Was eine Beratung zu DORA, dem Digital Operations Resilience Act, leisten kann
Beratung DORA
- 06.05.2024
Ein europäisches Vorzeigeprojekt nimmt Gestalt an
Am 14. Dezember 2022 haben das Europäische Parlament und der Europäische Rat den Digital Operations Resilience Act (DORA) beschlossen. Die Verordnung sieht ein einheitliches Regelwerk vor, um den gesamten Finanzdienstleistungssektor der EU gegen Cyberrisiken abzusichern. Die DORA-Anforderungen gelten für verschiedene Arten von Finanzunternehmen sowie für Anbieter von Informations- und Kommunikationstechnologien (IKT), die für sie tätig sind. Die Regelungen betreffen innerhalb der EU schätzungsweise über 22.000 Firmen und gelten ab dem 17. Januar 2025.DORA soll im Wesentlichen folgende Ziele erreichen:
- die Vereinheitlichung bestehender europäischer und nationaler Standards, inklusive die Behandlung, Klassifizierung und Berichterstattung bei sicherheitsrelevanten Vorfällen
- das wirksame Risikomanagement von Informations- und Kommunikationstechnologien inklusive Tests der digitalen Resilienz
- eine hinreichende Absicherung gegen Cyberrisiken
- das Etablieren eines Rechtsrahmens für die Überwachung von IKT-Drittanbietern
- das Management des gegebenenfalls verbleibenden IKT-Drittparteirisikos
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen
Die drei europäischen Aufsichtsbehörden European Securities and Markets Authority (ESMA), European Banking Authority (EBA) und European Insurance and Occupational Pensions Authority (EIOPA) erarbeiten gemeinsam Leitlinien und Standards für die technische Regulierung und Implementierung zur konkreten Umsetzung von DORA. Am 17.01.2024 wurden die ersten Entwürfe veröffentlicht.
Erhebliche Kontroll- und Nachweispflichten
In Deutschland stellen sich die Bundesanstalt für Finanzdienstleistungsaufsicht BaFin und die Deutsche Bundesbank auf DORA ein – durch Anpassung ihrer Aufsichts- und Verwaltungspraxis sowie durch die Implementierung von IT-Prozessen. Die BaFin wird zum Beispiel als nationale Meldestelle für IKT-Vorfälle agieren, Anzeigen im Rahmen des IKT-Drittparteimanagements entgegennehmen und Drittanbieter mit Blick auf potenzielle Risiken analysieren.BaFin und Deutsche Bundesbank benennen auch bereits konkrete Anforderungen an Finanzunternehmen. Zum Beispiel müssen Quellcodes zukünftig auf Verwundbarkeit und Anomalien überprüft werden. Das gilt für proprietäre ebenso wie für Software, die von Dritten bereitgestellt wird, etwa von Cloud-Anbietern. Außerdem ist eine sogenannte Anomalie-Erkennung zu implementieren: Finanzunternehmen müssen einen Schwellenwert definieren, oberhalb dessen ein ungewöhnlicher Vorfall als kritisch gilt und Alarm auslöst.
Als weitere Maßnahme ist es vorgegeben, dass Daten ihrem Schutzstatus entsprechend verschlüsselt werden, gleich, ob sie sich in Speicherung, Übertragung oder Bearbeitung befinden. Für interne und externe Netzwerke sind Regeln der Verschlüsselung festzulegen; für den kryptografischen Schlüssel ist ein Lifecycle-Management einzurichten.
Finanzunternehmen müssen Softwarekomponenten – eigene wie fremdbezogene – regelmäßig automatisch auf Schwachstellen scannen und erkannte Probleme angemessen mit Kunden, Partnern und Dienstleistern kommunizieren. Das Lieferkettenrisiko und Risikomanagement verbleibt also bei ihnen.
Zudem sind externe Kontrollen einzurichten. Beispielsweise müssen Regeln für Firewalls, die kritische oder wichtige Funktionen schützen, alle sechs Monate rezertifiziert werden, alle anderen jährlich. Die gesamte Netzwerkarchitektur ist mindestens einmal im Jahr einem vollständigen Review zu unterziehen. Subnetze, Netzwerkkomponenten und Geräte müssen gegebenenfalls temporär isoliert werden können.
Die aufgelisteten Maßnahmen sind wohlgemerkt nur ein Ausschnitt der IKT-Security-Maßnahmen, die durch DORA auf Finanzunternehmen und Dienstleister des Sektors zukommen.
DORA-Beratung auf Zeit
In den letzten Monaten verzeichnete SYNSERO vermehrt Anfragen nach Experten für die Umsetzung von DORA und konnte durch die Vermittlung ausgesuchter Spezialisten für Business-Continuity-Management, Cyber- und Informationssicherheit sowie Auslagerungsmanagement zahlreiche Finanzunternehmen und Dienstleister unterstützen.
SYNSERO agiert dabei nicht nach starren Vorgaben, sondern passt das "Matching" flexibel den Erfordernissen von Markt, Auftraggeber und Freelancer an, im Sinne der für alle Beteiligten optimalen Lösung.
Kunden erhalten so eine auf das individuelle Projekt maßgeschneiderte Unterstützung, ohne Mindestvertragslaufzeit und bei kurzen Kündigungsfristen. Sie sparen Zeit und Kosten, da SYNSERO das Recruiting und die Auswahl des Experten übernimmt sowie rechtssichere Verträge inklusive Compliance-Vorgaben ausarbeitet. Durch umfassende Bewertungen kann die Gesellschaft eine Qualitätsgarantie für ihre Berater geben.
Freelancer hingegen profitieren bei SYNSERO von einem exzellenten, verbindlichen Service, der auf lange Partnerschaft ausgelegt ist. Zum Umgang auf Augenhöhe zählen ehrliches Feedback und transparentes Vorgehen.
