DORA – EIN EINHEITLICHER RAHMEN FÜR CYBERSICHERHEIT IM FINANZSEKTOR
Die DORA-Verordnung stellt einen einheitlichen Aufsichtsansatz für alle relevanten Sektoren bereit und gewährleistet die Harmonisierung der Sicherheits- und Resilienpraktiken innerhalb der EU. Ihr Hauptaugenmerk liegt auf der Gewährleistung eines widerstandsfähigen Betriebs im Falle schwerwiegender Betriebsunterbrechungen, die die Sicherheit von Netzwerken und Informationssystemen gefährden könnten. DORA etabliert einen umfassenden Rahmen für effektives Risikomanagement und Cybersicherheitsfunktionen, um eine konsistente Bereitstellung von Dienstleistungen entlang der gesamten Wertschöpfungskette sicherzustellen.
In der Verordnung werden fünf Schlüsselthemen behandelt, darunter das Management von Drittparteien, der Informationsaustausch und das Testing der digitalen Betriebs Resilienz.
OPERATIONAL RESILIENCE UND RISIKOMANAGEMENT
Finanzunternehmen haben die Verpflichtung, ein umfassendes IKT-Risikomanagement einzuführen, welches folgende Maßnahmen beinhaltet:
- Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge, um die Auswirkungen von IKT-Risiken zu minimieren. Dies umfasst die Implementierung von robusten Sicherheitsmaßnahmen, um potenzielle Bedrohungen abzuwehren und die Verfügbarkeit und Integrität der IKT-Infrastruktur sicherzustellen.
- Schlüsselelemente wie Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen und Vorfällen müssen etabliert werden. Durch die Identifizierung dieser kritischen Funktionen können Finanzunternehmen gezielt Maßnahmen ergreifen, um deren Sicherheit und Verfügbarkeit zu gewährleisten.
- Es ist gem. der DORA-Verordnung erforderlich, alle Quellen von IKT-Risiken kontinuierlich, zu ermitteln und zu überwachen, um Schutz- und Präventionsmaßnahmen zu etablieren. Dies beinhaltet die frühzeitige Erkennung anomaler Aktivitäten, um potenzielle Sicherheitsverletzungen oder Betriebsstörungen zu identifizieren und angemessen darauf zu reagieren. Das Risikoszenario muss dabei mindestens einmal jährlich überprüft werden.
- Die Einführung spezifischer und umfassender Richtlinien für Business Continuity sowie Notfall- und Wiederherstellungspläne ist unerlässlich. Diese Pläne sollten regelmäßig getestet und an die derzeitigen Bedrohungen angepasst werden, um sicherzustellen, dass alle unterstützenden Funktionen im Fall von Störungen oder Krisen intakt sind.
- Es sollten Mechanismen eingerichtet werden, um sowohl aus externen Vorfällen als auch aus eigenen IKT-Vorfällen zu lernen und sich kontinuierlich weiterzuentwickeln. Dies beinhaltet die Analyse von Vorfällen und die Umsetzung von Maßnahmen zur Verbesserung der Widerstandsfähigkeit gegenüber zukünftigen digitalen Risiken und Herausforderungen.
MANAGEMENT VON IKT-VORFÄLLEN UND CYBER SECURITY
Finanzunternehmen sind gesetzlich verpflichtet, folgende Maßnahmen im Zusammenhang mit IKT-Vorfällen zu ergreifen:
- Ein bewährtes Verfahren zur Protokollierung, Nachverfolgung und Klassifizierung aller IKT-Vorfälle zu entwickeln. Dies umfasst die Erfassung von relevanten Informationen zu den Vorfällen, wie Art, Auswirkungen, Dauer und betroffene Systeme oder Dienste. Durch eine systematische Klassifizierung können Unternehmen die Schwere und Dringlichkeit der Vorfälle angemessen bewerten.
- Schwerwiegende IKT-Vorfälle gemäß den in der Verordnung festgelegten Kriterien und den weiteren Spezifikationen der europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) bestimmen. Diese Behörden legen detaillierte Kriterien fest, um zu definieren, welche Vorfälle als schwerwiegend einzustufen sind und welche zusätzlichen Maßnahmen ergriffen werden müssen.
- Verschiedene Berichte über erfolgte Vorfälle vorzulegen. Diese Berichte enthalten eine detaillierte Beschreibung des Vorfalls, der getroffenen Maßnahmen zur Bewältigung des Vorfalls sowie der ergriffenen Wiederherstellungsmaßnahmen. Die Berichte dienen dazu, Transparenz zu gewährleisten und den zuständigen Aufsichtsbehörden Informationen über die Ereignisse und die Reaktion des Unternehmens darauf bereitzustellen.
- Die Berichterstattung über IKT-bezogene Vorfälle anhand der von den European Supervisory Authorities (ESAs) entwickelten Standardvorlagen zu harmonisieren. Diese Vorlagen stellen sicher, dass Unternehmen einheitliche Informationen liefern und eine Vergleichbarkeit der Berichte ermöglichen. So wird Effektivität der Überwachung und Aufsicht verbessert.
DIGITAL OPERATIONAL RESILIENCE TESTING
Die DORA-Verordnung legt folgende Verpflichtungen für fast alle Einrichtungen fest:
- Jährliche grundlegende Tests von IKT-Werkzeugen und -Systemen durchführen: Finanzunternehmen sind dazu angehalten, regelmäßig Tests ihrer IKT-Werkzeuge und -Systeme durchzuführen, um deren Funktionalität, Sicherheit und Widerstandsfähigkeit zu überprüfen. Diese Tests dienen der Identifizierung von potenziellen Schwachstellen und Mängeln, um angemessene Maßnahmen zur Risikobehandlung ergreifen zu können.
- Identifizierung, Abmilderung und umgehende angestrebte Beseitigung von Schwachstellen, Mängeln oder Lücken: Im Rahmen der Tests sollen Finanzunternehmen Schwachstellen, Mängel oder Lücken in ihren IKT-Werkzeugen und -Systemen identifizieren. Sobald solche Schwachstellen erkannt werden, sind sie verpflichtet, umgehend Gegenmaßnahmen zu ergreifen, um die Sicherheit und Zuverlässigkeit ihrer IKT-Infrastruktur zu gewährleisten.
- Betroffene Finanzunternehmen die gem. DORA-Verordnung die erforderliche Reife haben, sollen regelmäßige fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) für IKT-Dienste durchführen, die sich auf kritische Funktionen auswirken: Betroffene Finanzunternehmen müssen regelmäßig fortgeschrittene Penetrationstests durchführen, um die Widerstandsfähigkeit ihrer IKT-Dienste, insbesondere solcher, die kritische Funktionen unterstützen, gegenüber gezielten Angriffen zu testen. Betroffene Drittanbieter von IKT-Dienstleistungen sind ebenfalls verpflichtet, an diesen Tests teilzunehmen und vollständig mit den Unternehmen zu kooperieren.
GOVERNANCE UND MANAGEMENT VON DRITTPARTEIEN
Finanzunternehmen haben gemäß den Vorgaben die folgenden Verpflichtungen in Bezug auf die Nutzung von IKT-Drittanbietern:
- Solide Überwachung der Risiken: Die Finanzunternehmen müssen eine gründliche Überwachung der Risiken sicherstellen, die sich aus der Inanspruchnahme von IKT-Drittanbietern ergeben. Dies umfasst die Bewertung potenzieller Risiken im Zusammenhang mit der Nutzung externer Dienstleister und die Implementierung angemessener Kontrollmechanismen, um diese Risiken zu minimieren.
- Finanzunternehmen müssen ein vollständiges Verzeichnis aller ausgelagerten Tätigkeiten führen. Dies beinhaltet nicht nur die Dienstleistungen, die an externe IKT-Drittanbieter vergeben werden, sondern auch gruppeninterne Dienstleistungen. Zudem müssen sie alle Änderungen bei der Auslagerung kritischer Dienstleistungen an IKT-Drittanbieter melden.
- Berücksichtigung des IKT-Konzentrationsrisikos und der Risiken aus Ausgelagerten-Aktivitäten: Die Unternehmen müssen das Risiko der Konzentration von IT-Dienstleistungen sowie die Risiken, die sich aus den ausgelagerten-Aktivitäten und Funktionen ergeben können, angemessen berücksichtigen. Dies beinhaltet die Durchführung einer Risikobewertung und die Implementierung geeigneter Maßnahmen zur Minimierung dieser Risiken.
- Harmonisierung der Schlüsselelemente der Dienstleistung und der Beziehung zu IKT-Drittanbietern: Um eine umfassende Überwachung zu gewährleisten, müssen Finanzunternehmen die Schlüsselelemente ihrer Dienstleistungen und der Beziehung zu IKT-Drittanbietern harmonisieren. Dies beinhaltet die Festlegung einheitlicher Standards und Verfahren, um eine vollständige Überwachung und Kontrolle zu ermöglichen.
- Verträge mit IKT-Drittanbietern: Finanzunternehmen müssen sicherstellen, dass die Verträge mit IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten. Dazu gehören eine klare und vollständige Beschreibung des Leistungsumfangs, Angaben zu den Standorten, an denen die Daten verarbeitet werden, und andere relevante Informationen, die für eine angemessene Überwachung der Dienstleistung erforderlich sind.
- EU-Aufsichtsrahmen für kritische IKT-Drittdienstleister: Kritische IKT-Drittdienstleister werden einem EU-Aufsichtsrahmen unterliegen, der Empfehlungen zur Minderung von identifizierten IKT-Risiken aussprechen kann. Finanzunternehmen müssen die IKT-Risiken ihres Dienstleisters berücksichtigen und angemessene Maßnahmen ergreifen, wenn der Dienstleister den festgelegten Empfehlungen nicht folgt.
INFORMATIONSAUSTAUSCH
Gemäß Artikel 45 der DORA-Verordnung können betroffene Finanzunternehmen Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools soweit dieser Austausch von Informationen und Erkenntnissen zum einen innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt und zum anderen darauf abzielt die digitale operationale Resilienz von Finanzunternehmen zu stärken.
Dies ermöglicht es ihnen, sich bei der Verteidigung gegen Cyberangriffe gegenseitig zu unterstützen, präventiv zu stärken und schneller auf neue Bedrohungen zu reagieren.
Zusätzlich dazu wird die Aufsichtsbehörde den Finanzunternehmen relevante anonymisierte Informationen und Erkenntnisse über ähnliche Cyberbedrohungen zur Verfügung stellen. Diese anonymisierten Informationen dienen dazu, die Unternehmen über aktuelle Bedrohungen auf dem Laufenden zu halten und ihnen bei der Umsetzung angemessener Sicherheitsmaßnahmen zu helfen.
Es ist daher wichtig, dass die Finanzunternehmen Mechanismen einrichten, um die von den Behörden bereitgestellten Informationen zu überprüfen und zu validieren. Dies umfasst die Überprüfung der Relevanz und Glaubwürdigkeit der Informationen sowie die Bewertung ihrer Auswirkungen auf die eigenen Systeme und Infrastruktur. Auf Grundlage dieser Informationen sollten die Unternehmen geeignete Maßnahmen ergreifen, um ihre Cyberabwehr zu stärken und schnell auf potenzielle Bedrohungen zu reagieren. Dies kann die Aktualisierung von Sicherheitsrichtlinien, die Durchführung von Sicherheitsaudits oder die Implementierung zusätzlicher Sicherheitsmaßnahmen umfassen.
Der Austausch von Informationen und Erkenntnissen sowie die enge Zusammenarbeit mit den Aufsichtsbehörden ermöglichen es den betroffenen Finanzunternehmen, proaktiv auf Cyberbedrohungen zu reagieren, ihre Widerstandsfähigkeit gegenüber solchen Angriffen zu erhöhen und ein kontinuierliches Sicherheitsbewusstsein zu schaffen. Durch eine kollektive Verteidigung und den kontinuierlichen Informationsaustausch mit den Finanzaufsichtsbehörden und der ESA werden Sie ihre Sicherheitsmaßnahmen verbessern und potenzielle Risiken minimieren.