DORA, der Digital Operational Resilience Act, ist ein Gesetzesentwurf zur Verbesserung der Cybersicherheit und der betrieblichen Widerstandsfähigkeit des Finanzdienstleistungssektors . Es ergänzt bestehende Gesetze wie die Netzwerk- und Informationssicherheitsrichtlinie (NISD) und die Datenschutz-Grundverordnung (DSGVO). Während DORA sich noch im Gesetzgebungsverfahren befindet, wird mit der Verabschiedung im Jahr 2022 gerechnet.
Das Digital Operational Resilience Act definiert Kritikalitätsschwellen für Dienstleistungen, die Finanzinstituten bereitgestellt werden. Wenn eine Organisation ein direkter Dienstleister für ein Finanzinstitut ist und ihre Dienstleistungen diese Schwellenwerte erfüllen, unterliegt das Unternehmen der DORA. Dies bedeutet, dass die Organisation direkt von der zuständigen Finanzaufsichtsbehörde beaufsichtigt wird.
Für Organisationen, deren Dienste die DORA-Schwellenwerte nicht erfüllen, gilt die Regelung weiterhin, eine direkte Aufsicht ist jedoch nicht erforderlich. Stattdessen müssen die Kunden der Organisation bestimmte Vertragsbedingungen verlangen, um die Anforderungen von DORA zu Compliance .
Beispielsweise verpflichtet der Digital Operational Resilience Act (DORA) Finanzinstitute, Datenschutzverstöße innerhalb eines bestimmten Zeitfensters nach der Entdeckung den Aufsichtsbehörden zu melden. Finanzinstitute müssen ihren Lieferanten und Dienstleistern sowie im Rahmen ihrer vertraglichen Pflichten die gleichen Meldepflichten bei Verstößen auferlegen. Wenn eine Organisation nicht bereit ist, diese Bedingungen zu akzeptieren, verbietet DORA dem Finanzinstitut, mit ihnen Geschäfte zu tätigen.
Der Digital Operational Resilience Act schreibt die Bedingungen vor, die Finanzinstitute von ihren Lieferanten verlangen, und die Sicherheitskontrollen, die diese Lieferanten einrichten müssen. Da DORA darauf ausgerichtet ist, die Widerstandsfähigkeit der gesamten Finanzbranche zu verbessern, werden diese Verpflichtungen und Anforderungen wahrscheinlich über die gesamte Lieferkette weitergegeben.
Das Hauptziel von DORA besteht darin, die operative Widerstandsfähigkeit des Finanzsektors sicherzustellen. Als Teil davon müssen Organisationen, die unter den Digital Operational Resilience Act fallen, Risikomanagementprozesse implementieren, die dabei helfen, potenzielle Schwachstellen für plausible Cyber-Bedrohungen zu identifizieren und Richtlinien und Sicherheitskontrollen zum Schutz vor diesen Risiken einzurichten.
DORA schafft einen Rahmen von Regeln, die Finanzinstitute und ihre Lieferanten befolgen müssen, um ihre betriebliche Belastbarkeit zu gewährleisten. Zu den wichtigsten Zielen und Anforderungen gehören:
Die genauen Anforderungen des Digital Operational Resilience Act sind nicht bekannt, da er sich noch im Entwurfsstadium befindet. Wenn Sie jedoch heute mit dem Prozess zur Erfüllung dieser Anforderungen beginnen, wird dies Compliance vereinfachen, sobald das Gesetz verabschiedet ist.
DORA wurde noch nicht verabschiedet, es wird jedoch erwartet, dass es im Jahr 2022 zum Gesetz wird. Das bedeutet, dass Organisationen, die möglicherweise von DORA betroffen sind, noch heute damit beginnen sollten, auf Compliance hinzuarbeiten.
Um sich auf den Digital Operational Resilience Act vorzubereiten, besteht einer der wichtigsten Schritte, die eine Organisation unternehmen kann, darin, ihre Sicherheitsarchitektur zu vereinfachen und zu rationalisieren. DORA erfordert eine schnelle Meldung von Cybersicherheitsvorfällen, Einblick in die Abhängigkeiten eines Unternehmens von Drittanbietern und die Fähigkeit, auf Prüfanfragen von Aufsichtsbehörden oder Kunden zu reagieren.
Check Point Harmony Suite bietet konsolidierten Schutz für die gesamte IT-Infrastruktur eines Unternehmens, einschließlich Unterstützung für Endgeräte, Mobilgeräte, Cloud und E-Mail. Durch die Vereinfachung und Optimierung der Sicherheitsinfrastruktur eines Unternehmens erleichtert Harmony Suite den Schutz vor Cyber-Bedrohungen und die Erfüllung der Berichtsanforderungen von DORA. Um mehr darüber zu erfahren, wie Check Point-Lösungen bei Compliance und anderen Vorschriften helfen können, kontaktieren Sie uns.