51ÊÓƵ

Die ist eine Verordnung der Europ?ischen Union (EU), die regelt, wie Finanzinstitute und ihre Partner im Bereich der Informations- und Kommunikationstechnologie (IKT) mit Cyberrisiken umgehen sollen. Sie schafft einen verbindlichen Aufsichtsrahmen und legt technische Standards fest, die EU-Finanzeinrichtungen und ihre Dienstleister in ihren IKT-Systemen umsetzen m¨¹ssen.

Geschichte der DORA-Verordnung

Die Europ?ische Kommission schlug DORA-Verordnung urspr¨¹nglich im September 2020 vor, und das Europ?ische Parlament verabschiedete sie zwei Jahre sp?ter. Am 17. Januar 2024 schlie?lich ver?ffentlichten die Europ?ische Bankenaufsichtsbeh?rde (EBA), die Wertpapier- und Marktaufsichtsbeh?rde (ESMA) und die Aufsichtsbeh?rde f¨¹r das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) die endg¨¹ltigen technischen Standards. Am selben Tag trat die DORA-Verordnung offiziell in Kraft.

Nun haben EU-Finanzeinrichtungen und IKT-Dienstleister bis zum 17.?Januar?2025 Zeit, ihre DORA-Anforderungen zu erf¨¹llen. Bis dahin wird jeder EU-Mitgliedstaat mit der Durchsetzung der Vorschriften beginnen. Die benannten Regulierungsbeh?rden, die so genannten ?zust?ndigen Beh?rden¡°, k?nnen Einrichtungen auffordern, bestimmte Sicherheitsma?nahmen zu ergreifen und bekannte Schwachstellen zu beseitigen.

Ebenso sind die Strafen bei Non-Compliance hoch. So werden beispielsweise IKT-Dienstleister, die von der Europ?ischen Kommission als ?kritisch¡° eingestuft werden, von ?Lead Overseers¡° beaufsichtigt. Diese Organisationen k?nnen Anbieter, die sich nicht an die Vorschriften halten, mit Geldbu?en von bis zu 1?% ihres durchschnittlichen weltweiten Tagesumsatzes im vorangegangenen Gesch?ftsjahr bestrafen.

Was ist Cyber-Resilienz?

Die DORA-Verordnung soll die ?Cyber-Resilienz¡° der beaufsichtigten Finanzeinrichtungen st?rken. Dieser Begriff umfasst die F?higkeit einer Organisation, die betriebliche Integrit?t und Gesch?ftskontinuit?t bei St?rungen wie Datenschutzverletzungen und Cyberangriffen aufrechtzuerhalten.

Kontinuit?t ist vor allem im Finanzsektor von entscheidender Bedeutung, wo die IKT-Systeme eine Schl¨¹sselrolle dabei spielen, wie die Verbraucher auf ihr Geld zugreifen und es verwalten. Laut ESMA sind die Finanzdienstleistungen mittlerweile von digitalen Technologien, um das Tagesgesch?ft abzuwickeln. Diese Abh?ngigkeit wiederum hat das Cyberrisiko exponentiell erh?ht.

Schon ein einziger IKT-Vorfall kann erhebliche Auswirkungen auf die kritischen Infrastrukturen haben. Wenn Risiken nicht richtig gehandhabt werden, kann die Erbringung von Finanzdienstleistungen gest?rt werden, was sich auf andere Einrichtungen, Sektoren und sogar die europ?ische Wirtschaft insgesamt auswirken kann.

Stellen Sie sich ein Szenario vor, bei dem die Handelsplattform einer Investmentbank w?hrend eines Denial-of-Service-Angriffs offline geht. Dies w¨¹rde nicht nur die Erfahrung der Endnutzer st?ren, sondern k?nnte die Kunden auch viel Geld auf dem Markt kosten.

Erschwerend kommt hinzu, dass geopolitische Ereignisse staatlich gesponserte Angreifer und skrupellose Hacktivisten auf den Plan gerufen haben, die es auf Finanzdienstleistungen abgesehen haben. Russlands Krieg in der Ukraine beispielsweise zu einem Angriff auf die Netzwerkinfrastruktur der Europ?ischen Investitionsbank im Jahr 2023. Gl¨¹cklicherweise beeintr?chtigte der Vorfall nur kurzzeitig die Verf¨¹gbarkeit der Website.

Warum ist die DORA-Verordnung wichtig?

Die Finanzdienstleister sind gef?hrdet. Die DORA-Verordnung zielt darauf ab, die Cyber-Resilienz auf zwei Arten zu st?rken:

1. IKT-Risikomanagement f¨¹r Finanzinstitute in gro?em Ma?stab
2. Vereinheitlichung der Vorschriften f¨¹r das Risikomanagement in einem koh?renten Rahmen

Bisher konzentrierten sich die EU-Vorschriften vor allem darauf, sicherzustellen, dass die Finanzunternehmen ¨¹ber gen¨¹gend Kapital verf¨¹gen, um operationelle Risiken und St?rungen abzudecken. Einige Aufsichtsbeh?rden ver?ffentlichten Leitlinien f¨¹r das IKT-Risikomanagement, die jedoch nicht f¨¹r alle Einrichtungen in gleicher Weise galten. Au?erdem basierten sie auf allgemeinen bew?hrten Verfahren und nicht auf technischen Standards.

Ohne einen einheitlichen Aufsichtsrahmen erlie? jeder EU-Mitgliedstaat seine eigenen Vorschriften. Dadurch entstand ein Labyrinth unzusammenh?ngender Vorschriften, in dem sich grenz¨¹berschreitende Unternehmen nur schwer zurechtfinden konnten.

Die DORA-Verordnung l?st dieses Problem mit einem Satz von Vorschriften f¨¹r alle betroffenen Einrichtungen, unabh?ngig davon, wo sie in der EU t?tig sind. Durch die Vereinheitlichung des Risikomanagements im Finanzsektor minimiert die DORA-Verordnung die Verwirrung und legt die Messlatte f¨¹r IKT-Sicherheit und Gesch?ftskontinuit?t h?her.

Welche Organisationen m¨¹ssen die DORA-Anforderungen erf¨¹llen?

Die DORA-Verordnung wirkt sich am unmittelbarsten auf Organisationen aus, die Finanzdienstleistungen in der Europ?ischen Union anbieten. Dazu geh?ren Banken, Kreditgenossenschaften, Wertpapierfirmen, Versicherungsgesellschaften und andere Arten von Finanzinstituten. Doch das ist noch nicht alles.

Auch IKT-Dienstleister unterliegen der DORA-Compliance. Mit anderen Worten: Jedes Technologieunternehmen, das IKT-Systeme f¨¹r den EU-Finanzsektor bereitstellt, muss sich an dessen Vorschriften halten. Im Rahmen der DORA-Verordnung schlie?t dies auch jeden IKT-Anbieter ein, der zwar au?erhalb der EU ans?ssig ist, aber dennoch unter die Rechtsprechung der EU f?llt.?

Nehmen wir an, Ihr Unternehmen hat seinen Sitz in den Vereinigten Staaten und bietet Cloud-Dienste und Datenanalysen f¨¹r ?sterreichische Kunden an. In diesem Fall muss Ihr Unternehmen eine Tochtergesellschaft in der EU gr¨¹nden, um eine effektive Governance zu erm?glichen.

Laut PricewaterhouseCoopers (PwC) f¨¹r ¨¹ber 22.000?Finanzunternehmen und IKT-Dienstleister.

Der umfassende Rahmen der DORA-Verordnung ist auf f¨¹nf S?ulen aufgebaut. Jede dieser S?ulen befasst sich mit einem anderen Aspekt der Cyber-Resilienz und des Risikomanagements, doch in Kombination bilden sie die Grundlage f¨¹r einen starken und sicheren Finanzsektor.

1. IKT-Risikomanagement und -Governance

Gem?? sollen die Leitungsorgane ¨¹ber einen ?soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen¡° verf¨¹gen, der sie in die Lage versetzt, Cyberrisiken zu mindern und die operationale Resilienz auf einem Niveau zu gew?hrleisten, das ihren gesch?ftlichen Anforderungen, ihrer Gr??e und ihrer Komplexit?t entspricht. F¨¹hrungskr?fte, die dies nicht tun, k?nnen pers?nlich f¨¹r die Non-Compliance haftbar gemacht werden.

Generell m¨¹ssen Organisationen ¨¹ber Systeme verf¨¹gen, die die Gesch?ftskontinuit?t im Falle eines IKT-Vorfalls gew?hrleisten. Risikomanagementrahmen sollten Strategien, Richtlinien, Verfahren und Instrumente zum Schutz physischer Komponenten und digitaler Infrastrukturen vor unbefugtem Zugriff oder Sch?den umfassen.

Dar¨¹ber hinaus sind die Unternehmen zu Folgendem verpflichtet:

• Abbildung ihrer IKT-Systeme, um kritische Anlagen, Funktionen und Abh?ngigkeiten zwischen Anbietern zu ermitteln
• Regelm??ige Risikobewertungen ihrer IKT-Systeme, um Cyber-Bedrohungen zu dokumentieren, zu klassifizieren und sich darauf vorzubereiten
• Analysen der Auswirkungen auf das Gesch?ft, um zu verstehen, wie schwerwiegende Unterbrechungen den Betrieb beeintr?chtigen k?nnten
• Implementierung geeigneter Cybersicherheitsma?nahmen, wie Tools zur Identit?ts- und Zugriffsverwaltung (IAM), automatische Systeme zur Erkennung von Bedrohungen usw.

Erstellen Sie Pl?ne f¨¹r die Gesch?ftskontinuit?t und zur Notfallwiederherstellung bei Cyberangriffen, Serviceausf?llen und Naturkatastrophen. F¨¹hren Sie ?berpr¨¹fungen nach Vorf?llen durch, um aus vergangenen Ereignissen zu lernen und kontinuierliche Verbesserungen zu erzielen.

2. Melden von Vorf?llen

verpflichtet die Finanzeinrichtungen, einen IKT-bezogenen Vorfallmanagement-Prozess einzurichten und umzusetzen. Insbesondere m¨¹ssen die Organisationen Fr¨¹hwarnsysteme einrichten, um Vorf?lle so schnell wie m?glich zu erkennen, zu entsch?rfen und zu melden. Au?erdem m¨¹ssen sie Prozesse zur ?berwachung von Vorf?llen w?hrend und nach dem Vorkommnis einrichten, damit die Teams die Ursachen ermitteln und beseitigen k?nnen.

Und gem?? Artikel?16¨C20 m¨¹ssen Organisationen Folgendes tun:

• IKT-bezogene Vorf?lle anhand der Kriterien, die f¨¹r die verschiedenen Auswirkungsstufen gelten, klassifizieren
• Erstellung einer gemeinsam nutzbaren Vorlage oder eines Verfahrens f¨¹r die Meldung von Vorf?llen an die Aufsichtsbeh?rde
• Endnutzer und Kunden ¨¹ber einen schwerwiegenden Vorfall sowie ¨¹ber alle Ma?nahmen zur Abmilderung seiner Folgen unverz¨¹glich informieren
• Ereignisse bis zum Ende des Arbeitstages oder innerhalb von vier Stunden nach Beginn des n?chsten Arbeitstages (wenn der Vorfall innerhalb von zwei Stunden nach Ende des vorangegangenen Arbeitstages eintritt) melden

Die DORA-Verordnung verlangt von Einrichtungen die Einreichung drei verschiedener Arten von Berichten:

1. Einen ersten Bericht zur Benachrichtigung der Beh?rden
2. Einen Zwischenbericht, zur Mitteilung der Fortschritte bei der L?sung des Vorfalls
3. Einen Abschlussbericht zur Analyse der Ursachen des Vorfalls und deren Behebung

3. Tests zur digitalen operationalen Resilienz

Die DORA-Verordnung legt einige grundlegende Anforderungen an die Resilienztests fest. Die Durchf¨¹hrung von Tests erm?glicht es Organisationen, ihre Vorbereitung auf IKT-bezogene Vorf?lle zu bewerten, Schwachstellen zu erkennen und Abhilfema?nahmen zu ergreifen.

Gem?? m¨¹ssen Einrichtungen Folgendes tun:

• Ein Testprogramm einrichten, das ihrer Gr??e, ihrem Gesch?ft und ihrem Risikoprofil entspricht
• Eine Reihe von Bewertungen, Tests, Methoden und Tools einsetzen
• Einen risikobasierten Ansatz verfolgen, der die sich entwickelnde Landschaft der IKT-Risiken ber¨¹cksichtigt
• Sicherstellen, dass die Tests von unabh?ngigen Parteien durchgef¨¹hrt werden
• Alle entdeckten Probleme und Schwachstellen priorisieren, klassifizieren und vollst?ndig beheben
• Alle kritischen IKT-Systeme und -Anwendungen mindestens einmal j?hrlich testen

Dar¨¹ber hinaus hei?t es in , dass Finanzeinrichtungen mindestens alle drei Jahre bedrohungsorientierte Penetrationstests durchf¨¹hren sollten. Diese zielen auf ein h?heres Ma? an Risikoexposition ab, wie z.?B. die zugrundeliegenden IKT-Prozesse, die kritische Funktionen und Dienstleistungen unterst¨¹tzen (einschlie?lich derer, die an einen Dienstleister ausgelagert wurden).

4. Management der mit Dritten verbundenen Risiken

Die DORA-Verordnung erwartet von Finanzunternehmen, dass sie die mit Dritten verbundenen Risiken aktiv managen und bei der Aushandlung vertraglicher Vereinbarungen die operationale Resilienz im Auge behalten. Im Einzelnen legt die DORA-Verordnung die folgenden Regeln f¨¹r das Management der mit Dritten verbundenen Risiken fest:

• Die Finanzeinrichtungen m¨¹ssen ein Register mit Informationen ¨¹ber die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern f¨¹hren.
• Unternehmen m¨¹ssen den zust?ndigen Beh?rden mindestens einmal pro Jahr mitteilen, wie viele neue Vertr?ge sie mit IKT-Lieferanten abgeschlossen haben.
• Die Einrichtungen sollten bei der Bewertung von Vertr?gen mit der gebotenen Sorgfalt vorgehen, indem sie alle relevanten Risiken und potenziellen Interessenkonflikte ermitteln. Sie m¨¹ssen auch Bedingungen zu Ausstiegsstrategien, Audits und Leistungszielen f¨¹r Zug?nglichkeit und Sicherheit aushandeln.
• Die Rechte und Pflichten der Finanzeinrichtung und des IKT-Drittdienstleisters sollten zugewiesen und schriftlich festgelegt werden, so dass sie beiden Parteien zug?nglich sind.?
• Kritische IKT-Anbieter unterliegen der direkten Aufsicht durch eine zust?ndige Aufsichtsbeh?rde.

Gem?? der Verordnung ist es Einrichtungen untersagt, Vertr?ge mit IKT-Firmen abzuschlie?en, die die entsprechenden technischen Standards nicht erf¨¹llen. Die zust?ndigen Beh?rden k?nnen sogar Vereinbarungen aussetzen oder k¨¹ndigen, die nicht den Anforderungen entsprechen.

5. Austausch von Informationen

Obwohl dies nicht strikt durchgesetzt wird, ermutigt die DORA-Verordnung auch zur Zusammenarbeit zwischen vertrauensw¨¹rdigen Finanzeinrichtungen, in der Hoffnung, Folgendes zu erreichen:

• Sensibilisierung f¨¹r IKT-bezogene Risiken
• Minimierung der Verbreitung von IKT-Bedrohungsvektoren
• Austausch von Abwehrtechniken, Abhilfestrategien und Bedrohungsdaten

Die DORA-Verordnung ist eine von mehreren EU-Richtlinien, die sich mit Cyber-Resilienz und digitaler Sicherheit befassen. Die ¨¹berarbeitete Verordnung ¨¹ber Netzwerk- und Informationssysteme (NIS?2) ¨¹berschneidet sich stark mit der DORA-Compliance, so dass sich einige fragen, welche Richtlinien sie befolgen m¨¹ssen.

Im September?2023 hat die Europ?ische Kommission zwischen den beiden Rechtsakten. Entscheidend ist, dass die DORA-Verordnung sektorspezifisch ist und sich haupts?chlich auf Finanzdienstleistungsorganisationen auswirkt. Bei der NIS?2 handelt es sich dagegen um einen umfassenderen Rechtsrahmen, der kritische Infrastrukturen wie Energie und Verkehr abdeckt.

Gem?? Artikel 4 Abs?tze 1 und 2 der NIS-Richtlinie gelten die DORA-Bestimmungen anstelle der Bestimmungen der NIS?2. Das bedeutet, dass die DORA-Verordnung f¨¹r Finanzeinrichtungen Vorrang hat, zumindest wenn es um das IKT-Risikomanagement, die Meldung von Vorf?llen und Resilienztests geht.

Die DORA-Verordnung legt die Messlatte f¨¹r das Risikomanagement hoch, was bedeutet, dass es nicht leicht sein wird, die Anforderungen zu erf¨¹llen. Zum Gl¨¹ck gibt es einen klaren Weg, den Sie einschlagen k?nnen, um damit zu beginnen:

1. F¨¹hren Sie eine L¨¹ckenanalyse durch: Eine erste L¨¹ckenanalyse umfasst die Bewertung des gesamten Unternehmensprofils von oben bis unten, die Bestimmung des Cyber-Reifegrads und das Verstehen des bestehenden Risikomanagementrahmens. Anhand dieser ?bung k?nnen Sie feststellen, inwieweit Ihre derzeitigen Prozesse und Verfahren aktualisiert werden sollten.
2. Schreiben Sie IKT-Schulungen vor: Am besten ist es, ein fortlaufendes Schulungsprogramm f¨¹r alle Mitarbeiter ¨C einschlie?lich der F¨¹hrungskr?fte ¨C zu erstellen. F¨¹hrungskr?fte haften bei DORA-Non-Compliance. Sorgen Sie also daf¨¹r, dass jeder ¨¹ber die neuesten IKT-Sicherheitsbedrohungen informiert und wachsam ist.
3. Pr¨¹fen Sie Vertr?gen mit Dritten: Ein tiefer Einblick in Ihre vertraglichen Vereinbarungen kann Ihnen helfen, die Abh?ngigkeiten von IKT-Anbietern zu verstehen. Im Gegenzug k?nnen Sie Sicherheitsma?nahmen zum Schutz dieser Verbindungen identifizieren und priorisieren. Machen Sie eine Bestandsaufnahme aller Vertr?ge, einschlie?lich der Vertr?ge mit Cloud-Dienstleistern, Softwareanbietern und anderen IKT-Systemen. Stellen Sie dann sicher, dass sie Bestimmungen enthalten, die mit den DORA-Anforderungen ¨¹bereinstimmen.

St?rkung der Cyber-Resilienz mit 51ÊÓƵ

?berlassen Sie die DORA-Compliance nicht dem Zufall. Unabh?ngig davon, ob Sie eine Finanzeinrichtung oder ein ICT-Anbieter sind, bietet das 51ÊÓƵ-Portfolio alles, was Sie brauchen, um Ihre Verteidigung zu st?rken und kritische Infrastrukturen zu sch¨¹tzen.

Unsere L?sungen umfassen Folgendes:

• Hardware-Sicherheitsmodule (HSMs): nShield-HSMs bieten eine sichere Umgebung f¨¹r die Erzeugung, Verwaltung und den Schutz von kryptografischen Schl¨¹sseln, die f¨¹r die Datenverschl¨¹sselung und sichere Kommunikation entscheidend sind.
• Verwaltung der Cloud-Sicherheitslage Die Sicherheitsplattform 51ÊÓƵ CloudControl hilft Ihnen, Ihre hybriden Cloud-Umgebungen zu sch¨¹tzen, indem sie es einfach macht, Konfiguration und Compliance auf einem einzigen Bildschirm zu identifizieren, zu korrigieren und dar¨¹ber zu berichten.
• ³§³¦³ó±ô¨¹²õ²õ±ð±ô±¹±ð°ù·É²¹±ô³Ù³Ü²Ô²µ: Die ³§³¦³ó±ô¨¹²õ²õ±ð±ô±¹±ð°ù·É²¹±ô³Ù³Ü²Ô²µ ist f¨¹r die Gew?hrleistung der Vertraulichkeit und Integrit?t von Daten und Finanztransaktionen unerl?sslich. 51ÊÓƵ KeyControl hilft Ihnen bei der Verwaltung von kryptographischen Assets w?hrend ihres gesamten Lebenszyklus und verhindert so den unautorisierten Zugriff auf ICT-Systeme.
• Identit?ts- und Zugriffsverwaltung: 51ÊÓƵ Identity as a Service ist eine intelligente Plattform, die Benutzerauthentifizierung, Autorisierung und Zugangskontrolle optimiert. Treten Sie mit Ihren Kunden ¨¹ber sichere Portale, ±õ»å±ð²Ô³Ù¾±³Ù?³Ù²õ¨¹²ú±ð°ù±è°ù¨¹´Ú³Ü²Ô²µ und mehr in Kontakt.
• Public Key Infrastructure (PKI): 51ÊÓƵ PKI hilft, einen Rahmen f¨¹r sichere Kommunikation und Authentifizierung zu schaffen, indem digitale Zertifikate zur Verifizierung von Entit?ten und zur Verschl¨¹sselung von Daten verwendet werden.