DORA
Die Umsetzung des Digital Operational Resilience Act (DORA) erfordert eine ebenso agile wie sicherheitsbewusste Herangehensweise. In Zeiten, in denen die digitale Betriebsbereitschaft für Unternehmen von entscheidender Bedeutung ist, kommt der Integration von Sicherheitsmaßnahmen in Ihre Geschäftsprozesse eine zentrale Rolle zu.
Digital Operational Resilience Act
Die Europäische Kommission verfolgt mit der DORA-Verordnung (Digital Operational Resilience Act) das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen, um die Harmonisierung der Sicherheit im gesamten EU-Finanzsektor zu erreichen. Dabei wird der Schwerpunkt von der Gewährleistung der finanziellen Widerstandsfähigkeit von Finanzunternehmen verlagert auf die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes und der Informationssysteme gefährden könnte.
Steigerung der Cybersicherheit und -Resilienz
Angesichts der zunehmenden Zahl von Cyberangriffen ist es für Finanzunternehmen wichtiger denn je, sich auf potenzielle Vorfälle vorzubereiten und Maßnahmen zur Stärkung der Cyber-Resilienz zu ergreifen. Dies könnte Anpassungen und zusätzliche Ressourcen erfordern. Dennoch betrachten wir die Einführung von DORA als eine bedeutende Chance für Finanzunternehmen. Sie bietet die Möglichkeit, durch eine gesteigerte Resilienz und die Erreichung eines konsistenten Reifegrads in Bezug auf Cybersicherheit ein deutlich höheres Sicherheitsniveau zu erreichen.
Für wen gilt DORA?
DORA gilt im Grunde genommen – mit wenigen Ausnahmen – für alle regulierten Finanzunternehmen in der EU, einschließlich IKT-Drittdienstleister.
Die Anforderungen gelten nicht nur für Kreditinstitute, Versicherungen und Wertpapierfirmen, sondern auch für alle Unternehmen mit Finanzbezug, wie zum Beispiel Zahlungsinstitute, Kapitalverwaltungsgesellschaften, Anbieter von Kryptodienstleistungen, Ratingagenturen und IKT-Dienstleister. Es können nationale Ausnahmen für bestimmte Bereiche wie Förderinstitute definiert werden.
Vertrauen Sie auf Experten!
Die MACONIA unterstützt Sie aktiv die Anforderungen des DORA in Ihre Organisation zu integrieren. Wir verstehen, dass die operative Resilienz nicht nur eine Vorschrift ist, sondern eine strategische Notwendigkeit darstellt. Genau deshalb bieten wir Ihnen unsere Expertise, um die notwendigen Maßnahmen erfolgreich umzusetzen.
Bis wann müssen Sie die Anforderungen umsetzen?
Die Frist für die Implementierung der DORA-Verordnung, die am 16.01.2023 in Kraft getreten ist, beträgt zwei Jahre.
Im ersten Halbjahr 2024 werden die ersten RTS/ITS zu ICT Risk Management Framework, Operativer Sicherheit, Klassifizierung von ICT-Vorfällen und ICT-Drittparteirisikomanagement veröffentlicht. Im zweiten Halbjahr 2024 folgt die Veröffentlichung der zweiten RTS/ITS, unter anderem zur Meldung von ICT-Vorfällen, Kriterien, Methodologien und Anforderungen für das Testen der digitalen operational Resilience sowie Vorgaben zur Gestaltung von Sub-Outsourcing-Arrangements. Die DORA-Anforderungen müssen bis 2025 erfüllt sein, da sie 24 Monate nach Inkrafttreten durchsetzbar werden.
Unsere Empfehlung
Trotz der bis Januar 2025 geltenden Umsetzungsfrist sehen wir bereits jetzt einen erheblichen Druck bei Finanzunternehmen, ihre Handlungsbedarfe im Hinblick auf die DORA-Anforderungen zu identifizieren und umzusetzen. Besonderes Augenmerk liegt derzeit auf der Einführung eines umfassenden IKT-Risikomanagements.
DORA sollte unabhängig davon, wo Sie sich in Bezug auf den Reifegrad ihrer digitalen und betrieblichen Widerstandsfähigkeit befinden, der Auslöser für den Beginn oder die Verbesserung Ihrer Widerstandsfähigkeit sein.
MACONIA unterstützt Sie bei der Einhaltung der DORA-Vorschriften, von der Bewertung Ihrer aktuellen Lage bis zur Umsetzung von Maßnahmen in Ihr Management.
DORA legt den regulatorischen Fokus auf fünf wesentliche Säulen
Operationale Resilience und Risiko-management
Vorfall-Meldewesen
Testen der operationalen Resilienz
IKT-Drittparteienrisikomanagement
Informations-austausch
Jetzt anfragen