Was ist DORA (Digital Operational Resilience Act)?

DORA ist eine Verordnung der EU, die den Finanzdienstleistungssektor betrifft. DORA bezieht sich ausdrücklich auf EU-Finanzdienstleistungen und konzentriert sich auf die Aufrechterhaltung der Resilienz der Cybersicherheit.

DORA ist am 16. Januar 2023 in Kraft getreten und ist bis zum 17. Januar 2025 umzusetzen.

Fabio Panetta von der Europäischen Union (EU) beschrieb die Cyberbedrohungslandschaft folgendermaßen: „Die Bedrohungen werden immer komplexer. Die jüngsten Angriffe erfordern eine ständige Wachsamkeit auf betrieblicher Ebene und eine kontinuierliche Neubewertung der Regulierungs- und Aufsichtsframeworks, um festzustellen, ob sie aktualisiert werden müssen.“ Mit der DORA-Verordnung sollen die Richtlinien für die Cybersicherheit im gesamten Finanzsektor harmonisiert und die sich ändernde Bedrohungslandschaft berücksichtigt werden.

Wie die DSGVO, die die Datenschutzbestimmungen harmonisiert, konsolidiert und verbessert DORA das IKT-Risikomanagement und das Cyberrisikomanagement bei Finanzdienstleistungen.

DORA soll die Risiken, die aus der digitalen Transformation der Branche entstehen, mindern, die Cyberresilienz im Finanzdienstleistungs-Ökosystem fördern und Banken, den Finanzsektor und Finanzsysteme dabei unterstützen, Cybersicherheitsvorfälle zu verhindern, darauf zu reagieren und sich von ihnen zu erholen. Um dieses Ziel zu erreichen, legt DORA einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen fest, über die die Geschäftsprozesse von Finanzunternehmen ablaufen. Die Anforderungen umfassen IKT-Risikomanagement, die Meldung schwerwiegender IKT-bezogener Vorfälle, digitale betriebliche Resilienztests, Informationsaustausch sowie Maßnahmen und Anforderungen in Bezug auf die Nutzung von IKT-Services von Drittanbietern.

DORA ist eine legislative Maßnahme für Finanzorganisationen, die in der EU Finanzaktivitäten betreiben, welche in eine der 21 berücksichtigten Kategorien fallen. Zu den Organisationen, die in den Finanzsektoren tätig sind, auf die sich DORA bezieht, zählen unter anderem:

• Kreditinstitute
• Zahlungsinstitute
• E-Geld-Institute 
• Wertpapierfirmen
• Service-Anbieter für Krypto-Assets 
• Alternative Investmentfonds
• Versicherungsmanager 
• Drittanbieter für IKT-Services

Das Zero-Trust-Element der Plattform von Akamai bietet umfassende Transparenz in Bezug auf Assets, Zugriffskontrollen und Netzwerkflüsse und ermöglicht eine detaillierte Durchsetzung von Sicherheitsrichtlinien. Der Einblick von Akamai in Ihre Assets, Zugriffe und Netzwerkflüsse bildet die Grundlage Ihrer Zero-Trust-Sicherheitsstrategie, die sich auch auf das IKT-Risikomanagement von Drittanbietern erstreckt. Und unsere Threat-Hunting-Teams unterstützen Sie dabei, gut getarnte Bedrohungen zu finden und laterale Netzwerkbewegungen im Falle eines Angriffs einzuschränken.

Die globale Plattform von Akamai kann Unternehmen dabei unterstützen, bestehende und aufkommende Bedrohungen zu erkennen und abzuwehren und sich an die sich ändernde Sicherheitslandschaft anzupassen.

Die DORA-Anforderungen konzentrieren sich auf die Cyberresilienz von IKT-Systemen. Folgende Benchmarks sind Teil von DORA:

• Unabhängige Stellen müssen jährlich Resilienz- und Schwachstellentests durchführen. Regelmäßige bedrohungsgesteuerte Penetrationstests sind ebenfalls eine Voraussetzung.
• DORA fordert risikobasierte und umfassende Schutzmaßnahmen. Zu den Sicherheitsmaßnahmen von DORA gehören ein risikobasierter Ansatz für das Netzwerk- und Infrastrukturmanagement; die Implementierung angemessener und umfassender Richtlinien für Schwachstellen wie Patches und Updates; die Verwendung zuverlässiger Authentifizierungsmechanismen und die Beschränkung des physischen und virtuellen Zugriffs auf IKT-Systemressourcen und Daten.
• Es sind Verfahren erforderlich, „um IKT-bezogene Vorfälle zu erkennen, zu bewältigen und zu melden, und Frühwarnindikatoren als Warnmeldungen einzurichten“.
• Die Meldung von Cybersicherheitsvorfällen wird durch Prozesse erleichtert, mit denen wichtige IKT-bezogene Vorfälle überwacht, beschrieben und den DORA-Behörden gemeldet werden können.
• Die DORA-Anforderungen an Management und Sicherheitsverantwortung decken das grundlegende Cybersicherheits-Management und Reaktionen für den Informationsaustausch ab.

DORA und Finanzdienstleister

Der Internationale Währungsfonds (IWF) hat dringende Sicherheitsvorkehrungen im Finanzsektor gefordert, nachdem eine IWF-Umfrage ergab, dass der Sektor durch schwache Schutzmaßnahmen gefährdet ist. Die Bank of England stimmt dem zu, da die H2-Umfrage zu systemischen Risiken ergab, dass 74 % der Befragten Cyberangriffe als das größte Risiko für den Finanzsektor ansehen.

Frameworks und Leitlinien wie DORA bieten Finanzinstituten und ihren Zulieferern wie etwa IKT-Anbietern entscheidende Unterstützung beim Risikomanagement. Untersuchungen für den Verizon Data Breach Investigations Report 2022 (DBIR) zeichneten die größten Cyberbedrohungen im Finanzsektor auf, beispielsweise Datenschutzverletzungen, DDoS und Ransomware. Im Bericht wird darauf hingewiesen, dass gestohlene Anmeldedaten entscheidend zum Gelingen der meisten Cyberangriffe in diesem Sektor beitragen. Die Commodity Futures Trading Commission wies kürzlich darauf hin, dass eine Umfrage von 2022 unter 130 globalen Finanzinstituten ergab, dass 74 % von ihnen im Vorjahr mindestens einen Ransomware-Angriff erlebt haben.

DORA und IKT-Anbieter

Ein wichtiger Aspekt von DORA ist das Risikomanagement für Drittanbieter. Laut dem Verizon DBIR 2022 war der Finanzsektor das zweitbeliebteste Ziel für Angriffe auf die Lieferkette. Die DORA-Compliance soll dies ändern und Cyberangriffe auf Lieferanten und Finanzinstitute verhindern. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) meldete, dass Angriffe auf die Lieferkette immer komplexer und zahlreicher werden und dass Angreifer es auf die Lieferkette abgesehen haben, um Daten und Finanzwerte zu stehlen. DORA koordiniert die Anforderungen auf der Grundlage bestehender Frameworks wie den Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA).

Jeder IKT-Anbieter, der von einer Europäischen Aufsichtsbehörde als „kritisch“ eingestuft wird, unterliegt einem Aufsichtsframework mit strengen Regeln unter der direkten Aufsicht eines benannten federführenden Koordinators.

Zero-Trust-Lösungen bieten Transparenz über das erweiterte Lieferantennetzwerk hinweg, einschließlich IKT-Anbietern. Die Durchsetzung von Sicherheitsmaßnahmen wie geringstmögliche Berechtigungen und die proaktive Kontrolle sensibler Bereiche und Daten verhindert Datendiebstähle und Infektionen durch Ransomware.

Akamai bietet umfassende Lösungen, die bestimmte Anforderungen abdecken und so dazu beitragen können, die betriebliche Ausfallsicherheit im Finanzsektor zu gewährleisten. Die Sicherheitslösungen von Akamai werden von unseren Kunden, die Akamai zum Schutz für kritische Assets nutzen, als branchenführend angesehen. Unser Sicherheitsportfolio hat sich von einer Sammlung von Einzellösungen zu einer umfassenden und leistungsstarken Zero-Trust-Plattform entwickelt. Die erstklassigen Lösungen von Akamai bieten erforderliche Kontrollen, die Unternehmen dabei unterstützen können, strenge Anforderungen zu erfüllen. Dazu zählt auch das Risikomanagement von ICT-Anbietern sowie der Schutz kritischer Assets. Die Zero-Trust-Sicherheit von Akamai bietet die Art von umfassender Abdeckung, die für alle Arten von IT-Umgebungen erforderlich ist – unabhängig von Asset-Art, Traffic-Art (Nord-Süd, Ost-West) oder veralteten Geräten. Akamai bietet umfassende Transparenz für Ihre IT-Umgebung, wichtige Assets, Zugriffsanforderungen und Netzwerkflüsse in Ihrer gesamten Infrastruktur.

DORA basiert auf früheren Arbeiten der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), der Europäischen Bankenaufsichtsbehörde und der Europäischen Wertpapier- und Marktaufsichtsbehörde (sie bilden die Europäischen Aufsichtsbehörden oder ESAs). Aufgrund der digitalen Transformation in der gesamten Finanz- und Versicherungswertschöpfungskette spielt DORA eine wichtige Rolle. Die gesetzlichen Anforderungen von DORA sind erforderlich, um diese neuen und aufkommenden Risiken zu bewältigen und die richtigen Maßnahmen und Sicherheitsvorkehrungen zu treffen, um Cyberangriffe zu verhindern.

Die Meldung von Cybersicherheitsvorfällen durch betroffene Unternehmen ist ein wichtiger Aspekt von DORA. Die betroffenen Unternehmen müssen über Prozesse verfügen, mit denen bedeutende IKT-basierte Vorfälle überwacht, beschrieben und den DORA-Behörden gemeldet werden können.

Darüber hinaus sind die Reporting-Vorgaben für als kritisch eingestufte IKT-Anbieter streng. Sie umfassen eine erste Benachrichtigung an die Behörden, gefolgt von einem Zwischenbericht über den Fortschritt der Behebung des Vorfalls sowie einen Abschlussbericht nach Durchführung der Ursachenanalyse. Derzeit erarbeiten die ESAs Leitlinien für die Klassifizierung von Vorfällen, die Meldepflicht von Vorfällen und die entsprechenden Meldefristen.

DORA muss bis zum 17. Januar 2025 umgesetzt werden. Das bedeutet, bis zu diesem Datum haben Finanzunternehmen und als kritisch eingestufte Drittanbieter von IKT-Services Zeit, um die Einhaltung der Rechtsvorschriften zu gewährleisten. Um Ihr Unternehmen auf die Einhaltung der DORA-Gesetzgebung vorzubereiten, sollten die betroffenen Unternehmen eine Lückenanalyse durchführen, um zu ermitteln, ob die vorhandenen Maßnahmen einige oder alle gültigen Anforderungen erfüllen.