03. Jan 2024

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Resilienz im Finanzsektor – DORA

DORA ist eine Verordnung der Europäischen Union (EU), die einen verbindlichen, umfassenden Rahmen für das Risikomanagement und die Resilienz der Informations- und Kommunikationstechnologie (IKT) für den EU-Finanzsektor schaffen soll. Die Veröffentlichung von DORA erfolgte am 16. Jänner 2023 und beinhaltet eine Umsetzungsfrist von zwei Jahren.

 Wir haben alle relevanten Infos für betroffene Unternehmen:

Wer ist von DORA betroffen?

DORA wird für mehr als 20.000 Finanzunternehmen gelten, die vorgegebene Standards einhalten müssen, um die Auswirkungen von IKT-bezogenen Risiken zu verhindern und zu begrenzen. Die Verordnung ist bis zum 17. Jänner 2025 umzusetzen.

Betroffene Unternehmen sind in der Europäischen Union tätige Finanzinstitute und IKT-Drittdienstleister:

  • Banken
  • Kredit- und Zahlungsinstitute
  • Versicherungsgesellschaften
  • Wertpapierbörsen
  • Handelsplattformen sowie
  • Anbieter digitaler Dienste

 

Was ist das Ziel von DORA?

DORA soll die Widerstandsfähigkeit des Finanzsektors im Hinblick auf Cyber-Bedrohungen und Betriebsunterbrechungen erhöhen und zielt darauf ab, einen umfassenden und übergreifenden Rahmen für die digitale betriebliche Resilienz mit Regeln für alle regulierten Finanzinstitute zu schaffen.

Dabei geht es in erster Linie um Risiken im Bereich IKT-Systeme und -Betrieb, Cybersicherheit, Betriebsunterbrechungen, IT-Incidents und Risiken kritischer Drittdienstleister.

 

Was fordert DORA inhaltlich?

Zu DORA selbst: die Anforderungen von DORA sind in Kapitel (Pillars) unterteilt, und diese wiederum in Artikel. Dies erleichtert die interne Zuordnung und Benennung eines internen Workstreams mit den Umsetzungsschritten:

  • GAP-Assessment und Readiness Audit (Durchführung der notwendigen GAP-Analysen und Ownership für die Umsetzung)
  • Entwicklung eines Umsetzungsplanes (Maßnahmen, Meilensteine und Priorisierung)
  • Verbesserung der Richtlinien und Verfahren (Harmonisierung mit DORA)
  • Schulung und Awareness
  • Überwachung (regelmäßige Bewertung der Maßnahmenwirksamkeit, Monitoring) und kontinuierliche Verbesserung.

 

Pillars/Kapitel Übersicht

Eine Übersicht der Pillars/Kapitel, die sich aus DORA ergeben sind:

Pillar 1 IKT-Risikomanagement (Artikel 5-16) Die Governance und Steuerung der obersten Leitung im Hinblick auf ihre aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement und Cyberrisiko. Eine Reihe von Anforderungen und Schlüsselprinzipien an das IKT-Risikorahmenwerk.
Pillar 2 IKT-Incident-Reporting (Artikel 17-23) Standardisierung der Berichterstattung und Ausweitung der Berichtspflichten. Finanzunternehmen müssen über einen IKT-bezogenen Incident-Management-Prozess verfügen, einschließlich der Meldung schwerwiegender Sicherheitsvorfälle an die EIOPA.
Pillar 3 Digital Operational Resilience Testing (Artikel 24-27) Finanzunternehmen haben grundlegende und erweiterte Tests (TLPT – Thread-Led Pentration Tests: Simulierung eines Hackerangriffes durch Ethical Hacking) durchzuführen und müssen ein solides und umfassendes digitales Programm zur Prüfung der betrieblichen Resilienz umsetzen.
Pillar 4 Managing of 3rd Party Risk (Artikel 28-44) Finanzunternehmen, müssen das IKT-Risiko von Dritten als integralen Bestandteil ihres IKT-Risikomanagementrahmens managen. Schaffung prinzipienbasierter Regeln für die Überwachung von Risiken durch Dritte, Definition vertraglicher Bestimmungen und Schaffung eines Übersichtsrahmens für kritische IKT TPPs (Third Party Provider / deutsch: IKT-Drittdienstleister)
Pillar 5 Information Sharing Arrangements (Artikel 45) Finanzunternehmen tauschen untereinander Informationen und Erkenntnisse über Cyberbedrohungen aus.

DORA Level 2 Regulatory Technical Standards (L2 RTS)

Die erste Charge von L2 RTS wurde am 17. Januar 2023 veröffentlicht.

Dazu gehören:

  • IKT-Risikomanagement Rahmenwerk (Art. 15, 16): Risikomanagementinstrumente, -methoden, -prozesse und -strategien, Verhältnismäßigkeit und risikobasierter Ansatz, Flexibilität bei der Umsetzung, Berichterstattung über den Risikomanagementrahmen, Schwachstellenberichterstattung und Risikomanagementrahmen in zahlreichen Funktionen.
  • Incidents im Zusammenhang mit IKT (Art. 18.3): Klassifizierung von IKT-Vorfällen mit Kriterien wie Reputationsauswirkungen, Dauer, Serviceausfall und betroffenen Transaktionen
  • IKT-Dienste durch Dritte (Art. 28.9, 28.10): Details zum Inhalt von Richtlinien in Bezug auf vertragliche Vereinbarungen und zu den Arten von Informationen, die in das Informationsregister der IKT-Dienste der TPPs aufzunehmen sind.

 

Die zweite Charge der L2 RTS wurde am 10. Dezember 2023 veröffentlicht und steht bis 04. März 2024 zur Konsultation offen.

 

Weitere relevante Gesetze und Richtlinien

 Im aktuellen Zusammenhang der relevanten Gesetze und Richtlinien für die Informationssicherheit dürfen wir auch auf den CIS Artikel „Bedeutende rechtliche Fortschritte für die Cyber-Security 2024 verweisen, der eine Übersicht zu maßgeblichen Regelwerken wie die NIS 2 (Netz- und Informationssicherheitsrichtlinie 2), den Cyber Resilience Act (CRA), den Articifical Inteligence (AI) Act, TISAX (Trusted Information Security Assessment Exchange) und DORA (Digital Operational Resilience Act) gibt.

Ansprechpartnerinnen

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Lea Grösser, MA

BCM Officerin und Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig der Bank Gutmann AG tätig.

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
18. Jan 2024

Praxis-Einblicke in die Umsetzung von DORA

Sind Sie von der DORA-Verordnung betroffen?

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
07. Nov 2023

Breaking News zur EN 50600 – Design für Rechenzentren

Vervollständigter Ausgabebestand 2

Mehr erfahren
+43 1 532 98 90