Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 gilt. Sie zielt darauf ab, die digitale operationale Resilienz von Finanzunternehmen zu stärken und sicherzustellen, dass der Finanzsektor in Europa auch bei schweren digitalen Betriebsstörungen widerstandsfähig bleibt.
Wesentliche Anforderungen von DORA:
- IKT-Risikomanagement: Finanzunternehmen müssen ein robustes Rahmenwerk für das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken implementieren. Dies umfasst die Identifizierung, Bewertung und Minderung von IKT-Risiken sowie die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
- Meldung von IKT-bezogenen Vorfällen: Unternehmen sind verpflichtet, schwerwiegende IKT-bezogene Vorfälle zu klassifizieren und den zuständigen Behörden zu melden. Dies soll eine bessere Überwachung und Reaktion auf Cyber-Bedrohungen ermöglichen.
- Tests der digitalen Resilienz: Regelmäßige Tests, einschließlich Bedrohungssimulationen, sind erforderlich, um die Wirksamkeit der IKT-Sicherheitsmaßnahmen zu überprüfen und Schwachstellen proaktiv zu identifizieren.
- Management von Drittanbieter-Risiken: Finanzunternehmen müssen sicherstellen, dass auch ihre IKT-Drittanbieter den DORA-Anforderungen entsprechen. Dies beinhaltet die sorgfältige Auswahl, Überwachung und Verwaltung von Drittanbietern sowie die Dokumentation aller Verträge und Dienstleistungen.
Auswirkungen auf IT-Dienstleister:
DORA betrifft nicht nur Finanzunternehmen, sondern auch deren IKT-Dienstleister. IT-Dienstleister, die kritische Dienstleistungen für Finanzunternehmen erbringen, müssen die DORA-Vorgaben erfüllen und können einer verstärkten Aufsicht unterliegen. Dies erfordert von IT-Dienstleistern, ihre internen Prozesse, Sicherheitsmaßnahmen und Risikomanagementpraktiken zu überprüfen und anzupassen, um die Compliance sicherzustellen.
Fazit:
DORA stellt einen bedeutenden Schritt zur Stärkung der digitalen Resilienz des europäischen Finanzsektors dar. Sowohl Finanzunternehmen als auch ihre IT-Dienstleister sollten proaktiv Maßnahmen ergreifen, um die Anforderungen rechtzeitig umzusetzen und so die Sicherheit und Stabilität ihrer digitalen Operationen zu gewährleisten.
