Eine der größten Herausforderungen des Finanzsektors ist die digitale Resilienz.

Darunter versteht man die Fähigkeit eines Unternehmens, digitale Bedrohungen oder Störungen des Geschäftsbetriebs zu erkennen, darauf zu reagieren und sich davon zu erholen, z. B. durch Cyberangriffe, Datenschutzverletzungen, Systemausfälle, menschliche Fehler und andere Gefahren. Resilienz ist für die Kontinuität des operativen Betriebs und den Schutz von Daten unerlässlich. Aus diesem Grund hat die Europäische Union vor kurzem den Digital Operational Resilience Act (DORA) eingeführt, der die unterschiedlichen regionalen Anforderungen an die digitale Resilienz von Finanzdienstleistungsunternehmen festlegt und zusammenfasst, um den europäischen Finanzsektor gegen Cyberangriffe und Datenschutzvorfällen zu stärken.

DORA in der EU und im Vereinigten Königreich

Am 17.Januar 2025 findet die DORA-Verordnung in der EU und im Vereinigten Königreich Anwendung. In Deutschland wird im „Gesetz über die Digitalisierung des Finanzmarktes“ (Finanzmarktdigitalisierungsgesetz oder FinmadiG) die Europäischen Verordnungen:

• MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114)
• EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113)
• DORA-Paket (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556)

zusammengefasst durchgeführt bzw umgesetzt.

DORA wurde eingeführt, um sicherzustellen, dass alle Organisationen im Finanzsektor in der Lage sind, digitale Gefahren zu erkennen, darauf zu reagieren und sich von ihnen zu erholen, ohne dass es zu Störungen oder Schäden kommt. Es legt spezifische Anforderungen für Finanzorganisationen fest, darunter robuste Risikomanagementprozesse, wirksame Überwachungs- und Kommunikationssysteme zur schnellen Erkennung von Bedrohungen, detaillierte Pläne zur Wiederherstellung des Betriebs nach einem Vorfall sowie Meldekriterien und Meldepflichten bei einem Vorfall.

DORA befasst sich mit verschiedenen Aspekten des operationellen Risikos, einschließlich Cyberrisiken, IT-Sicherheit, Outsourcing und Third-Party-Risiken.

Was sind die zentralen Ziele von DORA?

Die DORA-Verordnung verfolgt mehrere Ziele:

• Stärkung der Stabilität und Zuverlässigkeit des Finanzsystems im digitalen Zeitalter, indem verschiedene Aspekte des operativen Risikos, einschließlich Cyberrisiken, IT-Sicherheit, Outsourcing und Gefahren durch Dritte, behandelt werden.
• Förderung der regulatorischen Kohärenz und Harmonisierung innerhalb des EU-Finanzdienstleistungssektors durch die Festlegung einheitlicher Standards und Praktiken für die digitale operative Resilienz.
• Verbesserung der Transparenz und Rechenschaftspflicht von Finanzinstituten, indem die Unternehmen verpflichtet werden, regelmäßige Tests und Analysen durchzuführen, um ihre Widerstandsfähigkeit gegenüber Gefahren nachzuweisen.
• Gewährleistung des ordnungsgemäßen Funktionierens des EU-Binnenmarktes für Finanzdienstleistungen, indem die Finanzinstitute in die Lage versetzt werden, leichter und effizienter grenzüberschreitend zu agieren.

DORA-Compliance

Mit DORA werden an höhere Anforderungen an die Widerstandsfähigkeit von Organisationen im Finanzsektor gestellt. So müssen beispielsweise regelmäßige Tests und Prüfungen durchgeführt werden, um nachzuweisen, dass die Organisationen in der Lage sind, mit einem unvorhergesehenen Zwischenfall umzugehen. Organisationen die diese Anforderungen nicht erfüllen, drohen hohe Bußgelder und möglicheweise auch Imageschäden.

Hier sind fünf Gründe, warum Finanzunternehmen der Einhaltung von DORA Priorität einräumen sollten:

• Vermeiden Sie Geldstrafen: Finanzunternehmen, die die Anforderungen der Verordnung nicht erfüllen, müssen mit erheblichen Geldstrafen und aufsichtsrechtlichen Sanktionen rechnen, die ihren Gewinn und ihren Ruf schädigen können.
• Verbesserung der operativen Widerstandsfähigkeit: DORA fördert Finanzunternehmen, robuste Prozesse und Kontrollen für das Management von Cyber- und Betriebsrisiken einzuführen, was dabei helfen kann, die Wahrscheinlichkeit und die Auswirkungen von digitalen Störfällen zu verringern.
• Höheres Vertrauen der Kunden: Durch die Einhaltung von DORA können Finanzunternehmen ihr Engagement für den Schutz der persönlichen und finanziellen Daten ihrer Kunden demonstrieren, was das Vertrauen und die Loyalität der Kunden stärken kann.
• Verbesserung und Harmonisierung der regionalen Gesetzgebung: DORA zielt darauf ab, europaweit einheitliche Standards und Praktiken für die digitale Resilienz im Finanzdienstleistungssektor zu fördern, wodurch die regulatorische Fragmentierung verringert und die grenzüberschreitende Zusammenarbeit verbessert werden kann.
• Zukunftssicherheit für Ihre Organisation: Durch die Einführung von DORA können betroffene Organisationen proaktiv Cyber- und Digitale Gefahren begegnen.

Herausforderungen bei der Umsetzung von DORA

DORA zielt zwar darauf ab, die Stabilität und Zuverlässigkeit von Finanzsystemen zu verbessern, doch die Einhaltung der Anforderungen kann Finanzunternehmen auch vor eine Reihe von Herausforderungen stellen, z. B:

• Komplexer rechtlicher Rahmen: Obwohl in Deutschland bereits viele Vorgaben von DORA durch andere Gesetze abgedeckt sind, müssen sich Finanzorganisationen in einem komplexen rechtlichen und regulatorischen Rahmen bewegen, um die DORA-Vorschriften weiterhin einzuhalten, was die Anpassung ihrer bestehenden oder die Einführung neuer Vorschriften und Prozesse erfordern kann.
• Operative Komplexität: Die Einhaltung von DORA erfordert von den Finanzinstituten das Management verschiedener operativer Risiken über mehrere Geschäftsbereiche hinweg, was komplex und zeitaufwendig sein kann.
• Kostspielige Infrastruktur-Upgrades: Um die DORA-Anforderungen zu erfüllen, müssen Finanzunternehmen unter Umständen umfangreiche Investitionen in die digitale Infrastruktur und in Cybersicherheitsmaßnahmen tätigen, was teuer sein und von anderen strategischen Prioritäten ablenken kann.
• Ressourcenmangel: Die Einhaltung der DORA-Vorschriften kann zusätzliche Ressourcen, qualifizierte Fachkräfte und Fachwissen erfordern, die vor allem bei kleineren Finanzinstituten knapp sein können.
• Interjurisdiktionelle Probleme: Finanzunternehmen, die grenzüberschreitend tätig sind, stehen möglicherweise vor der Herausforderung, unterschiedliche Regulierungsstandards und -anforderungen miteinander in Einklang zu bringen, was die Einhaltung von DORA noch komplexer macht.

Trotz dieser Herausforderungen können es sich Organisationen im Finanzsektor nicht leisten, DORA zu ignorieren. Die Nichteinhaltung ist keine Option, und Finanzunternehmen müssen Wege finden, um die Herausforderungen der Einhaltung mit den Vorteilen eines digital sichereren und widerstandsfähigeren Finanzsystems in Einklang zu bringen.

Wie Ihnen Outpost24 bei der Erfüllung der Vorgaben von DORA helfen kann

Outpost24 bietet ein umfassendes Portfolio an Lösungen, die Finanzinstitute bei der Einhaltung der DORA-Anforderungen unterstützen können. Besonders der Fokus auf das IKT-Risikomanagement kann mit den folgenden Lösungen gut abgedeckt werden:

• Bedrohungsinformationen mit Cyber Threat Intelligence: Die Lösung Threat Compass von Outpost24 bietet aktuelle, gezielte und relevante Bedrohungsinformationen, die Ihnen dabei helfen, herauszufinden, welche Threat-Actors es auf Ihre Organisation abgesehen haben und welche TTPs diese einsetzen werden, um einen Angriff zu starten.
• Überwachung Ihrer externen Angriffsfläche: Mithilfe von EASM und Pentesting-as-a-Service (PTaaS) bietet Outpost24 eine kontinuierliche Überwachung Ihrer Online-Präsenzen, Assets und Services, um Ihre Webanwendungen zu sichern, unentdeckte Assets zu Identifizieren und mögliche Schwachstellen darin aufzudecken, sodass Sie die DORA-Anforderungen an das Cyber-Risikomanagement erfüllen können.
• Risikobasiertes Schwachstellenmanagement: Die risikobasierte Schwachstellenmanagement-Lösung von Outpost24 diagnostiziert Netzwerk- und Cloud-Sicherheitsprobleme mit relevanten risikobasierten Erkenntnissen, um Ihnen dabei zu helfen effizient die Sicherheitsmaßnahmen Ihres Unternehmens zu verbessern.
• Threat-led Penetration Testing (TLPT): Zum Risikomanagement gehört laut DORA auch die regelmäßige Überprüfung der Cybersecurity-Maßnahmen basierend auf aktuellen Erkentnissen aus Bedrohungsinformationen. Sogenanntes Threat-led Penetration Testing (TLPT). Mithilfe unserer Teams und Experten können wir auch bei der Erfüllung dieser Anforderungen unterstützen indem wir aktuelle Bedrohungsinformationen bereitstellen und gezielte Red-Teaming-Übungen durchführen.
• Managed Services: Unsere Teams und Experten helfen Ihnen auch dabei die Lösungen zu implementieren und zu betreuen. Als Erweiterung Ihres Sicherheitsteams erleichtern die Managed Services von Outpost24 die Einhaltung von DORA und anderen gesetzlichen Vorschriften, wenn Ihnen Inhouse nicht genügend Kapazitäten zur Verfügung stehen.

Wir freuen uns darauf, Ihnen bei der individuellen Umsetzung Ihrer Vorgaben und der kommenden Anforderungen von DORA und dem Finanzmarktdigitalisierungsgesetz (FinmadiG) behilflich zu sein.