Digital Operational Resilience Act (DORA) — Schulung

Was Ist Digitale Operationelle Resilienz?

Die digitale operationelle Resilienz bezieht sich auf die Fähigkeit eines Finanzunternehmens, seine betriebliche Integrität und Zuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch die Nutzung von Dienstleistungen, die von IKT-Drittanbietern erbracht werden, das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit des Netzes und der Informationssysteme zu gewährleisten, die ein Finanzunternehmen nutzt und die die fortlaufende Erbringung von Finanzdienstleistungen und deren Qualität unterstützen, auch in Zeiten von Störungen.¹

Da der Finanzsektor in hohem Maße auf digitale Technologien angewiesen ist, tauchen immer wieder neue Cyber-Bedrohungen auf. Als Reaktion darauf hat die Europäische Union die Digital Operational Resilience Act (DORA) entwickelt, um die digitale operative Resilienz des Finanzsektors zu verbessern. 

Was ist DORA?

DORA ist eine Verordnung, die von Unternehmen des Finanzsektors verlangt, sicherzustellen, dass sie allen Arten von IKT-bezogenen Vorfällen, Risiken und Bedrohungen widerstehen, darauf reagieren und sich davon erholen können. Sie wurde vom Europäischen Parlament und dem Rat der Europäischen Union am 14. Dezember 2022 mit der Verordnung (EU) 2022/2554 erlassen und zielt darauf ab, die Verordnungen im Zusammenhang mit dem IKT-Risikomanagement zu harmonisieren und zu straffen, um Konsistenz und Kohärenz in der gesamten EU sicherzustellen. DORA verlangt von Finanzunternehmen die Einhaltung des Grundsatzes der Verhältnismäßigkeit, der die Größe, das Risikoprofil und die Komplexität ihrer Geschäfte berücksichtigt.

DORA legt die wichtigsten Anforderungen für Finanzunternehmen in fünf Hauptbereichen fest:

1. IKT-Risikomanagement: Finanzunternehmen müssen einen wirksamen Rahmen für das IKT-Risikomanagement einrichten und aufrechterhalten, um IKT-Risiken wirksam zu identifizieren, zu klassifizieren und zu verringern.
2. Störungsmanagement: Die Finanzunternehmen müssen ein wirksames Störungsmanagement und einen harmonisierten Rahmen für die Meldung größerer IKT-bezogener Vorfälle an die Regulierungsbehörden einrichten, um ein besseres Verständnis für neu auftretende Bedrohungen zu gewinnen und koordinierte Reaktionen zu ermöglichen.
3. Testen der digitalen operativen Resilienz: Die Finanzunternehmen müssen regelmäßige Tests durchführen, um ihre Fähigkeit zu bewerten, IKT-Störungen standzuhalten. Dazu gehören Schwachstellenbewertungen und Penetrationstests, wobei die Anforderungen auf die Größe und das Risikoprofil des Unternehmens zugeschnitten sind.
4. Risikomanagement für Drittparteien: In Anbetracht der zunehmenden Abhängigkeit von Drittanbietern von Dienstleistungen, einschließlich Cloud-Diensten, legt die DORA Regeln für das Management von IKT-Risiken in der Lieferkette fest und stellt sicher, dass Finanzunternehmen die Aufsicht über die Widerstandsfähigkeit ihrer kritischen Drittanbieter haben.
5. Austausch von Informationen und Erkenntnissen: DORA ermutigt Finanzunternehmen, Informationen über Cyberbedrohungen und andere relevante Informationen auszutauschen, um das kollektive Verständnis und die Abwehrmechanismen gegen IKT-Bedrohungen zu verbessern.

Warum ist DORA wichtig? 

Ab dem 17. Januar 2025 müssen Finanzinstitute die Einhaltung der DORA-Anforderungen sicherstellen. Die Nichteinhaltung der DORA kann erhebliche Strafen nach sich ziehen, was die Ernsthaftigkeit widerspiegelt, mit der die EU die digitale operative Resilienz betrachtet. Die konkreten Strafen können zwar je nach Art und Schwere der Nichteinhaltung variieren, sind jedoch so gestaltet, dass sie abschreckend und angemessen sind.

Organisationen müssen ihre Strategien für die digitale operative Resilienz anpassen und aktualisieren, um mit den sich entwickelnden Technologien und Bedrohungen Schritt zu halten. Dieser fortlaufende Prozess erfordert die Zusammenarbeit auf allen Ebenen des Unternehmens, von der Geschäftsleitung bis zum Betriebspersonal, sowie mit externen Partnern und Regulierungsbehörden.

Wie fange ich an?

Die PECB-Schulung zum Certified DORA Lead Manager hilft Ihnen, das Wissen und die Fähigkeiten zu erwerben, um ein IKT-Risikomanagement-Rahmenwerk auf der Grundlage der DORA-Anforderungen einzurichten, zu implementieren und zu verwalten. Die PECB Experten sind bestrebt, Sie während des gesamten Zertifizierungsprozesses zu begleiten und zu unterstützen, um Ihnen eine lohnenswerte Erfahrung zu bieten.