Mit dem Digital Operational Resilience Act (DORA) hat die EU einen neuen Standard für operative Resilienz, Cybersicherheit und Risikomanagement eingeführt. [...]
Vor dem Hintergrund zunehmender Cyber-Bedrohungen und einer immer komplexeren digitalen Infrastruktur, ist DORA ein wichtiger Schritt zur Stärkung der Widerstandsfähigkeit und Sicherheit europäischer Unternehmen. Das Gesetz stellt insbesondere an Finanzinstitute und verwandte Sektoren erhöhte Anforderungen – unter anderem in den Bereichen Third Party Risk Management, Incident Reporting und Business Continuity.
Wie sich Unternehmen auf DORA vorbereiten können und welche Herausforderungen und Chancen existieren, schildern Technologieexperten.
„DORA definiert neue Standards in Sachen Resilienz, Transparenz und operativer Widerstandsfähigkeit“, sagt Michael Breidenband, Country Manager Germany bei Adacta. „Um die Anforderungen in Bereichen wie IKT-Risikomanagement, Cybersicherheit, Resilienzprüfungen und Risikokontrollen durch Dritte zu erfüllen, müssen Versicherer ihre Systeme und Prozesse modernisieren. Plattformen, die einen Fokus auf Skalierbarkeit und Zuverlässigkeit legen, sind für das Erfüllen dieser Anforderungen und damit für den Aufbau von Kundenvertrauen von entscheidender Bedeutung. Um im Kontext von DORA auch weiterhin erfolgreich zu sein, müssen Versicherer integrierte, zukunftssichere Lösungen nutzen, die sowohl die betriebliche Effizienz als auch Resilienz steigern, anstatt der bisher genutzten, veralteten und ineffizienten Technologien und Prozesse. Diese Herausforderung – also eine Investition in skalierbare, digitale Lösungen – zu meistern, ermöglicht es ihnen nicht nur, die Anforderungen von DORA und anderer regulatorischer Standards zu erfüllen, sondern schafft auf lange Sicht auch mehr Vertrauen bei Kunden und anderen Stakeholder-Gruppen.“
Laut Matthias Bissinger, Senior Security Consultant bei aDvens, können deutsche Finanzdienstleister aufgrund der bereits existenten Vorgaben aus Verwaltungsvorschriften wie MaRisk oder BAIT/VAIT auf einer soliden Basis aufbauen. „Mit DORA werden diese nun konkretisiert und zudem auf Gesetzesebene verankert. Dies erhöht den Druck bei der Umsetzung, insbesondere beim Risikomanagement von IKT-Drittdienstleistern sowie dem kontinuierlichen Testen der operationalen Resilienz. Damit einhergehen erhöhte Verwaltungsaufwände bis hin zur Notwendigkeit, Verträge mit Suppliern neu zu gestalten, da diese im Rahmen von DORA mehr denn je in die Pflicht genommen werden. Auf operativer Seite rücken technische Maßnahmen wie Netzwerksegmentierung, Notfallübungen und die kontinuierliche, automatisierte Überwachung der digitalen Infrastruktur noch mehr in den Fokus. Das führt wiederum zu einem erhöhten Bedarf an erfahrenem Fachpersonal. Aus Kostengründen kann es sich lohnen, Mitarbeiter in sicherheitsrelevanten Themen wie Bedrohungserkennung und Krisenmanagement weiterzubilden, da dies nicht nur die Mitarbeiterbindung, sondern auch die Nachhaltigkeit fördert. Alles in allem bietet DORA einen stabilen Rahmen zur Steigerung der operationalen Resilienz. Vor allem der Auswahl der Dienstleister wird künftig eine stärkere Bedeutung zukommen, da ein hoher Reifegrad sowohl zu mehr digitaler Sicherheit als auch zu geringeren Aufwänden bei der Umsetzung der vielfältigen Maßnahmen führt.“
Michael Zajusch, Regional VP Sales DACH bei Barracuda, ist der Meinung, dass mit DORA anerkannt werde, in welchem Umfang Finanzdienstleistungen mittlerweile von digitaler Infrastruktur abhängen und wie wichtig es sei, diese Infrastruktur zu sichern. „Ein erfolgreicher Cyberangriff kann viele Personen, Organisationen, die Wirtschaft und die Gesellschaft insgesamt betreffen – und langfristige, kostspielige Auswirkungen haben. Eine robuste digitale Sicherheit ist daher nicht länger ein optionales Extra, sondern eine unternehmerische Pflicht. DORA verpflichtet Unternehmen, widerstandsfähige Verfahren einzuführen und Sicherheitsvorfälle und Ausfälle zu melden. Auch wenn die neue Gesetzgebung auf den ersten Blick keine radikale Abkehr von bereits bewährten Verfahren darstellt, besteht der entscheidende Unterschied darin: DORA wird von Organisationen verlangen, auch nachzuweisen, dass sie tun, was sie tun sollten.“ Und: „Organisationen müssen jetzt zwei wesentliche Schritte unternehmen. Zum einen müssen sie feststellen, ob DORA heute oder in Zukunft direkt auf ihr Unternehmen anwendbar ist. Zum anderen sollten sie eine Gap-Analyse durchführen, um zu messen, wie ausgereift ihre Cybersicherheit ist und ob ihre Systeme den in der Verordnung geforderten entsprechen. Im Anschluss können sie beginnen, die gefundenen Lücken zu schließen und die erforderlichen Mitarbeitenden, Prozesse und Technologien zu implementieren. In vielerlei Hinsicht schärft DORA daher das Bewusstsein für Cybersicherheitsansätze, die alle Unternehmen unabhängig von ihrer Branche verfolgen sollten.“
„DORA umfasst eine Reihe an komplexen Anforderungen, darunter IKT-Risikomanagement-Rahmenwerke, Incident-Meldungen, Belastbarkeitstests und Risikomanagement durch Dritte“, sagt Arun Kumar, Regional Director bei ManageEngine. „Finanzinstitute müssen beispielsweise die Zuverlässigkeit ihrer Drittanbieter bewerten, die Einhaltung aller durch DORA definierten Anforderungen überwachen und robuste Pläne für die Reaktion auf Sicherheitsvorfälle entwickeln. Diese Aufgabendichte kann schnell zu einer Herausforderung werden, insbesondere für Organisationen mit zahlreichen Drittanbietern. Gleichzeitig müssen Belastbarkeitstests durchgeführt werden. Nur so kann die tatsächliche Wirksamkeit der operativen Belastbarkeitsstrategie einer Organisation bewertet werden. Bei solchen Tests werden verschiedene Szenarien wie Cyberangriffe, Naturkatastrophen und technische Ausfälle simuliert. Die Entwicklung und Durchführung kann jedoch kostspielig sein und erfordert Fachexpertise. Die Implementierung von DORA bietet Finanzinstituten aber die ideale Gelegenheit, ihre Strategie zur operativen Belastbarkeit zu überprüfen und diese gegebenenfalls noch sicherer und zukunftsfähiger zu gestalten. Dabei geht es um mehr, als einfach nur Anforderungen abzuhaken. Es geht darum, operative Belastbarkeit als Mindset in der Organisation zu etablieren und zu fördern. Auf lange Sicht kommt dies dem gesamten EU-Finanzsektor zugute, der an Zuverlässigkeit und Vertrauenswürdigkeit gewinnt.“
Für Peter Carlstedt, CLO bei Scrive, sind Gesetze wie DORA oft ein zweischneidiges Schwert. „Sie zielen zwar darauf ab, die digitale Resilienz zu stärken, können aber gleichzeitig die Komplexität für Unternehmen erheblich steigern – dies zeigt sich im höheren Aufwand für interne Compliance- und Überwachungstätigkeiten, die von Finanzinstituten gefordert und von Unternehmen geleistet werden müssen. Dieser zusätzliche Aufwand könnte einige Unternehmen, insbesondere in Deutschland, sogar dazu veranlassen, auf Drittanbieter zu verzichten und stattdessen zu versuchen, proprietäre Lösungen zu entwickeln – ein Schritt, der die digitale Transformation als Ganzes verlangsamen könnte. Für IKT-Dienstleister stellt DORA jedoch auch eine bedeutende Chance dar, da sie sich als verlässliche, belastbare Partner positionieren können, die ihre Kunden dabei unterstützen, die nun strengeren Compliance-Anforderungen zu erfüllen. Finanzinstitute wiederum könnten eher dazu geneigt sein, digitale Dienstleistungen gemeinsam mit solchen, geprüften Anbietern umzusetzen – so entsteht ein positiver Kreislauf von Compliance-getriebener Innovation und Kollaboration.“
Be the first to comment