DORA wird wirksam - jetzt die Umsetzung vorbereiten!
Banken und Versicherungen in der Pflicht
Mit DORA haben die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA einen Verordnungsentwurf zur digitalen Resilienz im Finanzsektor vorgelegt, der dadurch harmonisiert und gestärkt werden soll. Finanz- und IKT-Dienstleistungsunternehmen stehen dabei vor der Frage, wie sich DORA auf das Informations-, IT-Risiko- und Betriebskontinuitäts-Management auswirkt. Gleiches gilt für IKT-Auslagerungen und die Nutzung der Cloud.

Herausforderung und Chance zugleich - besser sofort handeln!
Nicht zuletzt aufgrund der zunehmenden Cyberangriffe steht der Digital Resilience Operational Act (DORA) weit oben auf der Agenda der EU. Er soll ein erhöhtes Maß an Informationssicherheit und Risikobewusstsein im Finanzmarkt bringen, potenzielle Ansteckungen verhindern und unter anderem ein Frühwarn- bzw. Meldesystem etablieren. Demgegenüber steht für die betroffenen Unternehmen ein großer Prüfungs- und Umsetzungsaufwand. Banken, Finanzdienstleister und Versicherungen, aber auch IKT-Dienstleister müssen sich fragen:
- zur Informationssicherheit (IS)
- zum IT-Risikomanagement (IRM)
- zum betrieblichen Kontinuitätsmanagement (BKM)
- durch BAIT, VAT, KAIT etc.?
- Und wo geht DORA über die Vorgaben aus BAIT, KAIT, VAIT oder ZAIT hinaus?
- Und in welchem Umfang muss ich die damit verbundenen Verträge anpassen?
- ... und damit unter direkte Aufsicht gestellt?
- Was sind meine dringendsten Schritte?
Wir haben Lösungen für dich:
Ein Seminar, ein Gap Assessment und ein Vorlagenset, um deine Organisation und dein Team auf DORA vorzubereiten.

Was du jetzt schon tun kannst
Wir begleiten dich bei der Vorbereitung auf die neue Rechtsverordnung und packen bei der Umsetzung mit an.
DORA-Seminar bzw. - Webinar zur Schulung deines Teams
Gap Assessment zur Ermittlung deiner Handlungsfelder
Überarbeitung von Richtlinien, Risikoanalysen und IKT-Verträgen
Warum du dich dringend mit DORA befassen solltest
-
Unternehmensstabilität hängt von IKT ab, Dienstleistersteuerung wird komplexer
Die Stabilität von geschäftlichen Abläufen in den Finanzunternehmen hängt von einer funktionierenden IT ab, die regelmäßig den größten "Produktionsfaktor" ausmacht. Damit verbundene Informations- und Kommunikations-Technologien (IKT) werden häufig von gruppen- bzw. verbundeigenen oder dritten IKT-Dienstleistern bereitgestellt, betrieben und gewartet. Oder es werden Dienste und Ressourcen der Cloud-Anbieter zu diesem Zweck genutzt.
Da diese die IKT-auslagernden Unternehmen aber weiterhin für die Einhaltung der Anforderungen aus DORA haften, werden Steuerung und Kontrolle der beauftragten Dienstleister komplexer.
-
Vertiefte Abhängigkeit von IKT-Dienstleistern
Finanzunternehmen haben europaweit eine sehr hohe IT-Auslagerungsquote ("geringe eigene Fertigungstiefe"). Betrieb und Wartung etwa von IKT-Infrastrukturen und -Plattformen sind keine Kernkompetenz der IT-Abteilung in den Finanzunternehmen, sondern ausgelagert.
Damit liegen nicht mehr alle Belange des Informationssicherheits- und des Betriebskontinuitäts-Managements in den Händen der auslagernden Finanzunternehmen. Das Erkennen, Mitigieren und Steuern der damit verbundenen (IKT-) Risiken gewinnt an Bedeutung und Komplexität.
DORA setzt auf einen vereinheitlichten Anforderungskatalog zur Sicherstellung digitaler Resilienz im IKT-Betrieb auf europäischer Ebene. -
Zunehmende Bedeutung von Cloud-Services
Lokale Rechenzentren werden zunehmend durch (Public) Cloud-Services abgelöst – auch bei Finanzunternehmen.
Mit dem Konsum cloudbasierter Dienste und Ressourcen wächst die potenzielle Angriffsfläche. Umso wichtiger ist es zu wissen, wie beispielsweise die drei Tech-Giganten Amazon, Google und Microsoft ihre Innovationskraft nutzen, um sich den tagtäglich neuen Angriffsmethoden und -Techniken wirksam entgegenzustellen und die Anforderungen aus DORA an einen resilienten IKT-Betrieb für ihre Kunden sicherstellen und potenzielle Ansteckungen im Falle eines Angriffs untereinander vermeiden.
-
Wachsende Angriffe und vorbeugende Prüfung der digitalen Betriebsstabilität
Ein übergeordnetes Ziel von DORA ist es, sich an aktuelle Bedrohungslagen schnell anzupassen und für eine Abwehr handlungsfähig zu sein. Denn die Gefahr und Wirkung von Cyberangriffen sind gestiegen.
DORA sieht vor, dass Finanzunternehmen künftig "schwerwiegende IKT-bezogene Vorfälle" auf einer zentralen Plattform melden und Nutzer und Kunden informieren müssen. Unter Berücksichtigung von Unternehmensgröße und Risikoprofil der Geschäftstätigkeiten werden Unternehmen zudem verpflichtet sein, ihre digitale Resilienz im Betrieb regelmäßig zu überprüfen, etwa in Form von End-to-End-Tests oder Penetrationstests u.v.m.
-
Zunehmende Akteure – kriminell oder politisch motiviert
Cyber-Gefahren gehen von Staaten wie von nichtstaatlichen Akteuren (Kriminellen) aus. Dabei sind potenzielle Attacken auf Daten, Kommunikation und Systeme infolge ausgeprägter Vernetzung für die handelnden Akteure weltweit möglich.
Während Cyber-Angriffe in früheren Jahren primär das "Geschäft" organisierter Kriminalität war, sind zunehmend auch Regierungen für feindliche Angriffe verantwortlich – vor allem mit dem Ziel, die Volkswirtschaften in der EU zu schädigen und zu infiltrieren. Finanzunternehmen bieten dabei aufgrund ihrer in der Regel internationalen Aktivitäten eine große, potenzielle Angriffsfläche.
Auch interessant für dich
DORA – alte Idee, neu verpackt?
Schau dir das Interview mit Stefan Wendt an und erfahre, was an DORA wirklich neu ist.
DORA Fragen und Antworten als Audio-Datei
Höre rein in das Interview mit Sebastian Dosch und erhalte Antworten auf deine Fragen rund um DORA.
Das nächste große Regelwerk für den EU-Finanzmarktsektor
Sebastian Dosch erklärt im Interview, was DORA für Finanzinstitute, aber auch für ihre IKT-Dienstleister bedeutet.

DORA
Stefan Wendt
Enabler und Partner
Du hast Fragen zu DORA? Stefan Wendt hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630