Das Finanzwesen befindet sich in einem raschen technologischen Wandel, der sowohl beispiellose Chancen als auch Risiken mit sich bringt. Als Reaktion darauf hat die Europäische Union im Januar 2023 im Rahmen ihres Digital Finance Package den Digital Operational Resilience Act (DORA) eingeführt. [...]
Die Verordnung ist nicht nur eine neue Reihe von Richtlinien, sondern ein rechtsverbindlicher Rahmen, der sicherstellen soll, dass Finanzinstitute und alle damit verbundenen Unternehmen eine robuste, widerstandsfähige IT-Umgebung aufrechterhalten. Die Frist für die Einhaltung der Vorschriften rückt immer näher, auch wenn der ursprünglich anvisierte Termin nicht gehalten werden konnte. DORA setzt bereits Prioritäten in den Führungsetagen und IT-Abteilungen und fordert ein ernsthaftes Engagement für Ausfallsicherheit und Datenschutz. VAST Data, Anbieter moderner Datenplattformen, erläutert grundlegende Aspekte von DORA im Zusammenhang mit Cyberresilienz.
Warum DORA gerade jetzt wichtig ist
DORA wurde nicht als eine weitere Pflichtübung konzipiert, sondern als proaktiver Regulierungsrahmen, der darauf abzielt, die sich schnell entwickelnden Cyberrisiken, mit denen Finanzdienstleister und die mit ihnen verbundenen Unternehmen konfrontiert sind, zu bewältigen. Im Gegensatz zu früheren Vorschriften, die sich hauptsächlich auf Banken konzentrierten, gilt DORA für ein breites Spektrum von Unternehmen, die integraler Bestandteil des Finanzökosystems im Europäischen Wirtschaftsraum (EWR) sind, und vor allem für alle Unternehmen, die innerhalb dieses Ökosystems Geschäfte tätigen. Dazu gehören nicht nur traditionelle Finanzinstitute wie Banken und Kreditinstitute, sondern auch Anbieter von Zahlungs- und Kontoinformationen, E-Geld- und Krypto-Asset-Dienste, Zentralverwahrer, Investmentfirmen, Versicherungsanbieter und sogar Drittanbieter von IKT-Diensten.
Im Wesentlichen wird von einem Unternehmen, wenn es – direkt oder indirekt – eine Rolle im Finanzökosystem im EWR spielt, erwartet, dass es DORA einhält. Die Verordnung schreibt vor, dass alle betroffenen Unternehmen ihre Resilienzpläne an die heutige Bedrohungslandschaft anpassen, wie sie von der Agentur der Europäischen Union für Cybersicherheit (ENISA) in ihrem 2024 Threat Landscape Report ermittelt wurde. Führende Bedrohungen wie Ransomware, Malware und Social-Engineering-Angriffe sind besonders besorgniserregend. DORA setzt voraus, dass Unternehmen über schnelle Reaktions- und Wiederherstellungsmaßnahmen verfügen, die „dem Risiko angemessen“ sind.
DORA ist ein dringender Aufruf zum Handeln, und CIOs, Datenmanager und Drittanbieter sind nun nicht nur für ihre eigene Compliance verantwortlich, sondern auch für den Schutz der vernetzten Finanzinfrastruktur, die sie unterstützen. Die Nichteinhaltung kann zu schweren Strafen führen, einschließlich Geldbußen von bis zu zwei Prozent des gesamten weltweiten Jahresumsatzes, und zu Offenlegungspflichten, die das Vertrauen von Kunden und Partnern untergraben könnten. Mit anderen Worten: Bei DORA geht es nicht nur darum, regulatorische Standards zu erfüllen, sondern auch darum, die Resilienz und Integrität des gesamten Finanzökosystems zu erhalten.
Kernkomponenten der DORA-Compliance
Das Herzstück von DORA liegt in der Verbesserung der operativen Resilienz in mehreren Schwerpunktbereichen und bietet Finanzinstituten sowie verwandten Institutionen eine Blaupause, um potenzielle Störungen zu bewältigen, ihnen standzuhalten und sich von ihnen zu erholen. Folgendes müssen Unternehmen priorisieren:
- Wiederherstellung und Datenschutz: Ransomware wurde von der ENISA als größte Bedrohung identifiziert, sodass Funktionen für die schnelle Datenwiederherstellung im Rahmen von DORA unerlässlich sind. Für viele Finanzunternehmen und ihre Partner erfüllen herkömmliche Datensicherungslösungen, die auf festplattenbasierten Backups basieren, die Anforderungen von DORA an die Wiederherstellungszeit nicht, da die Wiederherstellung kritischer Daten mit Raten von < 8 TB pro Stunde Tage dauern kann. Im Gegensatz dazu erreichen Lösungen wie die Flash-basierte Plattform von VAST Data Wiederherstellungsgeschwindigkeiten von über 360 TB pro Stunde für eine Einstiegskonfiguration. Dies stellt sicher, dass Daten in Minuten statt in Stunden oder Tagen wiederhergestellt werden. Für von DORA betroffene Unternehmen ist diese Geschwindigkeit unerlässlich – Daten müssen schnell wiederherstellbar sein, um die betrieblichen Auswirkungen eines Angriffs zu minimieren.
- Erweiterte Bedrohungserkennung und -reaktion: DORA legt auch Wert auf proaktive Bedrohungserkennung und Reaktion auf Vorfälle. Finanzinstitute, Versicherungsunternehmen, Krypto-Asset-Dienstleister und sogar Drittanbieter von IKT müssen in der Lage sein, Bedrohungen wie Ransomware und Malware zu erkennen und darauf zu reagieren, bevor sie eskalieren können. Die VAST-Datenplattform integriert Algorithmen für maschinelles Lernen, die Anomalien in Echtzeit erkennen können, sodass Finanzunternehmen Angreifern immer einen Schritt voraus sind. Bei diesem proaktiven Ansatz geht es nicht nur um Compliance, sondern auch um die Sicherung der Resilienz des gesamten Finanzökosystems.
- Abschwächung von Social-Engineering-Angriffen: Social Engineering, insbesondere Phishing, stellt ein weiteres kritisches Risiko dar. Um es zu bekämpfen, müssen Unternehmen eine robuste Benutzervalidierung, eine kontinuierliche Zugriffsüberwachung und umfassende Prüfprotokolle implementieren. Die VAST Data Platform bietet mehrschichtige Zugriffskontrollen, die verdächtige Zugriffsversuche melden und eine schnelle Untersuchung ermöglichen. Durch die Stärkung der Benutzervalidierung und der Überwachung des Zugriffsverhaltens unterstützt VAST Data Finanzunternehmen und ihre Partner bei der Erfüllung der strengen Sicherheitsanforderungen von DORA und bietet gleichzeitig einen zusätzlichen Schutz vor Social-Engineering-Risiken.
Ein Regulierungsrahmenwerk mit Biss
DORA bringt mehr als nur Richtlinien, es bringt Durchsetzung. Jedem von DORA abgedeckten Unternehmen wird ein „leitender Aufseher“ zugewiesen, der Audits durchführt und die Einhaltung der Vorschriften sicherstellt. Diese Aufsicht bedeutet, dass Institutionen in der Lage sein müssen, ihre Bereitschaft durch Routineprüfungen nachzuweisen und regelmäßig ihre Widerstandsfähigkeit unter Beweis zu stellen. Die Nichteinhaltung ist nicht nur eine Möglichkeit, sondern eine Haftungsfrage. Wie bereits erläutert, kann die Nichteinhaltung der DORA-Standards erhebliche finanzielle Strafen, betriebliche Einschränkungen und schwere Rufschädigungen nach sich ziehen.
Für CIOs und Datenschutzbeauftragte in den betroffenen Sektoren bedeutet DORA eine Verlagerung von Best-Practice-Empfehlungen hin zu durchsetzbaren Anforderungen. Der Ansatz der Verordnung, der dem Risiko angemessen ist, bedeutet, dass Bedrohungen mit hoher Priorität Lösungen mit ebenso hoher Priorität erfordern. Finanzdienstleister, Zahlungsinstitute, Versicherungsgesellschaften, Krypto-Asset-Dienstleister und andere miteinander verbundene Unternehmen sind aufgefordert, Altsysteme, die modernen Cyberbedrohungen möglicherweise nicht standhalten, neu zu bewerten.
Zeit zum Handeln: Vorbereitung auf die DORA-Compliance
Die Erreichung der DORA-Compliance erfordert umfangreiche Planungen, Tests und System-Upgrades. Während viele DORA-Grundsätze mit dem bestehenden NIST-Rahmenwerk übereinstimmen, müssen Finanzunternehmen, von Banken bis hin zu Versicherungsanbietern, von Zahlungsabwicklern bis hin zu IKT-Dienstleistern, ihre bestehenden Technologie-Stacks bewerten und jetzt konkrete Schritte unternehmen. Es ist klar, dass Datenschutz, Betriebsstabilität und schnelle Wiederherstellung oberste Priorität haben müssen, wobei eine schnelle Wiederherstellung, proaktive Bedrohungserkennung und strenge Zugriffskontrollen vorhanden sein müssen, um die gesetzlichen Standards zu erfüllen.
Da das Übersichtsrahmenwerk von DORA allmählich in Kraft tritt, könnten Unternehmen, die zögern, unvorbereitet sein und sowohl Sicherheitsrisiken als auch hohen Bußgeldern und Markenschäden ausgesetzt sein. Die Zusammenarbeit mit Partnern, die die Anforderungen der Verordnung verstehen, und die Einführung zukunftsweisender Lösungen ist jetzt angebracht. So können Unternehmen sicherstellen, dass sie nicht nur die Vorschriften einhalten, sondern auch gegen die sich entwickelnde Bedrohungslandschaft und die sich abzeichnenden regulatorischen Rahmenbedingungen gewappnet sind.
Be the first to comment