What is the Digital Operational Resilience Act (DORA)?

DORA, der Digital Operational Resilience Act, ist ein Gesetzesentwurf zur Verbesserung der Cybersicherheit und der betrieblichen Widerstandsfähigkeit des Finanzdienstleistungssektors . Es ergänzt bestehende Gesetze wie die Netzwerk- und Informationssicherheitsrichtlinie (NISD) und die Datenschutz-Grundverordnung (DSGVO). Während DORA sich noch im Gesetzgebungsverfahren befindet, wird mit der Verabschiedung im Jahr 2022 gerechnet.

Sehen Sie sich eine Demo an

What is the Digital Operational Resilience Act (DORA)?

Wie wird sich der Digital Operational Resilience Act (DORA) auf meine Organisation auswirken?

Das Digital Operational Resilience Act definiert Kritikalitätsschwellen für Dienstleistungen, die Finanzinstituten bereitgestellt werden. Wenn eine Organisation ein direkter Dienstleister für ein Finanzinstitut ist und ihre Dienstleistungen diese Schwellenwerte erfüllen, unterliegt das Unternehmen der DORA. Dies bedeutet, dass die Organisation direkt von der zuständigen Finanzaufsichtsbehörde beaufsichtigt wird.

 

Für Organisationen, deren Dienste die DORA-Schwellenwerte nicht erfüllen, gilt die Regelung weiterhin, eine direkte Aufsicht ist jedoch nicht erforderlich. Stattdessen müssen die Kunden der Organisation bestimmte Vertragsbedingungen verlangen, um die Anforderungen von DORA zu Compliance .

 

Beispielsweise verpflichtet der Digital Operational Resilience Act (DORA) Finanzinstitute, Datenschutzverstöße innerhalb eines bestimmten Zeitfensters nach der Entdeckung den Aufsichtsbehörden zu melden. Finanzinstitute müssen ihren Lieferanten und Dienstleistern sowie im Rahmen ihrer vertraglichen Pflichten die gleichen Meldepflichten bei Verstößen auferlegen. Wenn eine Organisation nicht bereit ist, diese Bedingungen zu akzeptieren, verbietet DORA dem Finanzinstitut, mit ihnen Geschäfte zu tätigen.

 

Der Digital Operational Resilience Act schreibt die Bedingungen vor, die Finanzinstitute von ihren Lieferanten verlangen, und die Sicherheitskontrollen, die diese Lieferanten einrichten müssen. Da DORA darauf ausgerichtet ist, die Widerstandsfähigkeit der gesamten Finanzbranche zu verbessern, werden diese Verpflichtungen und Anforderungen wahrscheinlich über die gesamte Lieferkette weitergegeben.

Die primären Anforderungen des Digital Operational Resilience Act (DORA)

Das Hauptziel von DORA besteht darin, die operative Widerstandsfähigkeit des Finanzsektors sicherzustellen. Als Teil davon müssen Organisationen, die unter den Digital Operational Resilience Act fallen, Risikomanagementprozesse implementieren, die dabei helfen, potenzielle Schwachstellen für plausible Cyber-Bedrohungen zu identifizieren und Richtlinien und Sicherheitskontrollen zum Schutz vor diesen Risiken einzurichten.

 

DORA schafft einen Rahmen von Regeln, die Finanzinstitute und ihre Lieferanten befolgen müssen, um ihre betriebliche Belastbarkeit zu gewährleisten. Zu den wichtigsten Zielen und Anforderungen gehören:

 

  • Risikomanagement und Governance: DORA legt Rahmenwerke und Richtlinien für das Risikomanagement im Finanzsektor fest. Diese Richtlinien sollen Organisationen dabei helfen, ausgereiftere Risikomanagementprogramme aufzubauen und die betriebliche Widerstandsfähigkeit zu verbessern.
  • Ausfallsicherheitstests: DORA schlägt vor, dass abgedeckte Organisationen auf der Grundlage ihrer Risikobewertungen Ausfallsicherheitstestprogramme implementieren. Dies hilft, Probleme zu erkennen und zu beheben, bevor sie eine Gefahr für den Betrieb darstellen.
  • Informationsaustausch: Viele in der Finanzbranche tätige Cyber-Bedrohungsakteure zielen auf mehrere Organisationen gleichzeitig ab. Durch die Förderung des Austauschs von Bedrohungsinformationen hilft DORA der gesamten Branche, sich der anhaltenden Cyber-Bedrohungen bewusster zu werden und darauf vorbereitet zu sein.
  • Supply Chain Management: DORA stellt Anforderungen an die Vertragsbeziehungen von Finanzinstituten mit ihren Lieferanten. Darüber hinaus müssen Finanzinstitute über Strategien zur Bewältigung der von diesen Lieferanten ausgehenden Risiken verfügen, einschließlich der Möglichkeit, Beziehungen zu beenden und zu Ersatzanbietern zu wechseln.
  • Meldung von Vorfällen: DORA erweitert den Umfang der Meldung von Vorfällen und versucht, den Meldeprozess zu rationalisieren. Durch die Forderung nach einer schnelleren Berichterstattung fördert DORA auch eine schnelle Untersuchung und Reaktion von Vorfällen, was dazu beiträgt, die Auswirkungen eines Verstoßes abzumildern. Darüber hinaus können Sicherheitsverletzungsberichte dazu verwendet werden, unbekannte Eindringlinge in andere Netzwerke zu erkennen.
  • Audit-Zugriff: Die DORA-Verordnung ermöglicht es Regulierungsbehörden (und Finanzinstituten im Falle von Lieferanten), Audits entlang der gesamten Lieferkette der Finanzbranche durchzuführen. Dies trägt zur Förderung der Compliance bei, bedeutet jedoch, dass Unternehmen in der Lage sein müssen, Berichte bei Bedarf zu erstellen.
  • Retrospektive Analyse: Die meisten Organisationen versuchen, aus ihren eigenen internen Vorfällen zu lernen, aber DORA empfiehlt, Richtlinien auch auf der Grundlage externer Vorfälle zu studieren und zu überarbeiten. Dadurch soll verhindert werden, dass mehrere Organisationen Opfer gleicher Angriffsarten werden.

 

Die genauen Anforderungen des Digital Operational Resilience Act sind nicht bekannt, da er sich noch im Entwurfsstadium befindet. Wenn Sie jedoch heute mit dem Prozess zur Erfüllung dieser Anforderungen beginnen, wird dies Compliance vereinfachen, sobald das Gesetz verabschiedet ist.

Wie Check Point Solutions bei der DORA-Compliance helfen

DORA wurde noch nicht verabschiedet, es wird jedoch erwartet, dass es im Jahr 2022 zum Gesetz wird. Das bedeutet, dass Organisationen, die möglicherweise von DORA betroffen sind, noch heute damit beginnen sollten, auf Compliance hinzuarbeiten.

 

Um sich auf den Digital Operational Resilience Act vorzubereiten, besteht einer der wichtigsten Schritte, die eine Organisation unternehmen kann, darin, ihre Sicherheitsarchitektur zu vereinfachen und zu rationalisieren. DORA erfordert eine schnelle Meldung von Cybersicherheitsvorfällen, Einblick in die Abhängigkeiten eines Unternehmens von Drittanbietern und die Fähigkeit, auf Prüfanfragen von Aufsichtsbehörden oder Kunden zu reagieren.

 

Check Point Harmony Suite bietet konsolidierten Schutz für die gesamte IT-Infrastruktur eines Unternehmens, einschließlich Unterstützung für Endgeräte, Mobilgeräte, Cloud und E-Mail. Durch die Vereinfachung und Optimierung der Sicherheitsinfrastruktur eines Unternehmens erleichtert Harmony Suite den Schutz vor Cyber-Bedrohungen und die Erfüllung der Berichtsanforderungen von DORA. Um mehr darüber zu erfahren, wie Check Point-Lösungen bei Compliance und anderen Vorschriften helfen können, kontaktieren Sie uns.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK