03. Jan 2024

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Resilienz im Finanzsektor – DORA

DORA ist eine Verordnung der Europäischen Union (EU), die einen verbindlichen, umfassenden Rahmen für das Risikomanagement und die Resilienz der Informations- und Kommunikationstechnologie (IKT) für den EU-Finanzsektor schaffen soll. Die Veröffentlichung von DORA erfolgte am 16. Jänner 2023 und beinhaltet eine Umsetzungsfrist von zwei Jahren.

 Wir haben alle relevanten Infos für betroffene Unternehmen:

Wer ist von DORA betroffen?

DORA wird für mehr als 20.000 Finanzunternehmen gelten, die vorgegebene Standards einhalten müssen, um die Auswirkungen von IKT-bezogenen Risiken zu verhindern und zu begrenzen. Die Verordnung ist bis zum 17. Jänner 2025 umzusetzen.

Betroffene Unternehmen sind in der Europäischen Union tätige Finanzinstitute und IKT-Drittdienstleister:

  • Banken
  • Kredit- und Zahlungsinstitute
  • Versicherungsgesellschaften
  • Wertpapierbörsen
  • Handelsplattformen sowie
  • Anbieter digitaler Dienste

 

Was ist das Ziel von DORA?

DORA soll die Widerstandsfähigkeit des Finanzsektors im Hinblick auf Cyber-Bedrohungen und Betriebsunterbrechungen erhöhen und zielt darauf ab, einen umfassenden und übergreifenden Rahmen für die digitale betriebliche Resilienz mit Regeln für alle regulierten Finanzinstitute zu schaffen.

Dabei geht es in erster Linie um Risiken im Bereich IKT-Systeme und -Betrieb, Cybersicherheit, Betriebsunterbrechungen, IT-Incidents und Risiken kritischer Drittdienstleister.

 

Was fordert DORA inhaltlich?

Zu DORA selbst: die Anforderungen von DORA sind in Kapitel (Pillars) unterteilt, und diese wiederum in Artikel. Dies erleichtert die interne Zuordnung und Benennung eines internen Workstreams mit den Umsetzungsschritten:

  • GAP-Assessment und Readiness Audit (Durchführung der notwendigen GAP-Analysen und Ownership für die Umsetzung)
  • Entwicklung eines Umsetzungsplanes (Maßnahmen, Meilensteine und Priorisierung)
  • Verbesserung der Richtlinien und Verfahren (Harmonisierung mit DORA)
  • Schulung und Awareness
  • Überwachung (regelmäßige Bewertung der Maßnahmenwirksamkeit, Monitoring) und kontinuierliche Verbesserung.

 

Pillars/Kapitel Übersicht

Eine Übersicht der Pillars/Kapitel, die sich aus DORA ergeben sind:

Pillar 1 IKT-Risikomanagement (Artikel 5-16) Die Governance und Steuerung der obersten Leitung im Hinblick auf ihre aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement und Cyberrisiko. Eine Reihe von Anforderungen und Schlüsselprinzipien an das IKT-Risikorahmenwerk.
Pillar 2 IKT-Incident-Reporting (Artikel 17-23) Standardisierung der Berichterstattung und Ausweitung der Berichtspflichten. Finanzunternehmen müssen über einen IKT-bezogenen Incident-Management-Prozess verfügen, einschließlich der Meldung schwerwiegender Sicherheitsvorfälle an die EIOPA.
Pillar 3 Digital Operational Resilience Testing (Artikel 24-27) Finanzunternehmen haben grundlegende und erweiterte Tests (TLPT – Thread-Led Pentration Tests: Simulierung eines Hackerangriffes durch Ethical Hacking) durchzuführen und müssen ein solides und umfassendes digitales Programm zur Prüfung der betrieblichen Resilienz umsetzen.
Pillar 4 Managing of 3rd Party Risk (Artikel 28-44) Finanzunternehmen, müssen das IKT-Risiko von Dritten als integralen Bestandteil ihres IKT-Risikomanagementrahmens managen. Schaffung prinzipienbasierter Regeln für die Überwachung von Risiken durch Dritte, Definition vertraglicher Bestimmungen und Schaffung eines Übersichtsrahmens für kritische IKT TPPs (Third Party Provider / deutsch: IKT-Drittdienstleister)
Pillar 5 Information Sharing Arrangements (Artikel 45) Finanzunternehmen tauschen untereinander Informationen und Erkenntnisse über Cyberbedrohungen aus.

DORA Level 2 Regulatory Technical Standards (L2 RTS)

Die erste Charge von L2 RTS wurde am 17. Januar 2023 veröffentlicht.

Dazu gehören:

  • IKT-Risikomanagement Rahmenwerk (Art. 15, 16): Risikomanagementinstrumente, -methoden, -prozesse und -strategien, Verhältnismäßigkeit und risikobasierter Ansatz, Flexibilität bei der Umsetzung, Berichterstattung über den Risikomanagementrahmen, Schwachstellenberichterstattung und Risikomanagementrahmen in zahlreichen Funktionen.
  • Incidents im Zusammenhang mit IKT (Art. 18.3): Klassifizierung von IKT-Vorfällen mit Kriterien wie Reputationsauswirkungen, Dauer, Serviceausfall und betroffenen Transaktionen
  • IKT-Dienste durch Dritte (Art. 28.9, 28.10): Details zum Inhalt von Richtlinien in Bezug auf vertragliche Vereinbarungen und zu den Arten von Informationen, die in das Informationsregister der IKT-Dienste der TPPs aufzunehmen sind.

 

Die zweite Charge der L2 RTS wurde am 10. Dezember 2023 veröffentlicht und steht bis 04. März 2024 zur Konsultation offen.

 

Weitere relevante Gesetze und Richtlinien

 Im aktuellen Zusammenhang der relevanten Gesetze und Richtlinien für die Informationssicherheit dürfen wir auch auf den CIS Artikel „Bedeutende rechtliche Fortschritte für die Cyber-Security 2024 verweisen, der eine Übersicht zu maßgeblichen Regelwerken wie die NIS 2 (Netz- und Informationssicherheitsrichtlinie 2), den Cyber Resilience Act (CRA), den Articifical Inteligence (AI) Act, TISAX (Trusted Information Security Assessment Exchange) und DORA (Digital Operational Resilience Act) gibt.

Ansprechpartnerinnen

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Lea Grösser, MA

BCM Officerin und Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig der Bank Gutmann AG tätig.

Weitere News & Events

Immer topaktuell informiert

11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
+43 1 532 98 90