DORA wird wirksam - jetzt die Umsetzung vorbereiten!

Banken und Versicherungen in der Pflicht

Mit DORA haben die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA einen Verordnungsentwurf zur digitalen Resilienz im Finanzsektor vorgelegt, der dadurch harmonisiert und gestärkt werden soll. Finanz- und IKT-Dienstleistungsunternehmen stehen dabei vor der Frage, wie sich DORA auf das Informations-, IT-Risiko- und Betriebskontinuitäts-Management auswirkt. Gleiches gilt für IKT-Auslagerungen und die Nutzung der Cloud.

Mehr erfahren     Direkt anfragen

Herausforderung und Chance zugleich - besser sofort handeln!

Nicht zuletzt aufgrund der zunehmenden Cyberangriffe steht der Digital Resilience Operational Act (DORA) weit oben auf der Agenda der EU. Er soll ein erhöhtes Maß an Informationssicherheit und Risikobewusstsein im Finanzmarkt bringen, potenzielle Ansteckungen verhindern und unter anderem ein Frühwarn- bzw. Meldesystem etablieren. Demgegenüber steht für die betroffenen Unternehmen ein großer Prüfungs- und Umsetzungsaufwand. Banken, Finanzdienstleister und Versicherungen, aber auch IKT-Dienstleister müssen sich fragen:

Welche neuen Anforderungen hält DORA für uns bereit?
  • zur Informationssicherheit (IS)
  • zum IT-Risikomanagement (IRM)
  • zum betrieblichen Kontinuitätsmanagement (BKM)
Welche der Anforderungen haben wir bereits erfüllt?
  • durch BAIT, VAT, KAIT etc.?
  • Und wo geht DORA über die Vorgaben aus BAIT, KAIT, VAIT oder ZAIT hinaus?
Was bedeutet DORA für meine Auslagerungen bzw. Ausgliederungen?
  • Und in welchem Umfang muss ich die damit verbundenen Verträge anpassen?
Wie lässt sich DORA in der Cloud sicherstellen?
Wann wird der IKT-Dienstleister als "kritisch" eingestuft?
  •  ... und damit unter direkte Aufsicht gestellt?
Wie mache ich meine Organisation und mein Team fit für die neuen Anforderungen?
  •  Was sind meine dringendsten Schritte?

Wir haben Lösungen für dich:

Ein Seminar, ein Gap Assessment und ein Vorlagenset, um deine Organisation und dein Team auf DORA vorzubereiten.

Was du jetzt schon tun kannst

Wir begleiten dich bei der Vorbereitung auf die neue Rechtsverordnung und packen bei der Umsetzung mit an.

Icon Team

DORA-Seminar bzw. - Webinar zur Schulung deines Teams

Mehr erfahren

Icon Checkliste

Gap Assessment zur Ermittlung deiner Handlungsfelder

Mehr erfahren

Icon Compliance-Checkliste

Überarbeitung von Richtlinien, Risikoanalysen und IKT-Verträgen

Mehr erfahren

Warum du dich dringend mit DORA befassen solltest

1. Unternehmensstabilität hängt von IKT ab

2. Vertiefte Abhängigkeit von IKT-Dienstleistern

3. Zunehmende Bedeutung von Cloud-Services

4. Zunehmende Angriffswirkung

5. Zunehmende Akteure

  • IT als Stabilitätsfaktor

    Unternehmensstabilität hängt von IKT ab, Dienstleistersteuerung wird komplexer

    Die Stabilität von geschäftlichen Abläufen in den Finanzunternehmen hängt von einer funktionierenden IT ab, die regelmäßig den größten "Produktionsfaktor" ausmacht. Damit verbundene Informations- und Kommunikations-Technologien (IKT) werden häufig von gruppen- bzw. verbundeigenen oder dritten IKT-Dienstleistern bereitgestellt, betrieben und gewartet. Oder es werden Dienste und Ressourcen der Cloud-Anbieter zu diesem Zweck genutzt.

    Da diese die IKT-auslagernden Unternehmen aber weiterhin für die Einhaltung der Anforderungen aus DORA haften, werden Steuerung und Kontrolle der beauftragten Dienstleister komplexer.

  • Abhängigkeit von IT-Providern

    Vertiefte Abhängigkeit von IKT-Dienstleistern

    Finanzunternehmen haben europaweit eine sehr hohe IT-Auslagerungsquote ("geringe eigene Fertigungstiefe"). Betrieb und Wartung etwa von IKT-Infrastrukturen und -Plattformen sind keine Kernkompetenz der IT-Abteilung in den Finanzunternehmen, sondern ausgelagert.

    Damit liegen nicht mehr alle Belange des Informationssicherheits- und des Betriebskontinuitäts-Managements in den Händen der auslagernden Finanzunternehmen. Das Erkennen, Mitigieren und Steuern der damit verbundenen (IKT-) Risiken gewinnt an Bedeutung und Komplexität.
    DORA setzt auf einen vereinheitlichten Anforderungskatalog zur Sicherstellung digitaler Resilienz im IKT-Betrieb auf europäischer Ebene.

  • Bedeutung von Cloud-Services

    Zunehmende Bedeutung von Cloud-Services

    Lokale Rechenzentren werden zunehmend durch (Public) Cloud-Services abgelöst – auch bei Finanzunternehmen.

    Mit dem Konsum cloudbasierter Dienste und Ressourcen wächst die potenzielle Angriffsfläche. Umso wichtiger ist es zu wissen, wie beispielsweise die drei Tech-Giganten Amazon, Google und Microsoft ihre Innovationskraft nutzen, um sich den tagtäglich neuen Angriffsmethoden und -Techniken wirksam entgegenzustellen und die Anforderungen aus DORA an einen resilienten IKT-Betrieb für ihre Kunden sicherstellen und potenzielle Ansteckungen im Falle eines Angriffs untereinander vermeiden.

  • Cyberangriffe

    Wachsende Angriffe und vorbeugende Prüfung der digitalen Betriebsstabilität

    Ein übergeordnetes Ziel von DORA ist es, sich an aktuelle Bedrohungslagen schnell anzupassen und für eine Abwehr handlungsfähig zu sein. Denn die Gefahr und Wirkung von Cyberangriffen sind gestiegen.

    DORA sieht vor, dass Finanzunternehmen künftig "schwerwiegende IKT-bezogene Vorfälle" auf einer zentralen Plattform melden und Nutzer und Kunden informieren müssen. Unter Berücksichtigung von Unternehmensgröße und Risikoprofil der Geschäftstätigkeiten werden Unternehmen zudem verpflichtet sein, ihre digitale Resilienz im Betrieb regelmäßig zu überprüfen, etwa in Form von End-to-End-Tests oder Penetrationstests u.v.m.

  • Akteure

    Zunehmende Akteure – kriminell oder politisch motiviert

    Cyber-Gefahren gehen von Staaten wie von nichtstaatlichen Akteuren (Kriminellen) aus. Dabei sind potenzielle Attacken auf Daten, Kommunikation und Systeme infolge ausgeprägter Vernetzung für die handelnden Akteure weltweit möglich.

    Während Cyber-Angriffe in früheren Jahren primär das "Geschäft" organisierter Kriminalität war, sind zunehmend auch Regierungen für feindliche Angriffe verantwortlich – vor allem mit dem Ziel, die Volkswirtschaften in der EU zu schädigen und zu infiltrieren. Finanzunternehmen bieten dabei aufgrund ihrer in der Regel internationalen Aktivitäten eine große, potenzielle Angriffsfläche.

Auch interessant für dich

DORA – alte Idee, neu verpackt?

Schau dir das Interview mit Stefan Wendt an und erfahre, was an DORA wirklich neu ist.

DORA Fragen und Antworten als Audio-Datei

Höre rein in das Interview mit Sebastian Dosch und erhalte Antworten auf deine Fragen rund um DORA.

Das nächste große Regelwerk für den EU-Finanzmarktsektor

Sebastian Dosch erklärt im Interview, was DORA für Finanzinstitute, aber auch für ihre IKT-Dienstleister bedeutet.

Dein Experte für
DORA

Stefan Wendt
Enabler und Partner

Du hast Fragen zu DORA? Stefan Wendt hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt     Profil ansehen

×

Warum DORA?

Als Reaktion auf die Finanzkrise hatte die EU bereits im Jahr 2008 verschiedene Maßnahmen zur Stärkung der Resilienz im Finanzsektor ergriffen. Mit DORA (oder zu Deutsch: die Betriebsstabilität digitaler Systeme des Finanzsektors) weitet sich das Ansinnen um eine erhöhte Widerstandskraft auf den Einsatz von Informations- und Kommunikations-Technologien (IKT) aus, sind sie doch im Zuge der Digitalisierung von Finanzunternehmen zentrale Schlüsseltechnologien.

Da in dieser Branche die Bereitstellung, der Betrieb und die Wartung dieser Technologien nicht als Kernkompetenz der IT-Abteilungen der Finanzunternehmen verstanden wird, werden sie als IT-Services am Markt häufig eingekauft. Die eigene Widerstandsfähigkeit gerät in Abhängigkeit der Widerstandsfähigkeit der IKT-Dienstleister. Und da sowohl Finanz- als auch Dienstleistungsunternehmen häufig international agieren, unternimmt DORA den Anlauf vereinheitlichte Anforderungen auf europäischer Ebene zu formulieren.

Im Kern geht es um den Schutz vor Sicherheitslücken und Cyberangriffen sowie dem Umgang mit eingetretenen Sicherheitsvorfällen.

×

Sammelbegriff "Finanzunternehmen"

Im Verständnis von DORA ist der Sammelbegriff der "Finanzunternehmen" als Adressaten der neuen Anforderungen sehr weit gefasst. Nach Art 2. Absatz 1 gilt die Verordnung u.a. für Kredit-, Zahlungs- und E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Wertpapierfirmen und Verwalter von Investmentfonds, Datenbereitstellungsdienste und Ratingagenturen sowie (Rück-) Versicherungsunternehmen, Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung.

Ausgenommen von DORA sind nach Absatz 3 "Kleinstunternehmen" mit weniger als 10 Beschäftigten und 2 Mio. € Jahresumsatz während nach den Absätzen 4 und 5 ein nationales Wahlrecht besteht, in dessen Folge beispielsweise die Kreditanstalt für Wiederaufbau (KfW) und die Förderbanken der Bundesländer ausgenommen werden können. Noch nicht abschließend entschieden ist, ob sich DORA auch an Prüfungsgesellschaften richtet.

×

Was sind "kritische IKT-Dienstleister"?

Eine Besonderheit von DORA ist, dass sich die Verordnung nach Artikel 3 neben den Finanzunternehmen auch an kritische IKT-Dienstleister richtet.

Ähnlich wie bei den Finanzunternehmen greift hier ein sehr weites Verständnis: Demnach gehören dazu Anbieter von Digital- und Datendiensten, die über die IKT-Systeme einem oder mehreren internen oder externen Nutzern auf Dauer zur Verfügung gestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienste, die technische Unterstützung durch Software- oder Firmware-Updates durch den Hardware-Anbieter umfassen. Ausdrücklich ausgenommen sind Anbieter analoger Telefondienste. Bei Vorliegen welcher Voraussetzungen ein IKT-Dienstleister als "kritisch" im Sinne der Verordnung eingestuft werden soll, entscheiden die verantwortlichen Aufsichtsbehörden EBA, EIOPA und ESMA.

×

Seminar/Webinar "DORA im Kontext von Cloud und IKT-Auslagerungen"

Gerne begleiten wir deine Umsetzungsschritte, damit deine Organisation vorbereitet ist, wenn DORA kommt.

Im Seminar erfährst du und dein Team alles über die wichtigsten Begriffe, Regelungen und Zusammenhänge. Unsere ReferentInnen ordnen diese in bereits bestehende Anforderungen im IT-Outsourcing sowie in Anforderungen der Nutzung cloudbasierter Lösungen ein. Wir vermitteln, wie DORA mit dem Informationssicherheits-, IT-Risiko- und Betriebskontinuitäts-Management ineinandergreift und welche Handlungsbedarfe sich daraus ergeben. Dabei fokussieren wir auch auf die konkrete Ausgangssituation eures Unternehmens.

Im optionalen zweiten Seminar-Teil stellen wir den konkreten (Maßnahmen-) Bezug zur IT-Sicherheit her und vertiefen auf Experten-Niveau, wie sich die Anforderungen durch konkrete technische Lösungen in der Praxis bewältigen lassen.

Du brauchst weitere Infos zur Veranstaltung? Dann schau hier vorbei oder lade dir die Seminar-Infos direkt herunter: pdf-Download DORA-Seminar . Oder melde dich direkt bei uns!

×

Mit dem DORA Gap Assessement Lücken und Handlungsbedarf bestimmen

Mithilfe unseres DORA Gap Assessments ermittelst du toolgestützt und anhand von Checklisten, in welchen Bereichen deine Organisation Handlungsbedarf hat. Wir haben für dich alles vorbereitet, damit du unkompliziert und schnell ans Ziel kommst.

Dabei arbeiten wir schnell und zuverlässig heraus, ob und welche der DORA-Anforderungen gegebenenfalls durch Umsetzung von BAIT, KAIT, VAIT oder ZAIT im Unternehmen schon realisiert sind, weil sie inhaltlich übereinstimmen. Im Ergebnis zeigt das Assessment, wo DORA über diese Regelwerke hinaus geht und wo Anpassungsbedarf besteht, weil neue Schutzmechanismen eingerichtet werden müssen. Damit du und dein Team schnell handlungsfähig bist, ist der Ergebnisreport in seiner Struktur klar kategorisiert (Informations-, IT-Risiko- oder betriebliches Kontinuitäts-Management) und in seinen Handlungsbedarfen priorisiert. Einen Schwerpunkt bildet die Betrachtung der an die IKT-Dienstleister vorgenommenen Auslagerungen bzw. Ausgliederung sowie die Nutzung cloudbasierter Lösungen.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Überarbeitung von Richtlinien, Risikoanalysen und IKT-Verträgen

Wir stellen Musterregelungen für IKT-Verträge und im Zusammenhang stehende Richtlinien, die im IT-Outsourcing häufig vertraglich mitgelten, zur Verfügung. Daneben unterstützen wir bei der inhaltlichen Ausarbeitung solcher Richtlinien wie beispielsweise für das Informationssicherheits- und das IT-Notfall-Management.

Der Steuerung und Kontrolle beauftragter IKT-Dienstleister kommt infolge von DORA eine besondere Bedeutung zu. Denn bedienen sich Finanzunternehmen an solchen IKT-Fremdleistungen, stehen sie selbst weiterhin in der Verantwortung, dass die Anforderungen aus DORA umgesetzt sind. Gleiches gilt bei Nutzung von Diensten und Ressourcen aus der Cloud. Für letztere Fälle, in denen in der Regel kein IKT-Vertrag vom Unternehmen individuell verhandelt werden kann, weil die AGB des Cloud Anbieters greifen, stellen wir entsprechende DORA-Checklisten zur Verfügung.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.