SecurityWissensbeitrag

Q & A zum Digital Operational Resilience Act – DORA

Die Digitalisierung im Finanzwesen ist weit fortgeschritten. Als Antwort auf die ebenfalls gestiegene Anzahl an Cyberangriffen hat die EU die Verordnung Digital Operational Resilience Act (kurz: DORA) für den Finanzsektor auf den Weg gebracht. Sie reguliert die digitale operationale Resilienz inklusive Cybersicherheit und IKT-Risiken von Unternehmen im Finanzwesen innerhalb der Europäischen Union.

DORA ist am 17. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 von den Unternehmen umgesetzt werden.

In unseren Q & A haben wir die wichtigsten Informationen über DORA für Sie zusammengefasst:

  1. Für wen gilt DORA?
  2. Was ist das Ziel der DORA-Verordnung?
  3. Was sind die wichtigsten Anforderungen von DORA und wie erfüllen wir sie?
  4. Wie ist das Meldeverfahren ausgestaltet?
  5. Ab wann wird DORA angewendet?
  6. Was bedeutet das für die betroffenen Finanzunternehmen?
  7. Welche sonstigen regulatorischen Anforderungen müssen Finanzunternehmen erfüllen?
  8. Wie grenzt sich DORA von den übrigen IT-Sicherheitsgesetzen (MaRisk, BAIT, NIS2) ab?
  9. Wie unterstützt Sie WBS IT-Service bei der Umsetzung?

Vertrauen Sie unserer Branchenerfahrung im Finanzsektor: Wir konnten bereits zahlreiche Banken bei der Umsetzung der DORA-Anforderungen unterstützen.

Umsetzung der DORA: Jetzt persönlich beraten lassen!

Für wen gilt DORA?

DORA gilt für fast alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors. Zu den betroffenen Unternehmensarten zählen:

  • Banken
  • Versicherungen
  • Zahlungsdienstleister
  • Kapitalverwalter

Zusätzlich müssen auch im Finanzwesen agierende IKT-Dienstleistungsunternehmen Anforderungen der EU-Verordnung erfüllen.

Quick Check: Was sind kritische IKT-Drittdienstleister?

Die EU-Verordnung Digital Operational Resilience Act (DORA) hat vor allem das Management von Risiken zum Ziel, die sich aus der Zusammenarbeit mit IKT-Dienstleistern ergeben. Welche Unternehmen dazu zählen und als kritisch gelten, erfahren Sie hier.

Mehr erfahren

Was ist das Ziel der DORA-Verordnung?

Mit DORA soll die digitale operationale Resilienz des Finanzsektors gestärkt und EU-weit harmonisiert werden. Angesichts der wachsenden Bedrohung durch Cyberangriffe liegt der Fokus auf der Aufrechterhaltung der Geschäftskontinuität im Falle einer schwerwiegenden Störung und somit auf der Sicherheit der Netzwerke und der Informationssysteme.

Das Hauptziel ist die Integrität und Stabilität des Finanzsystems.

Was sind die wichtigsten Anforderungen von DORA und wie erfüllen wir sie?

So setzen wir die theoretischen Anforderungen für Sie praktisch um. Weiterführende Informationen zur Verordnung DORA erhalten Sie auf der Informationsseite der BaFin.

WBS IT-Service evaluiert das Risikoprofil Ihres Unternehmens mittels:

Sie erhalten von uns klare Empfehlungen für passgenaue Security-Maßnahmen.

 

  • Mit unserem SIEM (Security Information and Event Management) erkennen, überwachen, analysieren und reporten wir Sicherheitsereignisse oder Vorfälle innerhalb Ihrer IT-Umgebung.

  • Unser SOC (Security Operations Center) überwacht Ihre Netzwerke kontinuierlich und reagiert zuverlässig und schnell auf Sicherheitsvorfälle. Dabei setzt es verschiedene Tools und Technologien wie NDR, IDS & SIEM ein.

  • Wir unterstützen Sie bei der Ausübung Ihrer Meldepflicht: Unser SOC ist in der Lage, das Meldeverfahren im Falle eines Sicherheitsvorfalls gemäß §19 von der Erstmeldung über die Folgemeldung bis zum Abschlussbericht nach definierter Maske an die zuständigen Behörden zu übernehmen. Dies geschieht in Einklang mit den geltenden Regularien und Formvorschriften.

Unsere (Red-Team- und Blue-Team-) Pentests sind hochindividuelle, erkenntnisgestützte Lösungen, die ein genaues Bild von dem Sicherheitsniveau und der Resilienz Ihrer IT-Systeme und Netzwerke liefern.

 

Wir unterstützen Sie mit zuverlässigen Informationen, die Sie als Grundlage für Ihr Management einsetzen können. Außerdem leisten wir Hilfestellung beim Bewerten von Verträgen mit Drittanbietern hinsichtlich ihres Risikos.

Wir erstellen für Sie Notfallkonzepte wie Cloud-Desaster-Recovery-Pläne.

In regelmäßigen Reporting-Terminen informieren wir Sie über bisherige Vorfälle und aktuelle Bedrohungen. Diese Daten können Sie für Ihre Incident-Meldung sinnvoll nutzen. Bei Bedarf übernehmen wir auch Ihre Meldestellefunktionen.

Ein Incentive: Vertragskunden profitieren von diesem Extraservice automatisch!

Wie ist das Meldeverfahren ausgestaltet?

IKT-Vorfälle im Finanzsektor sind in Deutschland der Finanzaufsicht BaFin zu melden.

Ab wann wird DORA angewendet?

Die EU-Verordnung ist im Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 angewendet.

Was bedeutet das für die betroffenen Finanzunternehmen?

Obwohl noch einige Monate bis zur Anwendung von DORA Zeit ist, sollten Sie jetzt handeln. Zuerst sollten die notwendigen Handlungen zur Umsetzung der DORA-Anforderungen mittels Gap-Analyse ermittelt und anschließend durchgeführt werden.

Da DORA neue Themen wie Threat Intelligence als Teil eines effektiven Angriffserkennungssystems (Intrusion Detection System, IDS) und Threat-led Penetration Tests beinhaltet, sollten Sie genügend Vorlaufzeit einplanen.

Sie möchten persönlich beraten werden? Oder benötigen Sie Unterstützung bei der Risikoanalyse oder der Implementierung eines SIEM bzw. SOC? Buchen Sie jetzt einen Termin mit einem unserer IT-Sicherheitsexperten für den Finanzsektor.

 

Jetzt Beratungstermin vereinbaren
Mehr über unser SOC erfahren

Welche sonstigen regulatorischen Anforderungen müssen Finanzunternehmen erfüllen?

Gemäß BSI gilt das Finanz- und Versicherungswesen als KRITIS-Sektor. Dementsprechend müssen Unternehmen aus dieser Branche besonders hohe Anforderungen an die eigene IT-Sicherheit erfüllen. Diese stammen aus verschiedenen Quellen. Umso wichtiger ist es, eine GAP-Analyse vor der Umsetzung von DORA durchzuführen. Nur so können Sie Ihre Compliance effizient gestalten.

Wie grenzt sich DORA von den übrigen IT-Sicherheitsgesetzen (MaRisk, BAIT, NIS2) ab?

Neben DORA gibt es noch andere regulatorische Bestimmungen zur Erhöhung der IT-Sicherheit. Wie sie zusammenwirken, klären die folgenden Fragen.

Konkretere Vorgaben: Die Bestimmungen von DORA sind konkreter als die der bisherigen Vorgaben an die IT-Sicherheit von Finanzinstituten.

Höhere Einordnung: Die Sicherheitsanforderungen sind mit DORA nun auf Gesetzesebene festgeschrieben und nicht wie bisher nur Verwaltungsvorschriften der BaFin.

Verlagerung der Verantwortung: Die Verantwortung der IT-Sicherheit und deren Dokumentation trägt nun der IKT-Dienstleister und nicht wie bisher das Finanzunternehmen. Deren Überwachung durch die Aufsichtsbehörden ist nun strenger und sie müssen viele zusätzliche Informationen über ihre eigenen Sicherheitsstandards bereitstellen.

Auch wenn beide EU-Rechtsvorschriften Cybersicherheit als gemeinsames Ziel verfolgen, gibt es doch viele Unterschiede. Ein kleiner Auszug:

  • Während die Richtlinie NIS2 für ein allgemein hohes IT-Sicherheitsniveau innerhalb der EU sorgen soll, richtet sich DORA speziell an das Finanz- und Bankenwesen. Die Verordnung soll hier den zuverlässigen Betrieb digitaler Systeme gewährleisten.
  • NIS2 fokussiert die Sicherheit von Lieferketten, DORA das Risikomanagement von IKT-Drittanbietern.
  • Während NIS2 durch das NIS2-Umsetzungsgesetz in deutsches Recht überführt wird, gilt DORA bereits auf EU-Ebene.

Als spezielles Gesetz (“lex specialis“) für die Finanzbranche hat DORA Vorrang vor NIS-2 als allgemeinem Gesetz für verschiedene Sektoren.

Wie unterstützt Sie WBS IT-Service bei der Umsetzung?

Rundum-Service oder nur einzelne Komponenten – wir unterstützen Sie ganz nach Ihrem Bedarf und Wunsch.

Unsere Services für die Umsetzung der DORA-Verordnung

Meldeverfahren einrichten:
Gemeinsam legen wir Ihr Meldeverfahren über eine standardisierte Maske bei der zuständigen Behörde – in den meisten Fällen bei der BaFin – an.  Die Zuteilung erfolgt gemäß §46.

Gap-Analyse:
Gemeinsam evaluieren wir, inwieweit Sie die Vorgaben bereits erfüllen und welche Lücken noch bestehen.

Maßnahmenplan:
Wir erstellen einen Maßnahmenplan zur Absicherung Ihrer Geschäftskontinuität und Stärkung Ihrer Cybersicherheit.

Umsetzung:
Gern unterstützen wir Sie auch bei der Umsetzung der Maßnahmen.

Monitoring und Response:
Wir überprüfen regelmäßig die Wirksamkeit Ihrer implementierten Maßnahmen und korrigieren diese bei Bedarf.

Ihre Vorteile von einer Zusammenarbeit mit uns

  • Alles aus einer Hand: Beratung, Strategie, Umsetzung
  • Projekterfahrung bei der Umsetzung von DORA
  • ganzheitlicher 360°-Security-Ansatz
  • Gesetzeskonformität und Compliance-Bewusstsein
  • WBS Service Desk mit 24/7 Bereitschaft
  • Security Operations Center by WBS IT-Service
  • Zertifiziert nach DIN EN ISO 9001:2015, DIN EN ISO 14001:2015, ISO/IEC 27001:2022 und ISO/IEC 27017:2021

Handeln Sie jetzt!

* ist Pflichtfeld

Hiermit bestätigen Sie, dass Sie die Datenschutzerklärung und Informationen zur Datenverarbeitung gelesen haben und damit einverstanden sind, dass die von Ihnen angegebenen personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie der Datenschutzerklärung der WBS IT-Service GmbH verarbeitet werden.

Sie bestätigen, dass WBS IT-Service GmbH per E-Mail mit Ihnen in Kontakt treten darf. Dieser Einwilligung können Sie widersprechen, indem Sie eine Mail mit dem Betreff "Datenschutz Widerspruch" an marketing@wbs-it.de senden.

Disclaimer: Der Stand der Informationen ist vom Mai 2024. Hiermit wird die Haftung für die Richtigkeit, Vollständigkeit und Aktualität der auf dieser Website bereitgestellten Informationen ausgeschlossen. Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.

1Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor

Zurück