Am 16. Januar 2023 trat der Digital Operational Resilience Act (DORA) in Kraft und bringt eine Europaweite Verordnung für die Mindestanforderungen an IT-Sicherheit in der Finanzwelt, basierend auf bewährten Konzepten aus Regelungen wie VAIT, BAIT und Kritis. Doch DORA geht in Teilen auch einen Schritt weiter, indem sie auch Dienstleister verstärkt in die Verantwortung nimmt.
Was genau bedeutet die DORA Verordnung das für Finanzunternehmen?
DORA setzt klare Anforderungen an die Informations- und Kommunikationstechnologie, die umzusetzen sind. Unter anderem werden folgende zentrale Themen definiert:
Die Implementierung eines umfassenden Risikomanagementsystems für IT-Risiken.
Maßnahmen zur Sicherstellung der IT-Systeme und ihrer Verfügbarkeit.
Verfahren zur Behandlung und Meldung von Störungen.
Anforderungen an das Management von Drittanbietern.
Regelmäßige Tests der Informations- und Kommunikationstechnologie Systeme.
Regeln zum Einsatz von Cloud-Diensten, als kritisch eingestufte Dienste stehen z.B. direkt unter Aufsicht der EU-Behörden.
Die Strafen bei Nicht-Umsetzung von DORA können je nach Schwere des Verstoßes und der Branche, in der das Unternehmen tätig ist, variieren.
Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 5 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen.
Versicherungssektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 3 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen.
Geschädigte Dritte können Schadensersatzansprüche gegen das Unternehmen geltend machen.
In besonders schweren Fällen kann die Aufsichtsbehörde dem Unternehmen die Geschäftstätigkeit untersagen.
Die Umsetzung von DORA stellt für Finanzunternehmen in der EU eine große Herausforderung dar. Und die Frist für die vollständige Umsetzung schon ist der 17. Januar 2025.
Warum ist IAG entscheidend für die Einhaltung von DORA?
Identity and Access Governance (IAG) spielt eine vornehmliche Rolle bei der Erfüllung der Anforderungen von DORA. Folgende IAG-Aspekte sind hierbei besonders relevant:
1. Identitätsmanagement:
Identifizierung und Authentifizierung: Finanzinstitute müssen sicherstellen, dass nur berechtigte Personen Zugriff auf ihre Systeme und Daten haben. Dies kann durch die Verwendung von starken Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) erreicht werden.
Zugriffskontrolle: Finanzinstitute müssen festlegen, welche Berechtigungen die einzelnen Benutzer haben. Dies kann durch die Verwendung von rollenbasierten Zugriffskontrollsystemen (RBAC) erreicht werden.
Identitätslebenszyklusmanagement: Finanzinstitute müssen sicherstellen, dass die Identitäten der Benutzer über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören die Erstellung, Änderung und Löschung von Identitäten.
2. Berechtigungsmanagement:
Least-Privilege-Prinzip: Finanzinstitute sollten das Least-Privilege-Prinzip anwenden, d. h. Benutzern sollten nur die Berechtigungen eingeräumt werden, die sie für ihre Arbeit benötigen.
Regelmäßige Überprüfung von Berechtigungen: Finanzinstitute sollten die Berechtigungen der Benutzer regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin angemessen sind.
Entzug von Berechtigungen: Finanzinstitute sollten in der Lage sein, Berechtigungen schnell und einfach zu entziehen, wenn ein Benutzer sie nicht mehr benötigt oder wenn es zu einem Sicherheitsvorfall kommt.
Notfallzugriff und Wiederherstellung: DORA verlangt im Hinblick auf DRP (desaster recovery planning), dass Unternehmen Notfallzugriffsverfahren für den Fall von Systemausfällen oder Sicherheitsvorfällen implementieren. Dies umfasst auch die Wiederherstellung von Zugriffsrechten nach einem Vorfall.
3. Audit und Reporting:
Protokollierung und Überwachung: Finanzinstitute müssen alle Aktivitäten in ihren Systemen protokollieren und überwachen. Dies ermöglicht es ihnen, verdächtige Aktivitäten zu erkennen und zu untersuchen.
Berichterstattung: DORA fordert von den Finanzinstituten die Berichterstattung über Sicherheitsvorfälle (Meldepflicht über IKT-Incidents).
Sie brauchen Unterstützung bei der Umsetzung von Dora?
IPG steht Ihnen als verlässlicher Partner zur Seite, um Sie bei der Umsetzung von DORA zu unterstützen. Unsere Dienstleistungen umfassen:
Beratung bei der Bewertung Ihrer aktuellen IT-Risiken: Wir helfen Ihnen, Ihre aktuellen Risiken zu identifizieren und zu bewerten. Dies bildet die Grundlage für die Entwicklung eines effektiven IT-Risikomanagementsystems.
Unterstützung bei der Entwicklung eines IT-Risikomanagementsystems: Wir begleiten Sie bei der Gestaltung eines IT-Risikomanagementsystems, das genau auf Ihre Bedürfnisse zugeschnitten ist. Dieses System umfasst Aspekte wie Risikoidentifikation, -bewertung, -behandlung und die Überwachung und Berichterstattung über Risiken.
Beratung bei der Implementierung von Maßnahmen zur Sicherheit und Verfügbarkeit von IT-Systemen: Wir unterstützen Sie bei der Umsetzung von Maßnahmen, um die Sicherheit und Verfügbarkeit Ihrer IT-Systeme sicherzustellen. Dazu gehören Sicherheitsrichtlinien und -verfahren, Backup- und Wiederherstellungssysteme sowie Notfallpläne.
Unterstützung bei der Entwicklung von Verfahren zur Behandlung und Meldung von Störungen: Wir helfen Ihnen bei der Ausarbeitung von Prozessen zur effizienten Behandlung und Meldung von Störungen. Dadurch wird gewährleistet, dass Probleme schnell und effektiv gelöst werden, ohne Ihre Kunden zu beeinträchtigen.
Beratung bei der Auswahl und Bewertung von Drittanbietern: Wir unterstützen Sie bei der Auswahl und Bewertung von Drittanbietern, die Ihre IT-Systeme und -Dienstleistungen unterstützen. Dies gewährleistet, dass Ihre IT-Ressourcen von vertrauenswürdigen Anbietern bereitgestellt werden.
Unsere erfahrenen Berater haben bereits zahlreiche Finanzinstitute bei der Umsetzung von IT-Sicherheitskonzepten mit einem prüfungssicherem Identity and Access Governance erfolgreich begleitet. Wenn Sie Fragen zur Umsetzung dieser Verordnung haben, zögern Sie nicht, sich an uns zu wenden. Wir sind hier, um Ihnen beratend zur Seite zu stehen und Ihre Compliance sicherzustellen.
DORA ist also nicht nur alter Wein in neuen Schläuchen; es ist eine Chance, die digitale Widerstandsfähigkeit zu stärken und den Weg für eine sicherere digitale Finanzwelt zu ebnen. Wir freuen uns darauf, Sie bei dieser wichtigen Reise zu unterstützen.
Kontaktieren Sie uns noch heute, um mehr zu erfahren.