Der Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA)
Photo by Christian Lue / Unsplash

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union ein neues rechtliches Rahmenwerk geschaffen, das die digitale Widerstandsfähigkeit des Finanzsektors deutlich erhöhen soll. Der Fokus von DORA liegt auf dem Ausbau der Fähigkeit von Unternehmen, Cyberangriffe, IT-Ausfälle und andere operationelle Risiken zu erkennen, abzuwehren und nachhaltig zu bewältigen.

Wen betrifft DORA?

DORA gilt für eine große Anzahl von Unternehmen, die im Finanzsektor tätig sind oder diesen unterstützen. Dazu gehören beispielsweise aber nicht abschließend:

  • Kreditinstitute (Banken, Bausparkassen)
  • Versicherungs- und Rückversicherungsunternehmen
  • Wertpapierfirmen und Handelsplätze
  • Zahlungs- und E-Geld-Institute
  • Kryptodienstleister
  • Ratingagenturen
  • Cloud-Service-Provider, die kritische Dienste für Finanzunternehmen erbringen

Damit sind anders als vielerorts angenommen nicht nur klassische Finanzdienstleister betroffen, sondern auch IT-Dienstleister und Outsourcing-Partner von Finanzdienstleistern, die für den Betrieb von kritischen Prozessen ihrer Kunden notwendig sind.

Was sind die Anforderungen von DORA

  • ICT-Risikomanagement: Ein strukturiertes Management von Risiken ist gefordert, die aus IT-Systemen, Netzwerken und Drittdienstleistern entstehen.
  • Governance und Risiko-Management: Die Unternehmensführung muss die Verantwortung für das ICT-Risikomanagement tragen.
  • Incident Reporting: Es bestehen Meldepflichten für schwerwiegende IT-Sicherheitsvorfälle (ähnlich NIS2 und DSGVO)
  • Digital Operational Resilience Testing: Verpflichtende regelmäßige Tests zur Überprüfung der Resilienz sind obligatorisch.
  • Third-Party Risk Management: Sorgfaltspflichten und Risikomanagement sowie vertragliche Anforderungen bei der Auslagerung von IT-Diensten.

Synergien mit ISO/IEC 27001

Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 etabliert haben, sind klar im Vorteil. Viele Anforderungen von DORA überschneiden sich mit den Steuerungsmechanismen der ISO 27001, insbesondere bei Risikomanagement, Incident Handling und Lieferantensteuerung.

Ein ISO-27001-basiertes ISMS liefert somit eine perfekte Grundlage für die Umsetzung der regulatorischen Anforderungen und ermöglicht es, DORA-konforme Prozesse effizienter zu implementieren.

DORA vs. ISO/IEC 27001:2022 auf einen Blick

DORA wird für Finanzunternehmen und ihre IT-Dienstleister massive Auswirkungen haben. Organisationen, die bereits ein etabliertes ISMS nach ISO 27001 betreiben, können viele Anforderungen einfacher erfüllen. Dennoch bleibt ein erheblicher Zusatzaufwand, insbesondere bei regulatorischen Meldepflichten, Resilienztests und Drittanbietersteuerung.

Frühzeitiges Handeln ist entscheidend, um Compliance sicherzustellen und operative Risiken zu reduzieren.

Read more

Energiegemeinschaften: Gemeinsam sauberen Strom erzeugen und nutzen

Energiegemeinschaften: Gemeinsam sauberen Strom erzeugen und nutzen

Energiegemeinschaften sind ein relativ neues Modell, das durch das österreichische Erneuerbaren-Ausbau-Gesetz (EAG) möglich wurde. Die Idee dahinter ist, dass Bürger:innen, Betriebe und Gemeinden sich zusammenschließen, um gemeinsam erneuerbare Energie zu erzeugen, zu verbrauchen, zu speichern und zu handeln. Ein Beispiel ist die Energiegemeinschaft Wagram, die Haushalte, Unternehmen und öffentliche

By Michael Mrak
CyberTrust: Einstieg in gelebte Informationssicherheit auch für kleine Organisationen

CyberTrust: Einstieg in gelebte Informationssicherheit auch für kleine Organisationen

Viele kleine und mittlere Organisationen stehen vor der gleichen Herausforderung: Informationssicherheit wird immer wichtiger, ja sogar überlebenswichtig. Gleichzeitig fehlt oft die Personaldecke, um komplexe Managementsysteme wie ISO/IEC 27001 umfassend einzuführen und dauerhaft zu betreiben. Genau hier setzt das CyberTrust-Zertifikat an. Ein pragmatischer Einstieg CyberTrust ist ein praxisnahes Zertifizierungsschema, das

By Michael Mrak