In einer Welt, die immer stärker von digitaler Technologie durchdrungen ist, wird der Schutz vor Cyber-Bedrohungen zu einer entscheidenden Säule für das reibungslose Funktionieren unserer Gesellschaft. Um diesem wachsenden Bedarf gerecht zu werden, hat das Europäische Parlament das EU-Recht um wegweisende neue Vorschriften im Bereich Cybersicherheit erweitert - den Digital Operational Resilience Act (DORA). Cybersicherheit umfasst alle Maßnahmen, die notwendig sind, um Netz- und Informationssysteme, deren Nutzer sowie alle anderen von Cyberbedrohungen betroffenen Personen zu schützen.
Der Digital Operational Resilience Act, oder auch DORA-Verordnung (2022/2554), trat mit dem 17. Januar 2023 direkt in allen EU-Mitgliedsstaaten in Kraft, musste somit nicht erst in nationales Recht umgesetzt werden. Ab dem 17. Januar 2025 ist sie nun auch anzuwenden. Die Verordnung gilt für nahezu alle Organisationen im Finanzsektor.
Das Ziel der DORA-Regulation besteht darin, das Cybersicherheitsniveau der Finanzbranche innerhalb der EU zu vereinheitlichen und zu erhöhen, um die Fähigkeit Schäden durch Cyberangriffe Stand zu halten und zu stärken (Resilienz, oder Widerstandsfähigkeit).
Große Banken und andere Unternehmen im Finanzsektor betreiben schon länger organisatorische Prozesse und IT-Systeme zur Erhöhung der Sicherheit und Resilienz und haben entsprechende Ressourcen bereitgestellt. Jedoch, insbesondere bei kleinen und mittelgroßen Organisationen, stellt die Einhaltung der gesetzlichen Mindestvorgaben aus DORA und begleitenden Standards oft den Anfang einer strukturierten Auseinandersetzung mit Cybersicherheit und IT-Resilienz dar.
Die DORA-Regulierung bietet einen breiten Rahmen, mit dessen Hilfe bisher nicht berücksichtigte Bereiche auch außerhalb der IT (sogenannte „blinde Flecken“) oft zum ersten Mal in den Fokus des Informationssicherheitsmanagements (ISMS) rücken. Denn Cybersicherheit ist schon lange nicht mehr nur ein technisches IT-Thema, sondern erfordert mittlerweile die aktive Beteiligung der gesamten Organisation – von der Technik über die Geschäftsprozesse und den Vertrieb bis hin zur Geschäftsführung.
Wer Ressourcen langfristig effektiv einsetzen muss, ist gut beraten von Anfang an nicht nur auf die Einhaltung von Gesetzen und Standards zu achten. Denn Compliance bedeutet nicht automatisch auch Sicherheit vor Diebstahl, Manipulation und Veröffentlichung geschäftskritischer Informationen oder negativen Schlagzeilen mit großer Medienreichweite. Aus diesem Grund hat der Gesetzgeber den Vorgaben aus dem Digital Operational Resilience Act auch einen risikobasierten Ansatz zugrunde gelegt. Demzufolge können betroffene Einrichtungen unter Berücksichtigung der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere (inkl. gesellschaftlichen und wirtschaftlichen Auswirkungen) selbst über angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen entscheiden.
Auf diese Weise soll der effektive Aufbau widerstandsfähiger Systeme begünstigt werden und nicht die effiziente Befolgung starrer Vorgaben. Denn effektive Informationssicherheitskontrollen verlangsamen das Geschäft nicht, sondern ermöglichen erst – wie die Bremsen eines Autos – ein schnelleres und sichereres Fahren in eine digitale Zukunft.
DORA gilt für alle in der EU tätigen Finanzinstitute (FI). In den direkten Geltungsbereich der Regulierung fallen konkret (Artikel 2 Absatz 1 DORA):
a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister,
u) IKT-Dienstleister.
Auch Organisationen, die nicht direkt in diese Arten von Unternehmen fallen, sondern als Zulieferer oder Partner fungieren, können indirekt vom Digital Operational Resilience Act betroffen sein. Denn auch sie können potenzielle Einfallstore für Cyberangriffe darstellen.
Betroffene Organisationen müssen umfangreiche Vorgaben an die Cybersicherheit erfüllen. Diese lassen sich im Wesentlichen in die folgenden 5 Säulen zusammenfassen:
Der Digital Operational Resilience Act ist am 16. Januar 2023 in Kraft getreten und gibt eine Umsetzungsfrist von zwei Jahren vor. Bereits im Laufe des Jahres 2024 wurden wichtige technische Regulierungsstandards (RTS) und Durchführungsstandards (ITS) veröffentlicht:
Die Implementierungsfrist von DORA gilt bis Januar 2025. Das bedeutet, dass die Finanzinstitute alle Anforderungen des Digital Operational Resilience Acts bis zu diesem Zeitpunkt vollständig erfüllt haben sollten.
DORA stellt betroffene Organisationen vor große Herausforderungen, bietet aber auch die Gelegenheit, die eigene Cybersicherheit erheblich zu verbessern. Ein ganzheitlicher Ansatz, der sowohl über die IT hinausgeht als auch risikobasierte Entscheidungsgrundlagen bereitstellt ermöglichen es Organisationen, nicht nur die Anforderungen der DORA-Regulierung zu erfüllen, sondern auch ihre Widerstandsfähigkeit zu stärken.
Zur praktischen Umsetzung dieses ganzheitlichen Ansatzes, empfehlen wir ein strukturiertes, regelmäßiges und selbst-verbesserndes Vorgehen zu wählen. Hierfür bieten etablierte Cybersicherheitsstandards, wie z.B. ISO 27001, einen Plan-Do-Check-Act-Zyklus, mit dem das Management-System aus Richtlinien, Risikomanagement, Maßnahmen und Überprüfungen regelmäßig durchgeführt wird. Hierbei werden Schwächen in Prozessen sowie organisatorischen und technischen Maßnahmen erkannt und die Risiken für die Organisation sowie verbessernde Schritte abgeleitet.
Da die Planung und Einführung dieses Management-Systems einen wesentlichen Mehraufwand bedeutet, kann Sie A1 Digital mit der Dienstleistung des „CISO-as-a-Service“ begleiten. Unsere Chief Information Security Officers (CISOs) verfügen über jahrelange praktische Berufserfahrung und aktuelle sicherheitsspezifische Ausbildungen, um Sie professionell zu unterstützen. Ob der „CISOaaS“ für Sie alle cybersicherheitsrelevanten Aufgaben übernimmt oder Sie nur punktuell bei einzelnen Themen unterstützt, können Sie individuell mit uns vereinbaren – ganz nach Ihren Wünschen und Ihrem Budget.
Ergänzend zu unserem holistischen CISOaaS bieten wir weiterführende technische Lösungen und spezifische Beratungsdienstleistungen zur Umsetzung von Maßnahmen für alle 5 Säulen der DORA:
Um die Cyberabwehrfähigkeit zu fördern und die Cyberkriminalität zu bekämpfen, hat der EU-Gesetzgeber, neben dem Digital Operational Resilience Act, weitere Rechtsvorschriften im Bereich Cybersicherheit erlassen. Dazu zählen insbesondere die folgenden:
A1 Digital sieht die DORA-Verordnung als wichtigen Schritt zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Wir helfen Organisationen dabei, ihre Risiken zu verstehen und ihre Risikomanagementmaßnahmen aktiv zu treiben. Dazu entwickeln wir Lösungen, die auf die individuellen Bedürfnisse jeder Organisation zugeschnitten sind.