Ab 17.01.2025 wird die #DORA-Verordnung (Digital Operational Resilience Act) in der EU kontrolliert. Die Unternehmen im Finanzsektor und deren wichtige Drittdienstleister haben ab heute genau ein Jahr Zeit diese Verordnung umzusetzen
1. Quick Facts über DORA
#DORA ist eine Sicherheitsverordnung der europäischen Union um die digitale Finanzinfrastruktur zu stärken und abzusichern. Einer der Faktoren, gegen die, die IKT-Infrastruktur im Finanzbereich abgesichert werden soll sind Cyberangriffe (siehe #NIS2), jedoch verlässt sich #DORA nicht nur auf diesen einen Faktor. Für #DORA sind sämtliche Bedrohungen und Risiken für ein reibungsloses Funktionieren der IKT relevant.
Betroffen sind dabei, wie in der Einleitung erwähnt, nicht nur Finanzunternehmen (Banken, Versicherungen, Zahlungsdienstleister, Börsen, Kryptowährungsplätze, etc), sondern auch wichtigte Lieferanten und Dienstleister (z.B. Datenprovider oder Ratingagenturen) und auch Anbieter von Systemen und Technologien, die Finanzunternehmen benutzen (Cloudanbieter, Softwarehersteller, etc.)
Wichtig zu erwähnen ist weiters, dass Unternehmen, welche unter #DORA fallen, genauso von #NIS2 betroffen sind. Für diese gelten beide EU-Gesetze, wobei #DORA als ein Lex Spezialis zu #NIS2 gesehen wird.
2. DORA? Warum gibt es eigentlich DORA
Die Gründe für den Erlass der DORA-Verordnung sind vielfältig und neben der oben erwähnten Stärkung der digitalen Resilienz, was sowieso im Interessse der Finanzunternehmen ist, gibt es noch weitere Intentionen:
Aktuell gibt es fragmentierte und uneinheitliche Vorschriften und Maßnahmen für IKT-Sicherheit in den EU-Staaten und von den drei Aufsichtsbehörden im Finanzbereich (EBA, ESMA, EIOPA). IKT-Sicherheit wird mit DORA in allen EU-Staaten und von allen EU-Instituationen einheitlich bewertet und vorgeschrieben.
Durch einheitliche Vorschriften wird die Prüfung von Unternehmen erleichtert und ebenso haben transnational agierende Unternehmen geringere Aufwände sich an Gegebenheiten in den jeweiligen Staaten anzpassen.
Die Finanzmarkaufsichtsbehörden erhalten schnell und direkt Informationen über IKT-Vorfälle, da eine unverzögliche Meldepflicht für schwerwiegende Vorfälle gilt und kann bei Bedarf einschreiten
Die Aufsichtsbehörden erhalten das Recht einer indirekten Beaufsichtigung von Drittdienstleistern von Finanzunternehmen.
Förderung der Zusammenarbeit von Unternehmen untereinander und mit den Behörden im Hinblick auf IKT-Risiken.
3. Die DORA Roadmap
Was ist bisher geschehen und wie geht die DORA-Reise weiter?
16.01.2023
Die #DORA-Verordnung ist mit 16.01.2023 in Kraft getreten und Unternehmen haben 2 Jahre Zeit für eine rechtzeitige Umsetzung. Mit dem in Kraft treten der Verordnung hat die Europäische Kommission die drei Aufsichtsbehörden im Finanzbereich beauftragt Regulatory Technical Standards (RTS) und Implementation Technical Standards (ITS) zu entwickeln. Diese technischen Standards defineren im Detail wie Verordnungen ausgelegt werden müssen und legen diverse technische Standards wie etwa die Struktur von regelmäßigen Meldungen fest.
Mitte 2023
Im Juni 2023 haben die 3 ESAs die ersten fünf Konsultationspapiere für RTS & ITS in die öffentliche Begutachtung gegeben. Interessierte Unternehmen und Stakeholder konnten bis 11.09.2023 Feedback einmelden. (https://www.esma.europa.eu/press-news/consultations/consultation-first-batch-digital-operational-resilience-act-dora-policy)
Dezember 2023
Mit etwas Verspätung haben die 3 ESAs die restlichen sechs Konsultationspapiere am 8.12.2023 veröffentlicht (https://www.esma.europa.eu/press-news/consultations/esas-joint-consultation-second-batch-policy-mandates-under-digital) um zum Review freigegeben.
Jänner 2024
Die finalen Konsultationsentwürfe der ersten Tranche an RTS & ITS wurden der Europäischen Kommission zur Freigabe übermittelt.
08. März 2024
Bis zum 8.3.2024 kann noch Feedback für die zweite Tranche and ITS & RTS Papieren eingemeldet werden.
17. Juli 2024
Die finalen Konsultationsentwürfe der zweiten Tranche an RTS & ITS werden der Europäischen Kommission zur Freigabe übermittelt.
17. Jänner 2025
Die DORA Verordnung wird ab dem 17.01.2025 kontrolliert und sanktioniert.
4. DORA Anforderungen
Die #DORA-Verordnung lässt sicht aus unserer Sicht in 5 große Bereiche teilen, wobei zwei dieser Bereiche besonderes Augenmerk benötigen und auch in diesem Blogartikel detaillierter beschrieben werden.
IKT-Drittparteien Management
Das IKT-Drittparteien Management ist wohl der umfangreichste Bereich, der mit #DORA kontrolliert wird. Ähnlich wie in der #BAIT-Verordnung von 2020 in Deutschland ist ein Informationsregister über relvante Drittparteien zu erstellen und aktuell zu halten. Im #BAIT wird dieses Register "Outsourcingregister" genannt. Wobei die Anforderungen von #DORA die von #BAIT deutlich übertreffen.
Es muss einerseits analysiert werden welche Abhängigkeiten das eigene Unternehmen und die Prozesse zu den jeweiligen Dienstleistern hat und andererseits müssen Auswirkungen von Störungen beim Dienstleister in den eigenen Prozessen berücksichtigt werden und aufgenommen werden. Somit müssen auch Anküpfungspunkte im Krisenfall zwischen dem Drittdienstleister und dem eigenen Unternehmen definiert werden.
Für die kritischen Drittdienstleister müssen Exit Strategien vorbereitet und stets aktuell gehalten werden.
Vernachlässigen sie nicht, den Review der Verträge, denn diese benötigen gegebenenfalls einer Anpassung, was zu Verhandlungen mit den anderen Parteien führen wird.
All diese Informationen müssen im einem Informationsregister geführt und gewartet werden.
IKT-Risiko Management
Das klassische IKT-Risiko Management ist im Finanzsektor schon gut umgesetzt und viele Unternehmen setzen bereits auf den ISO 27001 Standard um hier ein umfassendes Risikomanagement einzusetzen.
DORA geht auch hier einen Schritt weiter und definiert klare Mindestmaßnahmen für ihr Unternehmen.
Die Geschäftsleitung spielt eine zentrale Rolle bei der Definition und der Umsetzung der IKT-Risiko-Strategie und ist wie bei NIS2 verantwortlich für Vorfälle im IKT-Bereich des Unternehmens. Das Top-Management muss eine "Programm zum Testen der operationalen Resilienz" aufsetzen und dieses regelmäßig durchführen lassen, sowie über deren Ergebnisse benachrichtigt werden. Hierunter versteht man Mindeststandards and Tests und Reviews wie etwa TLPT (Threat Led Penetration Testing) oder Red Team Testing, regelmäßige Schachstellenbewertungen und -scans, Leistungstests, und so weiter und so weiter.
Weiters muss die Geschäftsführung sicherstellen, dass diese Stellen im Unternehmen mit ausreichend Budget, Ressourcen und Personal ausgestattet sind.
Wichtig ist ebenso, dass die Mitarbeiter ein regelmäßiges Training zu IKT-Risiko-Management durchführen müssen. Aber nicht nur das, auch die Geschäftsführung muss dieses Training regelmäßig absolvieren.
Vergessen Sie nicht, dass auch physische Sicherheit zu den "IKT-Risiko Management"-Maßnahmen zählt (Zutrittskontrollen, Uneinsichtigkeit von Bildschirmen, etc)
Austausch von Informationen
Mit der DORA-Verordnung wird auch ein großer Wert auf den regelmäßigen Austausch von Informationen über IKT-Riskos gelegt. Die Staaten sind angehalten diesen Austausch zwischen den Unternehmen und auch nationalen, oder EU-Instituationen zu fördern und zu forcieren.
Hierunter kann das austauschen über aktuelle Bedrohungslagen fallen und neuste Sicherheitsmaßnahmen, aber auch Erfahrungen über Probleme mit neuen Softwareversionen oder welche Vorgehensweise man bei einem Krisenfall gewählt hat.
Behörden & Aufsicht
Natürlich ist eine kontinuierliche Zusammenarbeit mit den Behörden & ESAs vorgeschrieben, wie es bereits in etlichen anderen Umständen jahrelang gefordert war. Ebenso ist regelmäßiges Reporting vorgeschrieben, welches im Detail in den ITS & RTS definiert wird.
Machen Sie ihre Drittdienstleister aufmerksam darauf, dass die Behörden ab dem 17.01.2025 auch deren IKT-Risiko durch die indirekte Aufsicht prüfen wird.
IKT-Relevante Vorfälle
Sollte es trotz aller Vorsichtsmaßnahmen doch zu einem IKT-relevanten Vorfall kommen ist eine Incident Response Management vorgeschrieben um das Geschäft und die Services schnellst möglich wieder verfügbar zu machen (Business & Service Continutity)
Reagieren Sie im Unternehmen mit einem gut vorbereiteten Notfall- und Krisenmanagement und vergessen sie nicht eine Kommunikationsstrategie zu definieren, um ihre Geschäftspartner und Kunden auf den laufenden zu halten.
Natürlich muss auch der Regulator schnellstmöglich in die Kommunikation miteinbezogen werden.
5. Unterschiede zwischen NIS2 und DORA
Kommen wir nun darauf, worauf Sie werter Leser wohl am meisten gewartet haben:
Große Anzahl an Unternehmen betroffen mit grundlegenenden Mindeststandards zu Cybersicherheit | Geringe Anzahl an Unternehmen betroffen mit hohen Mindeststandards zu IKT-Risiken und IKT-Sicherheit |
6. Wie können wir Sie unterstützen
Die Ähnlichkeiten bei NIS2 und DORA erlauben es uns, dass wir Ihnen ein umfassendes Paket anbieten können, welches entweder als Gesamtpaket beauftragt oder auch modular auf ihre Bedürfnisse exakt zugeschnitten werden kann.
Profitieren Sie von unserem internationalen Netzwerk aus Experten aus unterschiedlichsten Bereichen - vom Netzwerktechniker, über einen Anwalt zur rechtlichen Beratung von Cybervorfällen bis zum Projektleiter bieten wir eine breite Palette an Spezialisten.
Kontaktieren Sie uns bei Fragen,
ihr Klaus Hoffmann-Wissenwasser
Comments