DORA - Digital Operational Resilience Act

Digital Operational Resilience Act

WAS IST DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung und soll einen einheitlichen Rahmen
für das Management von Cybersicherheits- und IKT-Risiken in den Finanzmärkten
schaffen. Mithilfe dieser Verordnung soll die operative Widerstandsfähigkeit von Finanzunternehmen bei schwerwiegenden Betriebsunterbrechungen vorgegeben und bei entsprechender Umsetzung gewährleistet werden.

DORA Digital Operational Reslilience Act

Mit dem Anstieg von Cyberangriffen ist die Vorbereitung auf Vorfälle und die Stärkung der Cyber-Resilienz für Finanzunternehmen essenziell. DORA umfasst ein
ganzheitliches Risikomanagement inklusive
Cybersicherheitsfunktionen, Behandlung und Meldung von Störungen sowie das
Management von Drittanbietern, um eine konsistente Dienstleistung zu
gewährleisten.

Die Verordnung hebt fünf Kernthemen hervor: IKT-Risikomanagement, Management von IKT-Vorfällen, Tests der digitalen operationalen Resilienz, Management von Drittparteien und Informationsaustausch.

Dies erfordert von den Finanzunternehmen, einheitliche Standards in Sachen Cybersicherheit und operative Widerstandsfähigkeit zu erfüllen, was sowohl Herausforderungen als auch Chancen für ein höheres Sicherheitsniveau darstellt.

Ziele des DORA

  • Stärkung der Sicherheit: Die Sicherheitsstandards im
    gesamten EU-Finanzsektor zu erhöhen.
  • Steigerung der Resilienz: Förderung der digitalen
    operationalen Resilienz durch standardisierte Vorgehensweisen.
  • Harmonisierung: Vereinheitlichung der
    Anforderungen für Cybersicherheit und IKT-Risikomanagement über den
    Finanzsektor hinweg.
  • Proportionalitätsprinzip: Die Anforderungen werden unter
    Berücksichtigung der Unternehmensgröße und des Risikoprofils angepasst.
  • Kohärente Aufsicht: Einführung eines einheitlichen
    Aufsichtsansatzes zur Sicherstellung konsistenter Sicherheits- und Resilienzpraktiken.
  • Förderung des Informationsaustausches

Anwendungs- und Geltungsbereich

Übergreifender Finanzsektor, u.a.

  • Kreditinstitute
  • Zahlungsdienstleister
  • Erst-
    und Rückversicherungsnehmer
  • Wertpapierfirmen
  • E-Geld-Institute
  • Handelsplätze

Ausnahmen werden in Artikel 2 Absatz 3 DORA aufgeführt

Es gilt ein vereinfachter
IKT-Risikomanagementrahmen nach Artikel 16 DORA für z.B.

  • Kleine Einrichtungen für betriebliche Altersvorsorge (EbAV)
  • Kleine und nicht verflochtene Wertpapierfirmen
  • Kleinstunternehmen -> Finanzunternehmen, das weniger als 10 Personen beschäftigt und dessen
    Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet.

DORA hat 5 Kernthemen

IKT-Risikomanagement

(Artikel 5-16)

Vorschriften
und Richtlinien zur Identifizierung, Bewertung, Steuerung und Überwachung von
IKT-Risiken.

Meldung IKT-bezogener Vorfälle

(Artikel 17-23)

Anforderungen
an Finanz-unternehmen, bedeutende IKT-bezogene Vorfälle an die zuständigen
Behörden zu melden.

Digitale operationale Resilienz-Tests

(Artikel 24-27 )

Vorgaben
für regelmäßige Tests der digitalen operationalen Resilienz, einschließlich
Penetrationstests und anderer Methoden

Management von IKT-Drittanbieter Risiken

(Artikel 28-44 )

Richtlinien
und Prozesse zur Überwachung und Kontrolle von Risiken, die mit dem Einsatz von IKT-Drittanbietern, einschließlich Cloud-Diensten, verbunden sind.

Informationsaustausch

(Artikel 45)

Förderung
des freiwilligen Austausches von Informationen und Erkenntnissen über
Cyberbedrohungen zwischen Finanzunternehmen, um deren Situationsbewusstsein und
digitale operationale Resilienz zu verbessern.


Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.

DORA Referenzprojekte

Branche:
Versicherungswesen

Funktion:
Berater / Projektleiter

Verantwortungsbereiche:

  • Beratung & Projektsteuerung:
    Überprüfung, Priorisierung und Umsetzung des DORA-Projektplans in unterschiedlichen Workstreams.
  • Incident Prevention and Response:
    Vulnerability Management:
    Restrukturierung und Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption und Einführung authentifizierter Schwachstellenscans.
    Security Operations:
    Restrukturierung und Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption & Steuerung sowie Überwachung des externen Dienstleisters.
  • PAM & NPA:
    Privileged Access Management Proof of Concept; Einführung einer Privileged Access Management Software inkl. Konfiguration und Anbindungen an das PAM Tool.
  • Intrusion Detection & Data Loss Prevention:
    Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption und Einführung von Intrusion Detection und Prevention Maturity und Compliance Assessment.
  • Resilience Testing:
    Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. Penetration Testing; Konzeption und Einführung von regelmäßigen und risikobasierten Pentests.

Branche:
Banken / Finanzwesen

Funktion:
Berater / Projektleiter

Verantwortungsbereiche:

  • Cyber Security Reifegradanalyse:
    Durchführung einer umfassenden Reifegradanalyse im Bereich Cyber Security zur Identifizierung und Schließung von Sicherheitslücken.
  • Projektsupport Penetration Testing:
    Überarbeitung des Abgleichprozesses:
    Aufnahme des Ist-Zustands; Definition der Anforderungen und interne Abstimmung von Abgleichprozessen; Implementierung des optimierten Abgleichprozesses.
    Überarbeitung Penetrationstest-Konzept:
    Aufnahme des Ist-Zustands; Definition und interne Abstimmung; Umsetzung von Interim Maßnahmenprozessen und Erarbeitung des Soll Zustandes; Erstellung und Abstimmung von Berichtswesen, Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs); Erarbeitung und Abstimmung einer langfristigen Roadmap.
  • Vorgaben für externe Unternehmen (Konzept):
    Erstellung und Abstimmung des Konzepts für externe Penetrationstests zur Sicherstellung der Qualität und Effektivität der Tests.
  • Entwurf von Second Line Vorgaben in folgenden Themengebieten:
    Anwendungsentwicklung, Asset Management, Behandlung von Sicherheitsvorfällen, Changemanagement, Berechtigungsmanagement, Informationsübertragung, physische Sicherheit, Protokollierung, etc.

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

  • Cyber Security Reifegradanalyse:
    Durchführung einer umfassenden Reifegradanalyse gemäß DORA und NIS2-Draft.
  • Stakeholder-Kommunikation & Reporting:
    Regelmäßige Vorstellung der Analyseergebnisse an Vorstände, Aufsichtsräte, Regulatoren, Behörden und Betriebsräte.
  • Abstimmung mit Kontrollinstanzen:
    Enge Zusammenarbeit und Reifegradabgleich mit der First und Second Line of Defense.
  • Management-Empfehlungen & Maßnahmenplanung:
    Entwicklung konkreter Handlungsempfehlungen, Management Action Pläne und definierter Projektpakete zur Erhöhung des Reifegrads.
  • Operative Unterstützung & Behebung der identifizierten GAPs:
    Verbesserung der Schwachstellenscans auf authentifizierte Scans; Review und Detailierung (Threat based) von Playbooks im SIEM Umfeld; Bewertung von Frameworks und Prozessen zur Risikobewertung; Strategische Betrachtung und Beurteilung weiterer Technologien zur Verbesserung der Netzwerksicherheit (IDS / IPS), EDR-Konfiguration und Verteilung; Konzepte zu Data at Rest und Data in Transit.

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

  • Richtlinien Konkretisierung in der 1st Line of Defense:
    Erstellung und Vervollständigung der Konzepte zur Umsetzung von 2nd Line Vorgaben in der 1st Line; Prozessdokumentation über die Umsetzung von 2nd Line Vorgaben in der 1st Line.
  • Security Incident Management Process:
    Erstellung der Richtliniendokumente; Grundgerüst an Prozesse des Security Incident Management dokumentieren; Verantwortlichkeiten entlang der Prozesse und Dokumente klären; Templates für Meldungen etc. vorbereiten; Abstimmung (Stakeholder / Richtlinien).
  • Data Loss Prevention Projektplan 2025:
    Anforderungsaufnahme; Richtlinien und Policies zu DLP; Durchführung eines Workshops; Erstellung einer GAP Analyse.
  • Privileged Access Management:
    Erarbeitung von unterschiedlichsten Themen im Bereichen Privileged Access Management; Durchführung von Marktanalysen für Tool-Einführungen; Anforderungsaufnahme; Durchführung einer GAP-Analyse.
  • Erstellung Konzepte zur sicheren Entwicklung:
    Erstellung von 7+ Entwicklungsrichtlinien mit den jeweiligen Entwicklungsbereichen; Kompletter Entwicklungsprozess von Drafterstellung bis hin zur finalen Abstimmung und Abnahme.
  • Second Line Vorgaben und Sollmaßnahmenkatalog:
    Prüfung und Aktualisierung von 20 bestehenden Second Line Vorgaben der DORA- und FINMA RS 23/01; Erstellung von fünf Second Line Vorgaben; Entwicklung eines Sollmaßnahmenkatalogs mit technischen Anforderungen.

Branche:
Banken / Finanzwesen

Funktion:
Berater

Verantwortungsbereiche:

  • Mitarbeit bei der Erstellung eines Cyber Security Maturity Assessment basierend auf NIST Cybersecurity Framework (CSF) 2.0
  • Mitarbeit bei der Erstellung von Anforderungsdefinition basierend auf dem Digital Operational Resilience Act (DORA)
  • Mitarbeit bei der Erstellung von GAP-Analysen zu NIST CSF 2.0 und DORA
  • Bewertung des Reifegrades bzw. der Compliance
  • Aufbereitung der identifizierten Findings & Erstellung einer Roadmap zur Verbesserung des Reifegrades und der Compliance

Branche:
Versicherungswesen

Funktion:
Berater

Verantwortungsbereiche:

  • Cyber Security Maturity Assessment basierend auf NIST Cybersecurity Framework (CSF) 2.0
  • Anforderungsdefinition basierend auf Digital Operational Resilience Act (DORA) und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)
  • GAP-Analyse zu NIST CSF 2.0, DORA und VAIT
  • Bewertung des Reifegrades bzw. der Compliance
  • Aufbereitung der identifizierten Findings und Erstellung einer Roadmap zur Verbesserung des Reifegrades und der Compliance

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich Informationssicherheit und BCM

Verantwortungsbereiche:

  • Projektplanung Data Leakage Prevention (DLP):
    Entwicklung eines pragmatischen Projektplans zur Einführung und Umsetzung von DLP-Maßnahmen unter Berücksichtigung regulatorischer Anforderungen.
  • Informationssicherheitsrichtlinien:
    Erstellung und Abstimmung von Richtlinien zur Informationssicherheit inklusive Definition der Sollmaßnahmen zur Erfüllung der DORA-Vorgaben.
  • Business Continuity Management (BCM):
    Unterstützung bei der Weiterentwicklung und Umsetzung von BCM-Maßnahmen zur Erhöhung der organisatorischen Resilienz gegenüber IT-Sicherheitsvorfällen.

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich IT-Security Governance & PAM

Verantwortungsbereiche:

  • Sollmaßnahmenkatalog:
    Erstellung eines umfassenden Sollmaßnahmenkatalogs im Kontext regulatorischer Anforderungen.
  • Richtlinienentwicklung:
    Erstellung von Second Line Richtlinien als Grundlage für die Umsetzung in der First Line.
  • GAP-Analyse:
    Erstellung einer GAP – Analyse nach BAIT, DORA und ISO27001 im Bezug zu Second Line Richtlinien.
  • Privileged Access Management (PAM):
    Erstellung eines PAM-Projektplans; Erstellung eines Templates für Berechtigungskonzepte (Rollenkonzepte, Business Rollen, PAM etc.); Marktanalyse und Anforderungsaufnahme zur Einführung eines PAM-Tools.

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich Regulatorik & IT-Security

Verantwortungsbereiche:

  • Beratung zu DORA-Anforderungen:
    Fachliche Unterstützung bei der Umsetzung regulatorischer Anforderungen aus der DORA-Verordnung.
  • Richtlinienadaption:
    Anpassung und Individualisierung von Musterrichtlinien an die spezifischen Gegebenheiten des Instituts.
  • Identifikation und Authentifizierung von Schwachstellen:
    Unterstützung bei der Erkennung und Dokumentation technischer und organisatorischer Schwächen im Sicherheitskontext.
  • Kettenverantwortung:
    Übernahme definierter Aufgaben im Rahmen der regulatorischen Verantwortungszuweisung entlang der Dienstleisterkette.
  • Dokumentation & Umsetzung:
    Nachweisführung und Maßnahmenumsetzung zur Erfüllung regulatorischer Anforderungen.

DORA Quick Check

Wir prüfen, ob Ihr Unternehmen von DORA betroffen ist und ermitteln, wo Sie mit einfachen Mitteln und wenig Aufwänden viel für eine DORA Compliance erreichen können.

Unser DORA Quick Check ist eine High-Level Analyse der DORA Compliance inkl. GAP Übersicht zur Verbesserung der DORA Compliance.

Eine Ergebnispräsentation mit einer Übersicht der DORA Compliance gehört natürlich dazu.

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 5-15 Personentage (PT).

DORA DEEP CHECK

Bei einem DORA Deep Check handelt es sich um eine tiefgreifende Prüfung der GAPs zu DORA inkl. Abstimmung und Erstellung eines Mitigationsplans bzw. einer Roadmap zur Priorisierung und Behebung der aufgeworfenen GAPs.

Alle Abweichungen zu DORA werden einer Risikobewertung sowie einer Aufwandsindikation zur Behebung unterzogen.

Darüberhinausgehend werden Best Practice Maßnahmen in Anlehnung an den Risikoappetit Ihrer Organisation empfohlen

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 15-80 Personentage (PT).

Rufen Sie uns an

Sie erreichen uns telefonisch von Montags - Freitags von 08:00 - 18:00 Uhr, um über Ihr Anliegen zu einer DORA Thematik zu sprechen.

Telefon: +4921732653550

Kostenlosen Termin buchen

Buchen Sie sich direkt ein kostenloses Erstgespräch um herauszufinden wie wir Ihnen beim Thema DORA helfen können.

Kostenlosen Onlinetermin via Microsoft Teams buchen

SCHREIBEN SIE UNS IHR DORA ANLIEGEN VIA E-MAIL

Schreiben Sie uns gern auch eine E-Mail die wir i.d.R. innerhalb von 24 Stunden beantworten.

kontakt(AT)apollon-security.com

Kontaktieren Sie uns

Diese Website ist durch hCaptcha geschützt und es gelten die allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen von hCaptcha.