Digital Operational Resilience Act
WAS IST DORA?
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung und soll einen einheitlichen Rahmen
für das Management von Cybersicherheits- und IKT-Risiken in den Finanzmärkten
schaffen. Mithilfe dieser Verordnung soll die operative Widerstandsfähigkeit von Finanzunternehmen bei schwerwiegenden Betriebsunterbrechungen vorgegeben und bei entsprechender Umsetzung gewährleistet werden.
Mit dem Anstieg von Cyberangriffen ist die Vorbereitung auf Vorfälle und die Stärkung der Cyber-Resilienz für Finanzunternehmen essenziell. DORA umfasst ein
ganzheitliches Risikomanagement inklusive
Cybersicherheitsfunktionen, Behandlung und Meldung von Störungen sowie das
Management von Drittanbietern, um eine konsistente Dienstleistung zu
gewährleisten.
Die Verordnung hebt fünf Kernthemen hervor: IKT-Risikomanagement, Management von IKT-Vorfällen, Tests der digitalen operationalen Resilienz, Management von Drittparteien und Informationsaustausch.
Dies erfordert von den Finanzunternehmen, einheitliche Standards in Sachen Cybersicherheit und operative Widerstandsfähigkeit zu erfüllen, was sowohl Herausforderungen als auch Chancen für ein höheres Sicherheitsniveau darstellt.
Ziele des DORA
- Stärkung der Sicherheit: Die Sicherheitsstandards im
gesamten EU-Finanzsektor zu erhöhen. - Steigerung der Resilienz: Förderung der digitalen
operationalen Resilienz durch standardisierte Vorgehensweisen. - Harmonisierung: Vereinheitlichung der
Anforderungen für Cybersicherheit und IKT-Risikomanagement über den
Finanzsektor hinweg. - Proportionalitätsprinzip: Die Anforderungen werden unter
Berücksichtigung der Unternehmensgröße und des Risikoprofils angepasst. - Kohärente Aufsicht: Einführung eines einheitlichen
Aufsichtsansatzes zur Sicherstellung konsistenter Sicherheits- und Resilienzpraktiken. - Förderung des Informationsaustausches
Anwendungs- und Geltungsbereich
Übergreifender Finanzsektor, u.a.
- Kreditinstitute
- Zahlungsdienstleister
- Erst-
und Rückversicherungsnehmer - Wertpapierfirmen
- E-Geld-Institute
- Handelsplätze
- …
Ausnahmen werden in Artikel 2 Absatz 3 DORA aufgeführt
Es gilt ein vereinfachter
IKT-Risikomanagementrahmen nach Artikel 16 DORA für z.B.
- Kleine Einrichtungen für betriebliche Altersvorsorge (EbAV)
- Kleine und nicht verflochtene Wertpapierfirmen
- Kleinstunternehmen -> Finanzunternehmen, das weniger als 10 Personen beschäftigt und dessen
Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet.
DORA Quick Check
Wir prüfen, ob Ihr Unternehmen von DORA betroffen ist und ermitteln, wo Sie mit einfachen Mitteln und wenig Aufwänden viel für eine DORA Compliance erreichen können.
Unser DORA Quick Check ist eine High-Level Analyse der DORA Compliance inkl. GAP Übersicht zur Verbesserung der DORA Compliance.
Eine Ergebnispräsentation mit einer Übersicht der DORA Compliance gehört natürlich dazu.
Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 5-15 Personentage (PT).
DORA DEEP CHECK
Bei einem DORA Deep Check handelt es sich um eine tiefgreifende Prüfung der GAPs zu DORA inkl. Abstimmung und Erstellung eines Mitigationsplans bzw. einer Roadmap zur Priorisierung und Behebung der aufgeworfenen GAPs.
Alle Abweichungen zu DORA werden einer Risikobewertung sowie einer Aufwandsindikation zur Behebung unterzogen.
Darüberhinausgehend werden Best Practice Maßnahmen in Anlehnung an den Risikoappetit Ihrer Organisation empfohlen
Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 15-80 Personentage (PT).
