DORA kommt: Neue EU-Verordnung zur Sicherheit im Finanzsektor

Die EU-Verordnung tritt am 17. Januar 2025 in Kraft und soll sicherstellen, dass Finanzunternehmen und IKT-Drittdienstleister in der EU in der Lage sind, Cyberangriffe und andere IKT-bezogene Störungen zu bewältigen und sich davon zu erholen. Als IKT-Dienstleister gelten grundsätzlich solche, die Dienstleistungen im Bereich von Informations- und Kommunikationstechnologien (IKT) anbieten.

Überblick und allgemeine Informationen zu DORA

Das Ziel von DORA ist die Bereitstellung eines EU-weit harmonisierten Rahmens für das Management von Cyber­sicherheits- und IKT-Risiken im Finanzsektor. Die Verordnung betrifft eine breite Palette von Finanzunternehmen und IKT-Drittdienstleistern in der EU, wie zum Beispiel Kreditinstitute, Wertpapierfirmen oder Einrichtungen der betrieblichen Altersversorgung, und umfasst die folgenden wesentlichen Bereiche:

• Finanzunternehmen müssen robuste IKT-Risikomanagementsysteme implementieren, um Bedrohungen zu identifizieren und zu bewältigen. Dies umfasst die Entwicklung und Umsetzung von Strategien, Richtlinien und Verfahren.
• Unternehmen sind verpflichtet, IKT-bezogene Vorfälle zu klassifizieren und zu melden. Dazu ist ein System zur Erkennung, Klassifizierung und Meldung einzurichten, das die zeitnahe Weiterleitung relevanter Informationen an die Behörden ermöglicht.
• Regelmäßige Tests, einschließlich Threat-led Penetration Testing (TLPT), sind erforderlich, um die Widerstands­fähigkeit der Systeme und Prozesse gegen Cyberangriffe zu überprüfen.
• Unternehmen müssen sicherstellen, dass auch ihre Drittanbieter den Anforderungen von DORA entsprechen, indem sie die von Drittanbietern ausgehenden IKT-Risiken bewerten und managen.
• IKT-Drittdienstleister, die als kritisch für die operationale Resilienz von Finanzunternehmen angesehen werden (wie zum Beispiel Cloud-Computing-Dienste oder Anbieter von Datenzentren, Netzwerkinfrastrukturen und Software-as-a-Service-Lösungen), müssen umfangreiche Anforderungen an das IKT-Risikomanagement erfüllen.

Implementierung von DORA und Risiken bei Nichteinhaltung

Die Implementierung von DORA erfordert einen strukturierten Ansatz, wozu regelmäßig die Unterstützung durch Experten ratsam ist. Im Fokus steht dabei die Überprüfung und Bewertung der bestehenden IKT-Systeme und -Prozesse, um deren Eignung vor dem Hintergrund der Anforderungen von DORA sicherzustellen und etwaige Anpassungserfordernisse systematisch zu identifizieren und umzusetzen. So können Unternehmen ihre Wider­stands­fähigkeit gegenüber digitalen Bedrohungen stärken und gleichzeitig regulatorische Risiken minimieren, denn die Nichteinhaltung von DORA kann zu schwerwiegenden Konsequenzen führen. Unternehmen können dann mit erheblichen Geldbußen belegt oder behördlich zur vorübergehenden Einstellung bestimmter Tätigkeiten gezwungen werden. Zudem können Verstöße auch öffentlich bekannt gemacht werden, was zu Reputations­schä­den führen kann und letztlich die Gefahr nachhaltiger Vertrauensverluste birgt.

Fazit

DORA schafft einen EU-weit harmonisierten Rahmen für das Management von Cybersicherheits- und IKT-Risiken im Finanzsektor. Finanzunternehmen müssen in der Folge robuste IKT-Risikomanagementsysteme implementieren, die Widerstandsfähigkeit regelmäßig testen und sicherstellen, dass auch deren Drittanbieter den DORA-Anforde­rungen entsprechen. Verstöße gegen DORA können zu erheblichen finanziellen und reputationsbezogenen Konse­quenzen führen, sodass die Unterstützung bei der Analyse und der Implementierung entsprechender Maßnahmen durch Experten ratsam ist.