DORA - Digital Operational Resilience Act

Digital Operational Resilience Act

WAS IST DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung und soll einen einheitlichen Rahmen
für das Management von Cybersicherheits- und IKT-Risiken in den Finanzmärkten
schaffen. Mithilfe dieser Verordnung soll die operative Widerstandsfähigkeit von Finanzunternehmen bei schwerwiegenden Betriebsunterbrechungen vorgegeben und bei entsprechender Umsetzung gewährleistet werden.

DORA Digital Operational Reslilience Act

Mit dem Anstieg von Cyberangriffen ist die Vorbereitung auf Vorfälle und die Stärkung der Cyber-Resilienz für Finanzunternehmen essenziell. DORA umfasst ein
ganzheitliches Risikomanagement inklusive
Cybersicherheitsfunktionen, Behandlung und Meldung von Störungen sowie das
Management von Drittanbietern, um eine konsistente Dienstleistung zu
gewährleisten.

Die Verordnung hebt fünf Kernthemen hervor: IKT-Risikomanagement, Management von IKT-Vorfällen, Tests der digitalen operationalen Resilienz, Management von Drittparteien und Informationsaustausch.

Dies erfordert von den Finanzunternehmen, einheitliche Standards in Sachen Cybersicherheit und operative Widerstandsfähigkeit zu erfüllen, was sowohl Herausforderungen als auch Chancen für ein höheres Sicherheitsniveau darstellt.

Ziele des DORA

  • Stärkung der Sicherheit: Die Sicherheitsstandards im
    gesamten EU-Finanzsektor zu erhöhen.
  • Steigerung der Resilienz: Förderung der digitalen
    operationalen Resilienz durch standardisierte Vorgehensweisen.
  • Harmonisierung: Vereinheitlichung der
    Anforderungen für Cybersicherheit und IKT-Risikomanagement über den
    Finanzsektor hinweg.
  • Proportionalitätsprinzip: Die Anforderungen werden unter
    Berücksichtigung der Unternehmensgröße und des Risikoprofils angepasst.
  • Kohärente Aufsicht: Einführung eines einheitlichen
    Aufsichtsansatzes zur Sicherstellung konsistenter Sicherheits- und Resilienzpraktiken.
  • Förderung des Informationsaustausches

Anwendungs- und Geltungsbereich

Übergreifender Finanzsektor, u.a.

  • Kreditinstitute
  • Zahlungsdienstleister
  • Erst-
    und Rückversicherungsnehmer
  • Wertpapierfirmen
  • E-Geld-Institute
  • Handelsplätze

Ausnahmen werden in Artikel 2 Absatz 3 DORA aufgeführt

Es gilt ein vereinfachter
IKT-Risikomanagementrahmen nach Artikel 16 DORA für z.B.

  • Kleine Einrichtungen für betriebliche Altersvorsorge (EbAV)
  • Kleine und nicht verflochtene Wertpapierfirmen
  • Kleinstunternehmen -> Finanzunternehmen, das weniger als 10 Personen beschäftigt und dessen
    Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet.

DORA hat 5 Kernthemen

IKT-Risikomanagement

(Artikel 5-16)

Vorschriften
und Richtlinien zur Identifizierung, Bewertung, Steuerung und Überwachung von
IKT-Risiken.

Meldung IKT-bezogener Vorfälle

(Artikel 17-23)

Anforderungen
an Finanz-unternehmen, bedeutende IKT-bezogene Vorfälle an die zuständigen
Behörden zu melden.

Digitale operationale Resilienz-Tests

(Artikel 24-27 )

Vorgaben
für regelmäßige Tests der digitalen operationalen Resilienz, einschließlich
Penetrationstests und anderer Methoden

Management von IKT-Drittanbieter Risiken

(Artikel 28-44 )

Richtlinien
und Prozesse zur Überwachung und Kontrolle von Risiken, die mit dem Einsatz von IKT-Drittanbietern, einschließlich Cloud-Diensten, verbunden sind.

Informationsaustausch

(Artikel 45)

Förderung
des freiwilligen Austausches von Informationen und Erkenntnissen über
Cyberbedrohungen zwischen Finanzunternehmen, um deren Situationsbewusstsein und
digitale operationale Resilienz zu verbessern.

DORA Quick Check

Wir prüfen, ob Ihr Unternehmen von DORA betroffen ist und ermitteln, wo Sie mit einfachen Mitteln und wenig Aufwänden viel für eine DORA Compliance erreichen können.

Unser DORA Quick Check ist eine High-Level Analyse der DORA Compliance inkl. GAP Übersicht zur Verbesserung der DORA Compliance.

Eine Ergebnispräsentation mit einer Übersicht der DORA Compliance gehört natürlich dazu.

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 5-15 Personentage (PT).

DORA DEEP CHECK

Bei einem DORA Deep Check handelt es sich um eine tiefgreifende Prüfung der GAPs zu DORA inkl. Abstimmung und Erstellung eines Mitigationsplans bzw. einer Roadmap zur Priorisierung und Behebung der aufgeworfenen GAPs.

Alle Abweichungen zu DORA werden einer Risikobewertung sowie einer Aufwandsindikation zur Behebung unterzogen.

Darüberhinausgehend werden Best Practice Maßnahmen in Anlehnung an den Risikoappetit Ihrer Organisation empfohlen

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 15-80 Personentage (PT).

Rufen Sie uns an

Sie erreichen uns telefonisch von Montags - Freitags von 08:00 - 18:00 Uhr, um über Ihr Anliegen zu einer DORA Thematik zu sprechen.

Telefon: +4921732653550

SCHREIBEN SIE UNS IHR DORA ANLIEGEN VIA E-MAIL

Schreiben Sie uns gern auch eine E-Mail die wir i.d.R. innerhalb von 24 Stunden beantworten.

kontakt(AT)apollon-security.com

Kontaktieren Sie uns

Diese Website ist durch hCaptcha geschützt und es gelten die allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen von hCaptcha.