DORA - Neuer Wein

in alten Schläuchen

Am 16. Januar 2023 trat der Digital Operational Resilience Act (DORA) in Kraft und bringt eine Europaweite Verordnung für die Mindestanforderungen an IT-Sicherheit in der Finanzwelt, basierend auf bewährten Konzepten aus Regelungen wie VAIT, BAIT und Kritis. Doch DORA geht in Teilen auch einen Schritt weiter, indem sie auch Dienstleister verstärkt in die Verantwortung nimmt.

Was genau bedeutet die DORA Verordnung das für Finanzunternehmen?

DORA setzt klare Anforderungen an die Informations- und Kommunikationstechnologie, die umzusetzen sind. Unter anderem werden folgende zentrale Themen definiert:

Die Implementierung eines umfassenden Risikomanagementsystems für IT-Risiken.

Maßnahmen zur Sicherstellung der IT-Systeme und ihrer Verfügbarkeit.

Verfahren zur Behandlung und Meldung von Störungen.

Anforderungen an das Management von Drittanbietern.

Regelmäßige Tests der Informations- und Kommunikationstechnologie Systeme.

Regeln zum Einsatz von Cloud-Diensten, als kritisch eingestufte Dienste stehen z.B. direkt unter Aufsicht der EU-Behörden.

Die Strafen bei Nicht-Umsetzung von DORA können je nach Schwere des Verstoßes und der Branche, in der das Unternehmen tätig ist, variieren.

Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 5 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen.

Versicherungssektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 3 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen.

Geschädigte Dritte können Schadensersatzansprüche gegen das Unternehmen geltend machen.

In besonders schweren Fällen kann die Aufsichtsbehörde dem Unternehmen die Geschäftstätigkeit untersagen.

Die Umsetzung von DORA stellt für Finanzunternehmen in der EU eine große Herausforderung dar. Und die Frist für die vollständige Umsetzung schon ist der 17. Januar 2025.

Warum ist IAG entscheidend für die Einhaltung von DORA?

Identity and Access Governance (IAG) spielt eine vornehmliche Rolle bei der Erfüllung der Anforderungen von DORA. Folgende IAG-Aspekte sind hierbei besonders relevant:

1. Identitätsmanagement:

Identifizierung und Authentifizierung: Finanzinstitute müssen sicherstellen, dass nur berechtigte Personen Zugriff auf ihre Systeme und Daten haben. Dies kann durch die Verwendung von starken Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) erreicht werden.

Zugriffskontrolle: Finanzinstitute müssen festlegen, welche Berechtigungen die einzelnen Benutzer haben. Dies kann durch die Verwendung von rollenbasierten Zugriffskontrollsystemen (RBAC) erreicht werden.

Identitätslebenszyklusmanagement: Finanzinstitute müssen sicherstellen, dass die Identitäten der Benutzer über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören die Erstellung, Änderung und Löschung von Identitäten.

2. Berechtigungsmanagement:

Least-Privilege-Prinzip: Finanzinstitute sollten das Least-Privilege-Prinzip anwenden, d. h. Benutzern sollten nur die Berechtigungen eingeräumt werden, die sie für ihre Arbeit benötigen.

Regelmäßige Überprüfung von Berechtigungen: Finanzinstitute sollten die Berechtigungen der Benutzer regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin angemessen sind.

Entzug von Berechtigungen: Finanzinstitute sollten in der Lage sein, Berechtigungen schnell und einfach zu entziehen, wenn ein Benutzer sie nicht mehr benötigt oder wenn es zu einem Sicherheitsvorfall kommt.

Notfallzugriff und Wiederherstellung: DORA verlangt im Hinblick auf DRP (desaster recovery planning), dass Unternehmen Notfallzugriffsverfahren für den Fall von Systemausfällen oder Sicherheitsvorfällen implementieren. Dies umfasst auch die Wiederherstellung von Zugriffsrechten nach einem Vorfall.

3. Audit und Reporting:

Protokollierung und Überwachung: Finanzinstitute müssen alle Aktivitäten in ihren Systemen protokollieren und überwachen. Dies ermöglicht es ihnen, verdächtige Aktivitäten zu erkennen und zu untersuchen.

Berichterstattung: DORA fordert von den Finanzinstituten die Berichterstattung über Sicherheitsvorfälle (Meldepflicht über IKT-Incidents).

Sie brauchen Unterstützung bei der Umsetzung von Dora?

IPG steht Ihnen als verlässlicher Partner zur Seite, um Sie bei der Umsetzung von DORA zu unterstützen. Unsere Dienstleistungen umfassen:

Beratung bei der Bewertung Ihrer aktuellen IT-Risiken: Wir helfen Ihnen, Ihre aktuellen Risiken zu identifizieren und zu bewerten. Dies bildet die Grundlage für die Entwicklung eines effektiven IT-Risikomanagementsystems.

Unterstützung bei der Entwicklung eines IT-Risikomanagementsystems: Wir begleiten Sie bei der Gestaltung eines IT-Risikomanagementsystems, das genau auf Ihre Bedürfnisse zugeschnitten ist. Dieses System umfasst Aspekte wie Risikoidentifikation, -bewertung, -behandlung und die Überwachung und Berichterstattung über Risiken.

Beratung bei der Implementierung von Maßnahmen zur Sicherheit und Verfügbarkeit von IT-Systemen: Wir unterstützen Sie bei der Umsetzung von Maßnahmen, um die Sicherheit und Verfügbarkeit Ihrer IT-Systeme sicherzustellen. Dazu gehören Sicherheitsrichtlinien und -verfahren, Backup- und Wiederherstellungssysteme sowie Notfallpläne.

Unterstützung bei der Entwicklung von Verfahren zur Behandlung und Meldung von Störungen: Wir helfen Ihnen bei der Ausarbeitung von Prozessen zur effizienten Behandlung und Meldung von Störungen. Dadurch wird gewährleistet, dass Probleme schnell und effektiv gelöst werden, ohne Ihre Kunden zu beeinträchtigen.

Beratung bei der Auswahl und Bewertung von Drittanbietern: Wir unterstützen Sie bei der Auswahl und Bewertung von Drittanbietern, die Ihre IT-Systeme und -Dienstleistungen unterstützen. Dies gewährleistet, dass Ihre IT-Ressourcen von vertrauenswürdigen Anbietern bereitgestellt werden.

Unsere erfahrenen Berater haben bereits zahlreiche Finanzinstitute bei der Umsetzung von IT-Sicherheitskonzepten mit einem prüfungssicherem Identity and Access Governance erfolgreich begleitet. Wenn Sie Fragen zur Umsetzung dieser Verordnung haben, zögern Sie nicht, sich an uns zu wenden. Wir sind hier, um Ihnen beratend zur Seite zu stehen und Ihre Compliance sicherzustellen.

DORA ist also nicht nur alter Wein in neuen Schläuchen; es ist eine Chance, die digitale Widerstandsfähigkeit zu stärken und den Weg für eine sicherere digitale Finanzwelt zu ebnen. Wir freuen uns darauf, Sie bei dieser wichtigen Reise zu unterstützen.

Kontaktieren Sie uns noch heute, um mehr zu erfahren.

Buchen Sie noch heute einen Beratungstermin

Blog 02.10.23

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten. ✅ Mehr dazu in unserem Blog.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben

Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.

Referenz 18.01.24

Eine zentrale IAM-Lösung für die Hochschule RheinMain

Gemeinsam mit IPG führt die Hochschule RheinMain eine neue IAM-Lösung und maßgeschneiderte Identitätsprozesse für Studierende und Mitarbeiter ein, um die Sicherheit zu erhöhen. ✅ Lesen Sie mehr dazu.

Referenz 30.09.20

UNIA

Die Einführung eines leistungsstarken IAM-Systems erlaubt es UNIA, organisatorische Abläufe zu zentralisieren und die Anforderungen an die Sicherheit und Compliance zu erfüllen.

Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.

Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.

News 28.08.23

Änderungen bei Domino-Lizenzierung - Das müssen Sie wissen

HCL kündigt Änderungen an, um die Lizenzierung weiter zu vereinfachen.

Blog 11.05.23

EU-Nachhaltigkeitsrichtlinie (CSRD) – das müssen Sie wissen!

Die Corporate Sustainability Reporting Directive (CSRD) kommt! Was bedeutet das für Ihr Unternehmen? Wir haben es im Blog zusammengefasst!

Referenz 02.04.24

Imprivata OneSign und Orbis optimieren Arbeitsabläufe

Optimierte Arbeitsabläufe und mehr Sicherheit für Patientendaten in führender Psychiatrie durch nahtlose Integration von Imprivata OneSign und Orbis. Jetzt mehr lesen!

News 15.02.23

Neuer IBM Passport Advantage Vertrag - das müssen Sie wissen

IBM hat nach mehr als 5 Jahren den Passport Advantage Vertrag überarbeitet – einige Bedingungen haben sich dadurch grundsätzlich geändert. Die wichtigsten Änderungen im Überblick.

Blog 26.08.21

Identity Management für Banken: Anforderungen & Vorteile

Grossbanken gehören zu den ersten Unternehmen, welche ein Identity and Access Management (IAM) System eingeführt haben. Gemeinsam mit dem IAM Thema haben sie sich in einer Lernkurve entwickelt und die heutige Methodik geprägt.

Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Wissen 21.09.09

WebSphere DataPower SOA Appliance - Und?

Im Rahmen seiner WebSphere DataPower Produktfamilie bietet IBM mittlerweile fünf Produkte an, die versprechen, Serviceorientierte Architekturen zu vereinfachen, zu beschleunigen und im Bezug auf deren Sicherheit zu verbessern. Mehr darüber in diesem Artikel.

Referenz 10.10.24

Managed Service: Prozesse optimieren & Sicherheit erhöhen

Mit dem IAM Managed Service von IPG konnte ein Schweizer Versicherer seine Prozesse effizienter gestalten, die Sicherheit steigern und durch proaktive Überwachung Probleme frühzeitig erkennen. Jetzt mehr lesen!

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit

Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Blog 03.02.25

MIM End-of-Life: Strategien zur erfolgreichen Planung

Was kommt nach dem Microsoft Identity Manager? Wir zeigen Ihnen, wie Sie den Übergang erfolgreich planen – mit Optionen von schrittweiser Migration bis hin zu neuen Lösungen. Lesen Sie hier mehr.

Blog 06.11.23

Hurra, hurra - Angular Version 17 ist da!

Erfahren Sie, welche aufregenden neuen Funktionen und Verbesserungen Angular Version 17 mit sich bringt. Von der neuen deklarativen Control Flow Syntax bis hin zum Deferred Loading und vielem mehr - Angular 17 revolutioniert die moderne Webentwicklung. Lesen Sie mehr auf unserem Blog!

Referenz

Rezertifizierungslösung von FI-TS

Mit Unterstützung der TIMETOACT GROUP gelang es dem IT-Dienstleister, die Qualität der Berechtigungsrezertifizierung auf eine neue Stufe zu heben.