Seit 16. Jänner 2023 ist der Digital Operational Resilience Act (DORA) in Kraft und betrifft mehr als 22.000 Finanzunternehmen und IKT-Dienstleister in der EU. Ziel der neuen Verordnung ist es, digitale Risiken auf den Finanzmärkten zu minimieren. Für betroffene Unternehmen gibt es Handlungsbedarf. [...]
Der Digital Operational Resilience Act (DORA) ist eine neue europäische Verordnung für das Management digitaler Risiken auf den Finanzmärkten. Diese gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister in der EU. Für betroffene Organisationen führt DORA einen ganzheitlichen Rahmen für effektive Resilienz ein. Dieser soll unter anderem sicherstellen, dass Finanzunternehmen ihren Betrieb auch bei schwerwiegenden Störungen der Cybersicherheit oder der IKT aufrechterhalten können.
Unternehmen müssen bis zum Ende der Umsetzungsfrist im Jänner 2025 umfassende Maßnahmen im Bereich digitaler Resilienz setzen. Doch welche konkreten Maßnahmen müssen ergriffen werden, und wie können sich Unternehmen effektiv vor den steigenden Cyberbedrohungen schützen?
Welche Organisationen sind betroffen?
DORA betrifft eine Vielzahl von Organisationen im Finanzsektor. Dazu zählen nicht nur Banken und Versicherungsunternehmen, die bereits durch die EBA/EIOPA-Leitlinien zur IKT-Sicherheit und zum Outsourcing mit derartigen Vorschriften vertraut sind, sondern auch Handelsplätze, betriebliche Altersversorgungseinrichtungen, Anbieter von Krypto-Dienstleistungen, Versicherungsvermittler und viele weitere Finanzunternehmen. Auch FinTechs und Startups können der DORA unterliegen, wenn sie zu den in der Verordnung genannten Unternehmenstypen gehören. Für kleinere Unternehmen mit weniger als 10 Mitarbeitenden und begrenztem Jahresumsatz gelten weniger strenge Anforderungen.
Wichtig für IKT-Anbieter, einschließlich Cloud-Service-Provider, im Finanzsektor ist die Einstufung der Dienstleistung. Wenn die erbrachten Dienstleistungen als „kritisch“ für Finanzunternehmen angesehen werden, wird auf den IKT-Anbieter der Geltungsbereich von DORA direkt angewendet. Das erfordert das Einhalten hoher Sicherheitsstandards, um die Widerstandsfähigkeit des Finanzmarktes zu gewährleisten. Zusätzlich fallen einige dieser großen IKT-Anbieter direkt in den Aufsichtsrahmen.
Was kommt auf Unternehmen zu?
Betroffene Unternehmen müssen umfassende Maßnahmen zur Steigerung und Aufrechterhaltung der digitalen Resilienz sicherstellen. Dazu gehören robuste IKT-Systeme und -Werkzeuge, die Auswirkungen von IKT-Risiken und -Vorfällen minimieren. Unternehmen müssen kritische Funktionen und Vermögenswerte identifizieren, klassifizieren und dokumentieren sowie alle IKT-Risiken kontinuierlich überwachen. Ein umfassendes IKT-Risikomanagement ist einzurichten und zu betreiben. DORA fordert zudem regelmäßige, umfassende „bedrohungsorientierte“ Tests der Resilienzmaßnahmen sowie entsprechende Mechanismen zur Erkennung und Meldung von Vorfällen. Ein weiterer Schwerpunkt liegt auf der Sicherstellung eines angemessenen Drittparteien-Managements, insbesondere des damit zusammenhängenden IKT-Risikomanagements.
Wie unterscheidet sich DORA von den bestehenden EBA-/EIOPA-/PSD2-Richtlinien?
Im Gegensatz zu den bestehenden Richtlinien erweitert DORA den Anwendungsbereich und inkludiert nun auch kritische IKT-Dienstleister. Zudem ersetzt DORA verschiedene Einzelrichtlinien für beaufsichtigte Branchen durch eine umfassende harmonisierte Verordnung. In dieser Hinsicht wird erwartet, dass DORA zusammen mit den kommenden Level 2 Regulatory Technical Standards die EBA/EIOPA-Leitlinien für das IKT- und Sicherheitsrisikomanagement durch detaillierte Anforderungen konkretisieren wird.
Wie sind heimische Unternehmen auf die Verordnung vorbereitet? Was sind die größten Herausforderungen?
Eine der größten Herausforderungen für Unternehmen ist die angemessene Erfüllung der komplexen Anforderungen von DORA. Dazu gehört auch die Festlegung des geeigneten Sicherheitsniveaus. Die Umsetzung der Verordnung erfordert zudem Zeit und Ressourcen. Unternehmen sollten sich frühzeitig auf die Umsetzung vorbereiten und gegebenenfalls externe Expertise nutzen, um den Prozess effizient zu gestalten.
Welche konkreten Maßnahmen müssen Unternehmen nun einrichten? Bis wann müssen diese umgesetzt werden?
Unternehmen müssen eine Vielzahl von Maßnahmen ergreifen, darunter IKT-Risikomanagement, Cybersecurity sowie Digital Operational Resilience Strategie und Governance, technische Präventions-, Detektions- und Reaktionsmaßnahmen sowie Tests von Resilienzmaßnahmen und das Management von Informationssicherheit für Drittparteien. Die Umsetzungsfrist für DORA läuft bis Jänner 2025 und es empfiehlt sich daher, zeitnah mit der Planung und Umsetzung zu beginnen.
Wo sollen Unternehmenslenker:innen beginnen?
Um die Anforderungen von DORA erfolgreich zu erfüllen, ist eine proaktive Herangehensweise entscheidend. Unternehmen sollten zeitnah eine umfassende Analyse durchführen, um die notwendigen Maßnahmen zu identifizieren und zu priorisieren. Eine enge Zusammenarbeit zwischen IT- und Geschäftsbereichen ist dabei unerlässlich. Die Implementierung und der Betrieb der Maßnahmen erfordern ein kontinuierliches Monitoring und regelmäßige Anpassungen, insbesondere aufgrund der noch zu entstehenden Konkretisierungen. Hierbei kann die Unterstützung externer Expert:innen den Prozess beschleunigen und sicherstellen, dass alle Anforderungen rechtzeitig erfüllt werden.
Darüber hinaus ist es wichtig, dass Unternehmen nicht nur die regulatorischen Anforderungen erfüllen, sondern auch eine Kultur der Cybersicherheit im gesamten Unternehmen etablieren. Bewusstseinsbildung und Schulungen für Führungskräfte, Schlüsselrollen und alle weiteren Mitarbeiter:innen sind daher essenziell, um die digitale Resilienz auf allen Ebenen zu stärken.
Die DORA-Verordnung ist ein wichtiger Schritt zur Stärkung der digitalen Resilienz im Finanzsektor. Cybercrime bleibt auch unabhängig von DORA eine stetig wachsende Bedrohung, daher ist eine nachhaltige und zyklische Planung von Cybersecurity notwendig. Mit einer frühzeitigen und strategischen Herangehensweise können Unternehmen ihre digitale Resilienz stärken und sich effektiv vor Cyberangriffen schützen. Die Umsetzung von DORA sollte nicht als lästige Pflicht, sondern als Chance zur nachhaltigen Stärkung der Sicherheit und Widerstandsfähigkeit gegenüber digitalen Risiken betrachtet werden.
* Georg Beham ist Cybersecurity & Privacy Lead bei PwC Österreich. Serhat Ada ist Cybersecurity- & DORA-Experte bei PwC Österreich.
Be the first to comment