Digital Operational Resilience Act (DORA) – Das Wichtigste auf einen Blick

Ich lebe in Schweden, wo höchstens 10 % aller Einkäufe mit Bargeld getätigt werden. Nur wenige Menschen haben regelmäßig Bargeld dabei, und nur wenige Geschäfte nehmen es an. Das bedeutet, dass ich ohne Handy oder Internetverbindung nicht einmal einen Kaffee bezahlen kann. Umfragen zufolge bevorzugt mindestens die Hälfte der Europäer diese Art von Transaktionen. Hier haben wir sogar unsere Pässe auf dem Handy! In Zukunft wird unsere kollektive Abhängigkeit von der digitalen Infrastruktur im Alltag nur noch weiter zunehmen.

Die zunehmende Digitalisierung stellt den Finanzsektor vor beispiellose Herausforderungen und Chancen. Die zunehmende Nutzung digitaler Technologien hat zu großen Fortschritten im Finanzdienstleistungssektor geführt, die Institute aber auch einer stetig wachsenden Zahl von Cyberbedrohungen und operativen Risiken ausgesetzt. In Anerkennung der entscheidenden Rolle der digitalen Infrastruktur im Alltag der EU-Bürger hat die Europäische Union die Verordnung über die digitale Betriebsstabilität (DORA) erlassen. Dadurch soll ein Rechtsrahmen geschaffen werden, der sicherstellt, dass Finanzinstitute einer Vielzahl von Betriebsstörungen standhalten, darauf reagieren und ihre Systeme wiederherstellen können, um so die Stabilität und Integrität des Finanzsystems zu wahren. In diesem Blogbeitrag untersuchen wir die wichtigsten Aspekte von DORA, die Kernanforderungen für Unternehmen und die praktischen Schritte zur Einhaltung der Vorschriften im Vorfeld ihres Inkrafttretens am 17. Januar 2025.

Wer ist von DORA betroffen?

DORA gilt für alle Finanzinstitute in der Europäischen Union. Dazu zählen traditionelle und nicht-traditionelle Finanzunternehmen sowie unterstützende Dienstleistungs- und Infrastrukturanbieter. Zu den betroffenen Unternehmen gehören:

1. Banken und Kreditinstitute: Herkömmliche und digitale Banken.
2. Investmentfirmen: Unternehmen, die im Handel, in der Vermögensverwaltung und in der Beratung tätig sind.
3. Versicherungs- und Rückversicherungsunternehmen: Unternehmen, die verschiedene Versicherungsprodukte und -dienstleistungen anbieten.
4. Zahlungsdienstleister: Unternehmen, die digitale Zahlungen ermöglichen, einschließlich E-Geld-Institute.
5. Anbieter von Krypto-Asset-Services: Unternehmen, die mit Kryptowährungen und digitalen Vermögenswerten handeln.
6. Marktinfrastrukturen: Einrichtungen wie Börsen und Clearinghäuser.
7. Kritische Informationsdienste von Drittanbietern: Einschließlich Anbieter von Kreditbewertungsdiensten und Datenanalysen.
8. Drittanbieter von IKT-Diensten: Unternehmen, die Finanzinstituten wichtige Technologiedienste wie Cloud Computing und Datenanalyse anbieten.

Erwähnenswert ist, dass DORA auch für einige Drittanbieter gilt, die für den Betrieb der betroffenen Unternehmen von entscheidender Bedeutung sind. Obwohl diese Unternehmen traditionell keinen Finanzvorschriften unterliegen, wird dadurch die vernetzte Natur der heutigen Finanzinfrastruktur deutlich.

Wichtige Anforderungen für Unternehmen

DORA legt umfassende Anforderungen fest, um sicherzustellen, dass Finanzunternehmen Betriebsstörungen standhalten, darauf reagieren und ihre Systeme wiederherstellen können. Diese Anforderungen sind in fünf Kategorien unterteilt. Zu den wichtigsten Anforderungen gehören:

1. IKT-Risikomanagement: Etablierung robuster interner Prozesse zur Erkennung, Bewertung und Bewältigung von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie.
2. Vorfallsmeldung: Implementierung von Verfahren zur zeitnahen und effizienten Meldung bedeutender IKT-bezogener Vorfälle an die zuständigen Behörden.
3. Digitale Resilienztests: Regelmäßige Tests der IKT-Systeme, um ihre Widerstandsfähigkeit gegenüber potenziellen Bedrohungen und Schwachstellen zu bewerten.
4. Informationsaustausch: Förderung des Austauschs von Informationen und Erkenntnissen zu Cyberbedrohungen zwischen Finanzinstituten, um kollektive Abwehrmechanismen zu stärken.
5. Verwaltung von Drittanbieter-Risiken: Sicherstellen, dass Drittanbieter die DORA-Standards einhalten, einschließlich vertraglicher Vereinbarungen, die die Einhaltung dieser Anforderungen vorschreiben.

Wo setzen Unternehmen am besten an?

Für Finanzinstitute, die Maßnahmen zur Einhaltung der DORA-Vorschriften ergreifen müssen oder wollen, sind folgende Schritte von entscheidender Bedeutung:

1. Lückenanalyse: Bewerten Sie die aktuellen Maßnahmen zur Bewältigung von IKT-Risiken anhand der DORA-Anforderungen, um Lücken und Bereiche zu identifizieren, in denen Verbesserungsbedarf besteht.
2. Compliance-Roadmap: Erstellen Sie einen strategischen Plan, in dem die notwendigen Schritte, Zeitpläne und Ressourcen zur Erreichung der Compliance dargelegt werden.
3. Verbesserung der Mechanismen zur Meldung von Vorfällen: Implementieren oder aktualisieren Sie Systeme, um eine zeitnahe und genaue Meldung von IKT-bezogenen Vorfällen sicherzustellen.
4. Stärkung der Beziehungen zu Dritten: Arbeiten Sie eng mit Ihren externen IKT-Dienstleistern zusammen, um sicherzustellen, dass diese Sie im Bestreben unterstützen, die Compliance-Standards von DORA zu erfüllen.
5. Schulungen und Sensibilisierung: Berücksichtigen Sie Resilienz und das Verhalten im Notfall als Lerninhalte bei User-Schulungen.
6. Kontinuierliche Testzyklen: Testen Sie IKT-Systeme regelmäßig, um Schwachstellen zu identifizieren und die Resilienz gegen potenzielle Cyberbedrohungen und Ausfälle sicherzustellen.

Wie sorgt Zscaler für Abhilfe?

Die Zero Trust Exchange von Zscaler unterstützt Unternehmen auf dem Weg zur DORA-Compliance. Sie stellt eine solide, verteidigungsfähige Architektur auf Basis von Zero Trust-Prinzipien zum Schutz Ihrer User und Daten vor Cyberbedrohungen bereit. Unternehmen können so interne und externe User sicher mit den benötigten Anwendungen verbinden, ohne Über-Provisionierung. Darüber hinaus bietet Zscaler umfassende Resilienzfunktionen,um die Geschäftskontinuität bei Netzwerk- oder Cloud-Ausfällen sicherzustellen.

Wie geht es weiter?

Mithilfe der zukunftsfähigen Lösungen von Zscaler können Sie die Einhaltung der DORA-Verordnung gewährleisten, die digitale Betriebsstabilität verbessern und Ihr Unternehmen vor IKT-bezogenen Risiken schützen. Durch die Einführung eines proaktiven Ansatzes zur digitalen Betriebsstabilität können Finanzunternehmen die Komplexität von DORA bewältigen und ihre Geschäftstätigkeit in einer zunehmend digitalisierten Welt schützen. Zscaler ist bestrebt, unsere Kunden bei diesem Prozess zu unterstützen. Wenden Sie sich an Ihren zuständigen Zscaler-Vertreter und bitten Sie um ein Treffen mit einem Mitglied des CISO-Teams, um zu erfahren, wie wir Ihnen helfen können.