Der Digital Operational Resilience Act (DORA)

Kernbereiche von DORA: DORA konzentriert sich auf sechs wesentliche Bereiche:

• IKT-Risikomanagement: Finanzinstitute müssen robuste Rahmenwerke für das IKT-Risikomanagement einrichten, um Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen.
• Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen: DORA legt Verfahren für die Meldung, Klassifizierung und Behandlung von Vorfällen fest, einschließlich der Meldung schwerwiegender Vorfälle an die zuständigen Behörden.
• Testen der digitalen operativen Widerstandsfähigkeit: Regelmäßige Tests sind erforderlich, um die Widerstandsfähigkeit gegenüber Cyberangriffen und IKT-bezogenen Störungen zu bewerten. Threatled Penetration Testing (TLPT) ist für bestimmte Unternehmen alle drei Jahre vorgeschrieben.
• Management des IKT-Drittparteienrisikos: Strenge Anforderungen an die Verwaltung von Risiken, die mit IKT-Dienstleistern von Drittanbietern verbunden sind, werden durch Due Diligence, Vertragsgestaltung und laufende Überwachung umgesetzt.
• Überwachungsrahmen für kritische IKT-Drittdienstleister: DORA etabliert einen Überwachungsrahmen für kritische IKT-Drittanbieter, die für den Finanzsektor systemrelevant sind.
• Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen: DORA fördert den Informationsaustausch und die Zusammenarbeit zwischen Finanzinstituten und Behörden.

Umsetzung von DORA:

Gap-Analyse und Umsetzungsplan: Finanzinstitute müssen eine Gap-Analyse durchführen und einen Umsetzungsplan entwickeln, um die DORA-Anforderungen zu erfüllen. Proportionalitätsprinzip: Die Anforderungen basieren auf dem Proportionalitätsprinzip, d.h. sie berücksichtigen die Größe und das Risikoprofil der Unternehmen. Erweiterung bestehender Regulierungen: DORA erweitert bestehende Regulierungen wie MaRisk und BAIT und führt neue Aspekte ein. Rolle der BaFin: Die BaFin spielt eine zentrale Rolle bei der Überwachung und Durchsetzung von DORA in Deutschland. Sie wird u.a. Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegennehmen und analysieren.

Strategien zur Steuerung von Drittanbieter-Risiken: Drittanbieter-Risiken unter DORA hervor: Sorgfältige Due Diligence und Risikobewertung vor der Beauftragung neuer Anbieter. Umfassende Governance- und Compliance-Maßnahmen, einschließlich Vertragsklausel, die die Einhaltung von Risikomanagementstandards vorschreiben. Effektives Vorfallmanagement und Reaktion mit klaren Prozessen für die Identifizierung, Protokollierung, Analyse, Eindämmung und Behebung von Vorfällen. Priorisierung der kritischsten Anbieter und strategische Bewertung bestehender Beziehungen. Kontinuierliche Überwachung und Anpassung an die sich verändernde Cyber-Bedrohungslandschaft. Fazit: DORA stellt strenge Anforderungen an die digitale operative Widerstandsfähigkeit im Finanzsektor. Die Nichteinhaltung kann zu hohen Strafen führen. Finanzinstitute müssen daher robuste Governance-Strukturen, Compliance-Maßnahmen und Strategien zur Steuerung von Drittanbieter-Risiken implementieren, um den Anforderungen von DORA gerecht zu werden.

Alle Angaben ohne Gewähr. Die in diesem Podcast präsentierten Informationen und Analysen zu regulatorischen Themen basieren auf sorgfältiger Recherche und den aktuellen gesetzlichen Rahmenbedingungen. Dennoch können wir keine Garantie für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernehmen. Dieser Podcast dient ausschließlich zu Informationszwecken und stellt keine rechtliche Beratung dar. Für spezifische rechtliche Fragen konsultieren Sie bitte einen Fachmann.