberkriminalität wird operative Resilienz immer wichtiger. Ein Whitepaper zeigt die Bedeutung von fünf Eckpunkten des Digital Operational Resilience Acts (DORA).

Aktuelle Trends, Studien und Research zu Aufsicht, Regulierung und Compliance

Aufsichtsrechtliche Anforderungen, Regulierung und Compliance werden von den meisten Banken und Sparkassen als Last empfunden. Dabei sichern diese die Sicherheit und damit die Existenz unseres modernen Bankensystems und ermöglichen, richtig genutzt, auch Chancen im Kundengeschäft. Im Bank Blog finden Sie aktuelle Studien zu Trends und Entwicklungen in diesem Bereich.

Partner des Bank Blogs

Deloitte ist Partner des Bank Blogs

Der Digital Operational Resilience Act (DORA) der EU stellt einen wichtigen nächsten Schritt in der Regulierung der Finanzdienstleistungsbranche dar. Der Termin für die Umsetzung rückt unaufhaltsam näher. Ab 17. Januar 2025 muss DORA von allen Finanzdienstleistern in der EU umgesetzt werden. Die Vorbereitungen und Maßnahmen müssten also längst begonnen haben.

Klar ist: Die Stärkung der operativen Resilienz innerhalb des Finanzdienstleistungssektors ist ein notwendiges und lobenswertes Ziel. Dessen Erreichung wird allerdings nicht ohne erheblichen Aufwand an Kosten und Ressourcen gelingen.

Fünf Eckpunkte von DORA

In einem Whitepaper von Cloud Pure Storage wird gezeigt, was Dora für das Datenmanagement und die Datensicherheit bedeutet. Dabei werden die folgenden fünf Eckpunkte von DORA identifiziert:

  1. Fünf Säulen von DORA,
  2. Auswirkungen auf das gesamte Ökosystem,
  3. Harmonisierung und Ausweitung bestehender Vorschriften,
  4. Unternehmensweite Auswirkungen,
  5. Vorbereitung auf die Einhaltung von DORA.

1. Fünf Säulen von DORA

DORA könnte die weitreichendste Verordnung sein, die jemals erlassen wurde. Zu den fünf Säulen gehören:

  • Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT),
  • Berichterstattung über sicherheitsrelevante Vorfälle,
  • Prüfung der digitalen operativen Resilienz,
  • Risikomanagement für Drittparteien,
  • Gemeinsame Nutzung von Informationen.

2. Auswirkungen auf das gesamte Ökosystem

Die Breite und Tiefe von DORA ist beispiellos. Das Gesetz gilt für Banken, Versicherungen, Wertpapierfirmen und andere Finanzinstitute, aber auch für kritische Drittparteien. Damit soll sichergestellt werden, dass Risiken, die sich aus der zunehmenden Abhängigkeit von Unternehmen ergeben, die Dienstleistungen und Support anbieten, wie z. B. Cloud-Service-Provider, ISVs und Zahlungsabwickler, direkt auf der Ebene des Service-Providers und nicht auf der Ebene der einzelnen Unternehmen behandelt werden.

3. Harmonisierung und Ausweitung bestehender Vorschriften

Das erste Ziel von DORA ist die Harmonisierung der bestehenden Vorschriften in der EU. Es geht aber darüber hinaus und erweitert den Regelungsbereich und die Anforderungen drastisch. So führt DORA beispielsweise strengere Meldepflichten für Cybersicherheitsvorfälle ein und schreibt strenge Fristen für die Meldung vor.

4. Unternehmensweite Auswirkungen

Im Gegensatz zu früheren Ansätzen im Bereich der Cybersicherheit ist die Einhaltung von DORA nicht nur eine Frage der IT. Die Unternehmen müssen einen unternehmensweiten Ansatz verfolgen und von Anfang an andere Bereiche, wie die Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und die IT-Abteilung einbeziehen.

5. Vorbereitung auf die Einhaltung von DORA

Die Durchsetzung von DORA ist für Januar 2025 geplant, daher müssen Finanzdienstleister daran arbeiten, einen reibungslosen Übergang zu gewährleisten. Es ist wichtig, dass die Unternehmen jetzt handeln, damit sie die notwendigen Änderungen rechtzeitig umsetzen können.

Die wichtigsten To-Dos für Finanzinstitute

DORA erfordert eine umfassendere Sichtweise. Die neuen Regelungen für operative Resilienz erlegen den Instituten eine breite Palette neuer Anforderungen auf. Der erweiterte Geltungsbereich bedeutet, dass mehr Bereiche in die Formulierung und Durchführung von Maßnahmen zur Verbesserung der Resilienz einbezogen werden müssen.

Mit Blick auf die künftigen Anforderungen ist es sinnvoll, ein Instrumentarium und geeignete Verfahren zu entwerfen und aufzubauen, die alle relevanten Parteien einbeziehen. Ein Schwerpunkt sollte dabei auf den neu einzubeziehenden Bereichen liegen. Bestehende Messgrößen müssen unter Umständen entweder verworfen oder grundlegend überarbeitet werden, um Prozesse und Leistung mit den neuen Anforderungen in Einklang zu bringen.

Im Mittelpunkt der neuen Resilienz-Bemühungen steht die Cybersicherheit, wobei der Schwerpunkt auf der Sensibilisierung und der Vorbereitung auf Ransomware-Angriffe sowie auf der rechtzeitigen und gründlichen Meldung von Vorfällen liegt. Unternehmen müssen über Pläne zur Aufrechterhaltung und Wiederherstellung kritischer Geschäftsprozesse sowie über einen Einblick in ihre Datenpipelines und wichtigen Arbeitsabläufe verfügen, um Anomalien zu erkennen und die Vorbeugung und Eindämmung von Sicherheitsvorfällen zu verbessern.

Daten sind das Herzstück eines jeden Unternehmens. Eine hilfreiche Methode zur Bewältigung einer neuen Herausforderung besteht darin, sie in ihre Bestandteile zu zerlegen, um nicht von der Komplexität überwältigt zu werden. Im Falle von DORA Regelungen sind Daten der gemeinsame Nenner. Daten sind das ultimative Ziel der meisten Angreifer und das grundlegende Element, das für die Gewährleistung der Widerstandsfähigkeit erforderlich ist, insbesondere in Bezug auf das IKT-Risikomanagement. Die Verwaltung, die Zugänglichkeit und der Schutz von Daten müssen im Mittelpunkt eines jeden Plans stehen.

Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.

Sie sind bereits Abonnent? Hier geht es zum Login
 

Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.

>>> Hier anmelden <<<

Neu: Tagespass Studien
Sie wollen direkten Zugriff auf einzelne Studien, aber nicht gleich ein Premium-Abonnement abschließen? Dann ist der neue Tagespass Studien genau das richtige für Sie. Mit ihm erhalten Sie für 24 Stunden direkten Zugriff auf sämtliche Studienquellen.

>>> Tagespass Studien kaufen <<<


Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.

Über den Autor

Dr. Hansjörg Leichsenring

Dr. Hansjörg Leichsenring ist Herausgeber des Bank Blogs und der Finanzbranche seit über 30 Jahren beruflich verbunden. Nach Banklehre und Studium arbeitete er in verschiedenen Positionen, u.a. als Direktor bei der Deutschen Bank, als Vorstand einer Sparkasse und als Geschäftsführer eines Online Brokers. Als Experte für Strategien in den Bereichen Digitalisierung, Innovation und Vertrieb ist er gefragter Referent und Moderator bei internen und externen Veranstaltungen im In- und Ausland.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren