Digital Operations Resilience Act (DORA) in der EU und die Auswirkungen auf die Cybersicherheit
Im Finanzdienstleistungssektor steht mehr auf dem Spiel als in vielen anderen Branchen, wenn es um die betriebliche Widerstandsfähigkeit in einer zunehmend digitalen Landschaft geht. Bis zum 17. Januar 2025 schreibt der umfassende neue EU-Rahmen für das IKT-Risikomanagement (DORA) vor, dass Finanzunternehmen und ihre wichtigsten Drittdienstleister eine Reihe von technischen Standards umsetzen, um die betriebliche Widerstandsfähigkeit des Finanzsektors gegenüber Cyberbedrohungen zu gewährleisten. Hier finden Sie einen Überblick über DORA und seine wichtigsten Auswirkungen auf die Cybersicherheit.
Was ist DORA und warum wird es eingeführt?
Ob Banken, Versicherungen, Investmentfirmen oder Krypto-Asset-Dienstleister: Cyberkriminalität stellt ein hohes gesellschaftliches und wirtschaftliches Risiko für den Finanzsektor dar. Tatsächlich bezeichnen 82 Prozent der Chief Risk Officers (CROs) europäischer Banken die Cybersicherheit als das größte Risiko ihres Unternehmens im Jahr 2024.
Ein zwingender Grund für die Einführung von DORA ist die Berücksichtigung der wachsenden Cyberrisiken im Finanzdienstleistungssektor. Es ist nicht nur so, dass Finanzinstitute begehrte Ziele mit potenziell hohen Gewinnen für profitgierige Hacker sind. Wachsende Risiken ergeben sich auch aus der geopolitischen Instabilität, da staatlich gesponserte Hacker möglicherweise das europäische Finanzsystem ins Visier nehmen könnten. Und natürlich gibt es weiterhin Probleme mit komplexen Angriffen auf die Lieferkette, wie der MOVEit-Angriff von 2023, der zur Preisgabe von Kundendaten der Deutschen Bank führte.
Die Einführung von DORA bedeutet auch eine Abkehr von der fragmentierten Regulierungslandschaft, die zuvor von den einzelnen EU-Mitgliedstaaten geprägt war. Früher machte ein Flickenteppich von Vorschriften auf der Ebene der Mitgliedstaaten die digitale operative Widerstandsfähigkeit für Finanzunternehmen schwer verständlich und navigierbar. Ein großer Teil des Anstoßes hinter dieser Verordnung ist daher der Übergang zu einem einheitlichen und umfassenden Rahmen auf EU-Ebene mit standardisierten Praktiken, die jeder befolgen kann. Durch die Zentralisierung der Regulierung werden nicht nur die Komplexität und die Herausforderungen der digitalen Ausfallsicherheit auf harmonisierte Weise angegangen, sondern sie spiegelt auch die vernetzte und digitale Natur der heutigen Finanzmärkte wider.
Die wichtigsten Auswirkungen von DORA auf die Cybersicherheit
Im Folgenden sind einige der wichtigsten Auswirkungen auf die Cybersicherheit aufgeführt, die Finanzunternehmen und wichtige Drittanbieter (z. B. Cloud-Service-Anbieter) verstehen müssen. Diese Auswirkungen umfassen Richtlinien, Verfahren und operative Maßnahmen.
Wirksames Risikomanagement und Governance
DORA erfordert einen soliden Rahmen für ICT-Risikomanagement und -Governance. In der Praxis bedeutet dies, dass Cybersicherheit im breiteren Kontext der Unternehmensziele betrachtet werden muss. Die Verordnung unterstreicht die Notwendigkeit einer aktiven Beteiligung und Rechenschaftspflicht der Unternehmensleitung bei der Überwachung des ICT-Risikomanagements. Vorstandsmitglieder und andere Führungskräfte müssen also sowohl ihre Strategie für das ICT-Risikomanagement festlegen als auch aktiv an deren Umsetzung beteiligt sein.
Das Ziel scheint hier ziemlich klar zu sein; diese Konzentration auf die Beteiligung der Geschäftsleitung geht das Problem an, dass die Cybersicherheit oft isoliert oder nicht vollständig in die breitere Geschäftsstrategie von Unternehmen integriert ist. Indem DORA die Cybersicherheit auf die Ebene der Unternehmensführung und der strategischen Planung hebt, soll die Kluft zwischen technischen Cybersicherheitsmaßnahmen und Geschäftszielen überbrückt werden.
Reaktion auf Vorfälle üben
Bei Cyberangriffen auf Finanzunternehmen besteht immer die Sorge, dass sie sich systemisch ausbreiten und nicht nur eine Bank oder ein Versicherungsunternehmen betreffen, sondern das gesamte System lahmlegen. Daher ist eine wirksame Reaktion auf Vorfälle erforderlich, die eine rechtzeitige Erkennung, Meldung und Verwaltung von Cyber-Sicherheitsvorfällen gewährleistet.
Gemäß DORA müssen Finanzunternehmen umfassende Reaktionspläne für Vorfälle entwickeln und umsetzen. In diesen Plänen ist klar definiert, was als Cybersicherheitsvorfall gilt. Sie müssen diese Pläne auch regelmäßig testen und aktualisieren, um ihre Wirksamkeit angesichts realer Cyber-Bedrohungen zu gewährleisten. Ein weiterer Aspekt sind spezifische Fristen für die Meldung schwerwiegender Vorfälle, obwohl diese Fristen von den europäischen Aufsichtsbehörden (ESA) noch nicht veröffentlicht wurden.
Ziel ist es hier, einen proaktiven Ansatz für die Cybersicherheit zu fördern. Eine gute Reaktion auf Vorfälle verringert die Auswirkungen von Cybervorfällen auf den Betrieb und die Kunden und trägt gleichzeitig zur kollektiven Stabilität des Finanzsektors bei.
Risikomanagement für Drittparteien
Die Betonung der DORA auf dem Risikomanagement von Drittanbietern unterstreicht die erhebliche Abhängigkeit des Finanzsektors von Drittanbietern, einschließlich Cloud-Anbietern für wichtige ICT-Funktionen. Die Vorschriften fordern, die Abhängigkeiten von Dritten darzustellen, vertragliche Vereinbarungen über Zugänglichkeit, Integrität und Sicherheitsanforderungen auszuhandeln und sich bei kritischen ICT-Funktionen nicht auf einen einzigen Anbieter oder eine kleine Gruppe zu verlassen.
Die Nutzung von Dienstleistungen Dritter ist aus der Perspektive der digitalen Transformation natürlich eine gute Sache, aber sie kann auch zusätzliche Schwachstellen schaffen und die Risikolandschaft im Finanzsektor verkomplizieren. Die Vorschriften zielen eindeutig darauf ab, das Risiko von Cyber-Vorfällen, die von Dritten ausgehen, zu verringern. In der Tat ist die gesamte Verordnung auch für die Anbieter von ICT-Dienstleistungen für Unternehmen im Finanzsektor verbindlich.
Prüfung der digitalen Betriebsfestigkeit
Die DORA schreibt regelmäßige und strenge Tests der digitalen operationellen Widerstandsfähigkeit vor. Dazu gehören Schwachstellenbewertungen und simulierte Angriffsszenarien, mit denen die Wirksamkeit der Abwehrmaßnahmen getestet wird (z. B. Pen-Tests). Unternehmen, die für den Finanzsektor von systemischer Bedeutung sind oder einen ausreichenden Reifegrad aufweisen, müssen alle drei Jahre bedrohungsgesteuerte Penetrationstests (TLPT) durchführen.
Diese Vorschriften tragen nicht nur dazu bei, Schwachstellen und Lücken in der Cybersicherheitsverteidigung zu ermitteln, sondern erleichtern auch die kontinuierliche Verbesserung und Stärkung der digitalen betrieblichen Widerstandsfähigkeit. Die Notwendigkeit von Tests im Rahmen von DORA unterstreicht die Bedeutung eines proaktiven und dynamischen Ansatzes für die Cybersicherheit, der über die bloße Einhaltung von Vorschriften hinausgeht und auf eine echte betriebliche Widerstandsfähigkeit abzielt.
DIESEC Testing Dienstleistungen
DIESECs Penetrationstests helfen Unternehmen bei der Erfüllung ihrer gesetzlichen Verpflichtungen und der allgemeinen Notwendigkeit von Cyber-Resilienz. Unser Expertenteam führt White-Box-, Black-Box- und Grey-Box-Tests durch. Sie können auch Red Teaming-Übungen durchführen, um einen realistischen Cyberangriff auf die Verteidigungssysteme Ihres Unternehmens zu simulieren.