Finanzorganisationen standen schon immer im Mittelpunkt des Interesses bösartiger Akteure. Hacker lieben es, die „reichhaltigen Ressourcen“ zu erkunden, die Banken, Investmentorganisationen und Kreditunternehmen bieten. Sie stehlen nicht nur personenbezogene Daten, sondern haben es auch auf finanziellen Gewinn abgesehen.
Mit der Digitalisierung des Finanzwesens und dem Aufkommen von Kryptowährungen ist der Finanzsektor noch anfälliger für Cyberangriffe geworden. Die Umstellung auf die Digitalisierung bringt auch Drittunternehmen − Informations- und Kommunikationstechnologien − mit ins Spiel, was die Sicherheitsprobleme sichtbarer und unvorhersehbarer macht.
Diese Veränderungen vollziehen sich schneller, als die Gesetzgebungsverfahren und die Verabschiedung durch Regierungen es zulassen, was die Situation anfälliger für Manipulationen macht. Dies hat zur Folge, dass einige Systeme und Mechanismen in eine rechtliche Grauzone fallen.
Dieser Artikel behandelt den Anwendungsbereich, die Ziele und die Anforderungen des Digital Operational Resilience Act (DORA) [Verordnung über digitale Betriebsstabilität]. Wir erörtern auch, was als Nächstes auf dem Zeitplan für die DORA-Verordnung steht und wie man sich auf seine Umsetzung vorbereitet.
Doch zuvor wollen wir herausfinden, wann und wie das Gesetz zustande kam.
Hintergrund der DORA-Verordnung
Der Digital Operational Resilience Act [Verordnung über digitale Betriebsstabilität] ist Teil eines größeren Gesetzespakets zum digitalen Finanzwesen, einschließlich der Märkte für Krypto-Assets und Distributed-Ledger-Technologie. Die Europäische Kommission hat diese Gesetzesänderungen entwickelt, um die Bürger zu schützen und Risiken zu minimieren.
Der Europäische Rat schlug die Verordnung am 24. September 2020 vor, ging am 24. November 2021 in die Verhandlungsphase über und nahm das vorläufige Dokument am 10. Mai 2022 an.
Der Anwendungsbereich: Wer ist von der DORA-Verordnung betroffen?
Die DORA-Verordnung gilt für in der EU tätige Finanzinstitute, darunter Banken, Kreditinstitute, Versicherungsgesellschaften und Wirtschaftsprüfer. Dem Gesetzesvorschlag zufolge sollen sogar Organisationen aus Übersee europäische Tochtergesellschaften eröffnen, um eine bequemere Aufsicht und schnellere Reaktionen zu ermöglichen.
Der Digital Operational Resilience Act (DORA) zielt darauf ab, die Fähigkeit von Finanzinstituten zu kontrollieren, auf Cybersicherheitsrisiken zu reagieren, darüber zu berichten und sie zu verwalten. Da die Finanzinstitute von den Informations- und Kommunikationstechnologien (IKT) Dritter abhängig sind, erweitert sich auch der Risikobereich. Daher besteht eines der Ziele der DORA-Verordnung darin, solche Dienste und ihre Reaktionsmöglichkeiten zu regulieren.
Welche Vorschriften enthält die DORA-Verordnung
Die DORA-Verordnung konzentriert sich auf einige Aspekte der Cybersicherheit für Finanzunternehmen, darunter die Meldung von Zwischenfällen, Penetrationstests und den Informationsaustausch. Sie zielt darauf ab, die Wettbewerbsbedingungen durch verhältnismäßige Anforderungen für alle Organisationen anzugleichen.
Schauen wir uns die einzelnen Anforderungen im Detail an.
Governance-Anforderungen
Das IKT-Risikomanagement ergibt sich daraus, wie das Unternehmen seine Geschäfts- und Cybersicherheitsstrategien aufeinander abstimmt. Der Schwerpunkt dieses Abschnitts liegt darauf, den Unternehmen eine Reihe von Regeln für IKT-bezogene Fragen an die Hand zu geben:
- Klare Rollen und Verantwortlichkeiten (wer ist wofür zuständig)
- Kontinuierliche Risikoüberwachung und -management
- Zuteilung von Investitions- und Schulungsressourcen
- Risikomanagement für Dritte
Dieser Abschnitt des Digital Operational Resilience Act deckt die üblichen bewährten Praktiken des Risikomanagements für Dritte ab:
- Aufrechterhaltung anerkannter Präventions- und Schutzmaßnahmen
- Aufdeckung von Anomalien
- Aktualisierung von Systemen und Protokollen
- Einrichtung geeigneter Verfahren für die Geschäftskontinuität und das Katastrophenmanagement
Meldung von Vorfällen
Die Meldung von Vorfällen ist ein wesentlicher Bestandteil aller Cybersicherheitsmaßnahmen. Die Verordnung über digitale Betriebsstabilität zielt darauf ab, einfache und effiziente Verfahren für alle Meldungen zu schaffen. Hier sind einige Ziele dieses Abschnitts:
- Optimierte Vorlagen für Erst-, Zwischen- und Abschlussberichte
- Aufnahme von Gesprächen zwischen Behörden und Finanzorganisationen für schnelle und effiziente Reaktionen
- Zentralisierung des Meldesystems unter einer EU-Drehscheibe, die alle Berichte über bedeutende Cyberangriffe von Finanzinstituten bearbeiten wird
Belastbarkeitsprüfung
Regelmäßige Penetrationstests der digitalen Abläufe sind eine der wesentlichen Komponenten, die in der DORA-Verordnung erwähnt werden. Alle Finanzorganisationen müssen ihre Systeme regelmäßig testen, um Schwachstellen zu erkennen und Verbesserungsmöglichkeiten zu finden. Die Verordnung legt Folgendes fest:
- Proportionale Prüfmechanismen (abhängig von der Unternehmensgröße und dem Geschäftsrisiko)
- Anforderungen an Tester in der EU
- Informationsaustausch
Diese Richtlinie befasst sich mit der Bedeutung des Informationsaustauschs zwischen Finanzorganisationen. Das ist aus mehreren Gründen entscheidend:
- Sensibilisierung für Cyberrisiken und -bedrohungen
- Eindämmung der Verbreitung der genannten Bedrohungen durch die Sensibilisierungskomponente
- gegenseitige Unterstützung bei der Entwicklung und Durchführung von widerstandsfähigeren Verfahren zur Erkennung von Bedrohungen
- DORA und DMARC
Was hat die DORA-Verordnung mit DMARC zu tun?
Ganz einfach: Cyber-Bedrohungen sind allgegenwärtig, und die E-Mail ist eine der am häufigsten angegriffenen Infrastrukturen von Finanzinstituten weltweit.
Die Kompromittierung von geschäftlichen E-Mails (Business Email Compromise, BEC) ist ein gezielter Phishing-Angriff, der die meisten Unternehmen in den Ruin treiben kann. Im Falle von Finanzinstituten bedroht diese Angriffsart auch deren Kunden.
Auch wenn der Digital Operational Resilience Act (DORA) noch viel mehr zu bieten hat, ist die DMARC-Konformität eines der wichtigsten Gegenmittel gegen Phishing und Spoofing.
Wie geht es mit der DORA-Verordnung weiter?
Der Digital Operational Resilience Act (DORA) soll bis Ende des Sommers 2022 vom Europäischen Rat und vom Europäischen Parlament verabschiedet werden.
Danach wird das Paket durch Europa reisen und in jedem Mitgliedstaat in das nationale Recht integriert werden. Sobald dies geschehen ist, werden die europäischen Aufsichtsbehörden, darunter die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und die Europäische Wertpapieraufsichtsbehörde (ESMA), weitere technische Anforderungen im Rahmen der DORA-Verordnung entwickeln.
Die genannten Behörden werden auch als Aufsichts- und Durchsetzungsorgane für das Gesetz fungieren.
So bereiten Sie sich auf die Einführung der DORA-Verordnung vor
Die Einführung neuer Vorschriften übt Druck auf Organisationen aus, und die DORA-Verordnung ist da keine Ausnahme. Das Verständnis und die Umsetzung der Änderung erfordert viel Zeit und Ressourcen, insbesondere für Finanzunternehmen aus Nicht-EU-Ländern mit Kunden in der Union.
Sobald die DORA-Verordnung offiziell ist, werden kleine und mittlere Unternehmen wahrscheinlich etwa ein Jahr Zeit haben, um alle Anforderungen zu erfüllen. Abhängig von einigen anderen Faktoren, wie z. B. der Gefährdung durch Cyberrisiken und dem Geschäftsprofil, haben größere Unternehmen bis zu 36 Monate Zeit, um die Anforderungen vollständig zu erfüllen.
Wir haben einige Schritte identifiziert, die Unternehmen für einen reibungslosen Übergang durchführen können:
- Befolgen Sie bewährte Praktiken der Cybersicherheit: Es gibt unzählige Leitfäden und operative Rahmenwerke, mit denen man sich vertraut machen sollte. Befolgen Sie die Leitlinien zum IKT-Risikomanagement und zu Outsourcing-Vereinbarungen.
- Verbessern Sie die Systemabwehr: Installieren Sie Firewalls, ergreifen Sie Sicherheitsmaßnahmen, setzen Sie eine gute Passworthygiene durch und bieten Sie Ihren Mitarbeitern Schulungen zum Thema Cybersicherheit an. Außerdem sollten Sie sich mit der Welt der E-Mail-Sicherheitsprotokolle vertraut machen, falls Sie dies noch nicht getan haben.
- Führen Sie Tests durch, um Sicherheitsprobleme zu erkennen: Penetrationstests können ein wirksames Mittel sein, um Lücken in Ihren Systemen und täglichen Abläufen aufzudecken.
- Identifizieren Sie Ihre wichtigsten Ressourcen für eine bessere Verwaltung: Wenn Sie wissen, über welche Ressourcen Sie verfügen, können Sie die richtigen Rollen für deren Verwaltung bestimmen und eine ständige Überwachung gewährleisten.
- Richten Sie die Einstellung für schnelle Berichterstattungsverfahren ein: Wenn Sie die Rollen und Prozesse kennen, wird es viel einfacher sein, die entsprechenden Berichte über Vorfälle umgehend zu erstellen.
- Fazit
Die Einführung der DORA-Verordnung ist näher als Sie denken. Obwohl sie neue und spezifische Vorschriften für die Berichterstattung und den Informationsaustausch mit sich bringt, wird die Integration beschleunigt, wenn Sie von Anfang an über angemessene Cybersicherheitspraktiken verfügen. Finden Sie heraus, wie unser gehosteter DMARC-Service Ihnen helfen kann, genau das zu erreichen und Ihre E-Mails sicher zu halten.