DORA – im Jahr 2020 veröffentlichte die Europäische Kommission den ersten Entwurf des Digital Operational Resilience Act als Teil des digitalen Finanzpakets der Europäischen Union (DFP).
Dieses Paket umfasst eine digitale Finanzstrategie sowie Gesetzgebung und Richtlinien zur operativen Resilienz für Europas Zukunft in der Ära der digitalen Transformation. Nun, im Jahr 2024, steht die Einführung von DORAs Regeln und Vorschriften im Januar 2025 unmittelbar bevor. Es überrascht nicht, dass DORA für viele Unternehmen im Vorfeld der Implementierung ein Schlüsselthema sein wird. Hier bei RFA leiten mein Team und ich Unternehmen an, wie sie die Regeln und Richtlinien erfolgreich in ihre operativen Strukturen und Geschäftsmodelle integrieren können.
Bevor ich auf sechs Schlüsselaspekte für Unternehmen eingehe, möchte ich die Gesamtmission und Hauptziele von DORA zusammenfassen. DORA wird für eine breite Palette von Finanzdienstleistungsunternehmen gelten, mit sehr wenigen Ausnahmen. Das Hauptziel ist die Stärkung der operativen Resilienz von Finanzdienstleistungsunternehmen und die Gewährleistung, dass die Unternehmen über geeignete Maßnahmen verfügen, um Risiken im digitalen Zeitalter zu bewältigen.
Die Schlüsselziele umfassen:
- Digitale operationale Resilienz: Die Gesetzgebung soll sicherstellen, dass Unternehmen über robuste Systeme und Prozesse verfügen, die es ihnen ermöglichen, Cyberbedrohungen und andere digitale Risiken zu identifizieren, zu erkennen, dagegen zu schützen und sich davon zu erholen.
- Risikomanagement bei Drittanbietern: Die Vorschriften verlangen, dass Unternehmen eine angemessene Due Diligence bei ihren Dienstleistern durchführen. Unternehmen müssen Strukturen schaffen, um Risiken bei der Auslagerung an Partner kontinuierlich überwachen zu können.
- Meldung und Reaktion auf Vorfälle: Unternehmen sind gesetzlich verpflichtet, einen angemessenen Plan für die Meldung und Reaktion auf Vorfälle zu haben, falls sie einem Cyberangriff oder einem IT-Ausfall ausgesetzt sind. Es ist eine rechtliche Anforderung, dass Unternehmen derartige Angriffe ihrer nationalen Behörde melden und dies innerhalb eines festgelegten Zeitrahmens kompetent tun.
- Überwachung und Governance: Finanzdienstleistungsunternehmen müssen angemessene Governance- und Überwachungsstrukturen haben. Dazu gehört auch, dass Mitglieder des Vorstands und des leitenden Teams über die relevanten Fähigkeiten verfügen, um digitale Risiken zu managen.
Wichtige Maßnahmen für Finanzdienstleister im Vorfeld des Januar 2025 zur erfolgreichen Implementierung des DORA-Gesetzes:
- IKT-Risikomanagement: Unternehmen müssen robuste Richtlinien und Verfahren für das Risikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT) etablieren, um potenzielle Bedrohungen und Schwachstellen in Bezug auf ihre IT-Systeme und Infrastruktur zu identifizieren, zu bewerten und zu mindern.
- Incident Reporting: DORA wird die Anforderungen an die Berichterstattung über Vorfälle verstärken und sicherstellen, dass regulierte Unternehmen relevante Behörden umgehend über bedeutende Cyber-Vorfälle und Störungen informieren.
- IKT-Tests und -Bewertungen: Die Gesetzgebung wird regelmäßige Tests und Bewertungen der IKT-Systeme von Unternehmen vorschreiben, um Schwachstellen und Anfälligkeiten zu identifizieren und proaktiv potenzielle Risiken anzugehen.
- Cybersecurity-Maßnahmen: DORA wird von Unternehmen verlangen, angemessene Cybersicherheitsmaßnahmen zu implementieren, um ihre kritischen Systeme und sensiblen Daten vor Cyberbedrohungen
Bereiten Sie Ihr Unternehmen auf die Zukunft vor und stärken Sie Ihre digitale Resilienz mit DORA! Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Sie bei der erfolgreichen Implementierung der DORA-Richtlinien unterstützen können. Nutzen Sie diese Gelegenheit, um Ihre operativen Strukturen und Geschäftsmodelle an die Anforderungen der digitalen Ära anzupassen und sicherzustellen, dass Ihr Unternehmen den Herausforderungen des digitalen Wandels gewachsen ist. Lassen Sie uns gemeinsam die Weichen für eine sichere und resiliente digitale Zukunft im Finanzsektor stellen!