„Wer heute Digitalisierung sagt, muss auch Cybersecurity sagen. Das gilt ganz besonders auch für Finanzunternehmen, denn diese sind aufgrund ihrer besonderen Marktposition und der von ihnen verwalteten sensiblen Daten beliebte Angriffsziele. Sie verarbeiten tagtäglich sehr große Mengen vertraulicher Daten. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersicherheit implementiert haben, hinken andere hinterher“, erklärt Ulrich Heun, Geschäftsführer bei CARMAO.
Cyberkriminelle nutzen die bis dato fehlende Vereinheitlichung in Bezug auf Sicherheitsrichtlinien aus und gehen aggressiv gegen den Finanzsektor vor. Um die Stabilität des Finanzmarktes zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission DORA eingeführt.
Das Gesetz ist ein ganzheitlicher Ansatz zur Sicherung der digitalen Infrastrukturen in der EU. Für die Implementierung der DORA-Verordnung, die am 16.01.2023 in Kraft getreten ist, ist eine Frist von zwei Jahren vorgesehen. Bis Januar 2025 müssen alle Finanzunternehmen ihre IKT (Informations- und Kommunikationstechnologien)-Abwehrmaßnahmen verstärken, um den Anforderungen von DORA gerecht zu werden.
Die Regelungen betreffen alle regulierten Finanzunternehmen in der EU, neben Banken und Versicherern auch Wertpapierfirmen, Verwaltungsgesellschaften, Rating-Agenturen, Krypto-Asset-Anbieter, Handelsplattformen und andere. Ein Extra-Paragraph berücksichtigt auch IT-Drittanbieter.
Die Schlüsselelemente von DORA
Damit die Leistungsfähigkeit von Finanzinstituten in kritischen Szenarien gesichert und einheitliche Melde- und Haftungsregelungen geschaffen werden können, zielt DORA auf:
- Einheitliches Risikomanagement: Ein einheitlicher Rahmen für das Management digitaler Risiken in der gesamten EU-Finanzlandschaft.
- Resilienztests: Regelmäßige, strenge Überprüfungen digitaler Systeme, um sicherzustellen, dass diese Cyber-Schocks standhalten.
- Incident-Reporting: Ein standardisierter Ansatz zur Meldung von Cyberbedrohungen, der eine schnelle kollektive Reaktion fördert.
- Third-Party-Risk-Management: Überprüfung von Dienstleistern, um diese an die hohen Standards von DORA zwecks Belastbarkeit anzupassen.
- Informationsaustausch: Eine Kultur der Transparenz, um gemeinsam die Abwehr von Cyberbedrohungen zu stärken.
- Tools für die Aufsichtsbehörde: Verbesserte Aufsicht, um die Einhaltung der strengen Anforderungen von DORA zu gewährleisten.
Die Umsetzung von DORA bringt einige Herausforderungen mit sich, mit denen sich Verantwortliche auseinandersetzen sollten. Dazu zählen unter anderem:
- Risikobewertung: Für die Bewertung digitaler Risiken braucht es spezialisiertes Fachwissen und eine detaillierte Analyse der aktuellen und potenziellen Bedrohungen.
- Komplexität: Die Einhaltung der komplexen Anforderungen von DORA bedingt eine gründliche Analyse und Anpassung von Geschäftsprozessen und IT-Systemen.
- Koordination: Die Zusammenarbeit zwischen den Finanzinstituten und den nationalen Aufsichtsbehörden ist entscheidend für den Erfolg von DORA und erfordert eine effektive Koordination und Kommunikation.
- Kosten: Die Einhaltung von DORA erfordert beträchtliche Investitionen in Technologie, Infrastruktur und Ressourcen, um den Anforderungen gerecht zu werden. Insbesondere für kleinere Finanzinstitute kann die Umsetzung von DORA eine erhebliche finanzielle Belastung darstellen.
- Technologischer Fortschritt: Die digitale Landschaft ist sehr dynamisch und Veränderungen geschehen schnell. DORA muss daher in der Lage sein, sich an neue Entwicklungen und Technologien anzupassen, um sicherzustellen, dass die Anforderungen aktuell und angemessen bleiben.
Als Spezialist für Unternehmenresilienz berät CARMAO Unternehmen und zeigt diesen, welche Bausteine für die Umsetzung von DORA wesentlich sind und wie sie entsprechende Maßnahmen einleiten können.