DORA – Digital Operational Resilience Act
Einfach und sicher Nachweispflichten erfüllen, Cybersicherheit stärken und IT-Resilienz erhöhen
DORA-Richtlinie: Anforderung meistern
mit BACKUP EAGLE®
Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden in der DORA-Verordnung einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen festgelegt. Das schließt die Informations- und Kommunikationstechnologie (IKT), Meldung schwerwiegender IKT-bezogener Vorfälle, erheblicher Cyberbedrohungen und zahlungsbezogener Betriebs- oder Sicherheitsvorfälle sowie Tests der digitalen operationalen Resilienz.
Entdecken Sie, wie BACKUP EAGLE® Ihr Unternehmen dabei unterstützen kann, die Herausforderungen von DORA erfolgreich zu meistern und gleichzeitig Ihre Backup-Infrastruktur zu optimieren.
DORA im Überblick
Die DORA-Richtlinie stellt sicher, dass der europäische Finanzsektor in der Lage ist, die Betriebsstabilität im Falle einer schwerwiegenden Störung z.B. durch Cyberangriffe aufrechtzuerhalten. Die DORA-Richtlinie ist bereits am 16.01.2023 formell in Kraft getreten und wurde von den EU-Mitgliedsstaaten in nationales Recht umgesetzt. Ab 17.01.2025 wird die Richtlinie angewandt.
DORA Definition DORA Betroffene DORA-Verordnung (ab Seite 80) BACKUP EAGLE® Unterstützung Kontakt
Wozu die DORA-Richtlinie?
Der bisherige EU-Rechtsrahmen für IKT-Risiken und Betriebsstabilität im Finanzsektor ist fragmentiert und teils inkonsistent. Mit der neuen EU-Verordnung sollen die Regelungen harmonisiert werden und die Mitgliedstaaten keinen Anlass mehr haben, im Alleingang nationale Vorschriften, Standards und Vorgaben in Bezug auf Betriebsstabilität und Cybersicherheit zu erlassen .Es wird die Klassifizierung und Meldung von IKT-Vorfällen angestrebt. Grenzüberschreitend tätige Finanzunternehmen erhalten zudem Rechtsklarheit zu Vorschriften für digitale Resilienz.
Zudem sollen EU-weite Standards für digital operationelle Belastbarkeitstests definiert werden, um noch unbekannte Anfälligkeiten und Risiken besser zu erkennen.
Wer ist von DORA betroffen?
DORA gilt für alle auf EU-Ebene regulierten Finanzunternehmen. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler und weitere.
Die Kernanforderungen unterscheiden sich zwischen einzelnen Unternehmen je nach Geschäftsmodell, Größe, Risikoprofil oder Systemrelevanz.
DORA: Was kommt auf betroffene Finanzunternehmen zu?
Die Umsetzung der DORA hat für die betroffenen Unternehmen Abstimmungs- , Schulungs- und Implementierungsaufwände zur Folge – abhängig vom IST-Zustand. Wenn für die Umsetzung zusätzlich neue technische Systeme erforderlich sind, sollten diese als IT-Projekte mit einer hohen Komplexität und Kritikalität betrachtet werden.
Unsere Empfehlung: Umfangreiche Gap-Analyse, durch welche die durch DORA vorgegebenen Anforderungen im eigenen Haus verifiziert werden. Aufbauend darauf können konkrete Projekte geplant und umgesetzt werden.
Vermutlich werden zusätzliche Sicherheitsprüfungen auf diese Unternehmen zukommen. Dies sind z.B. Prüfungen ihrer Dienstleister, und ggf. auch technische Analysen in Form von bedrohungsorientierten Penetrationstestes. Datenbereitstellungsdienste müssen angemessene Ressourcen vorhalten und über Sicherungs- und Wiederherstellungseinrichtungen verfügen, um seine Dienste jederzeit anbieten und aufrechterhalten zu können. Bei der Festlegung der Zielvorgaben für die Wiederherstellungszeit und den Wiederherstellungspunkt für jede Funktion ist von den Finanzunternehmen zu berücksichtigen, ob es sich um eine kritische oder wichtige Funktion handelt. Diese Zeitziele müssen sicherstellen, dass in Extremszenarien die vereinbarten Dienstleistungsniveaus eingehalten werden.
Anforderungen an Finanzunternehmen
- Meldung IKT-bezogener Vorfälle
- Prüfung der digitalen Betriebsstabilität
- Überwachung des Risikos durch IKT-Drittanbieter
Maßnahmen für digitale Resilienz
- Spezifizierung des Managements digitaler Risiken (als Ergänzung zum bisher geltenden Single „Rulebook“ der Europäischen Bankenunion)
- Schaffung einer gründlichen Prüfung von IKT-Systemen
- Neue Befugnisse für Finanzaufsichtsbehörden zum Überwachen von Risiken in Zusammenhang mit IKT-Drittanbietern
- Meldeverfahren für IKT-bezogene Vorfälle
Wie unterstützt BACKUP EAGLE® Sie bei DORA-Anforderungen?
BACKUP EAGLE® unterstützt Sie bei der Einhaltung der DORA-Verordnung. Nehmen Sie Kontakt mit uns auf und lassen Sie sich in einem kostenfreien Erstgespräch von uns beraten. Wir sind ihr Partner in allen Belangen rundum Compliance und Nachweis gesetzlicher Vorgaben für Backups und Restores von der Konzeption über die Umsetzung bis zur Analyse, Auswertung und Optimierung.
Nachweis von Compliance durch automatisierte Reports zu Backups und Restores
- Über mehrere Backup-Tools
- On-Prem und Cloud
- Über lange Zeiträume (bis zu 10 Jahre)
Nachweis der Einhaltung von Vorgaben zu Backups und Restores
- Durch detaillierte Nachweise jedes einzelnen Backups und Restores
- Durch Dokumentation von Incidents und den Aktionen zu ihrer Behebung
- Durch Dokumentation von Restore-Tests
Nachweis der Einhaltung des Backupkonzepts
- Automatische Dokumentation der Backupkonfiguration
- Prüfung und Reporting von Backup-Auslagerung und Medienbruch
Prüfung der Backup-Sicherheit
- Prüfung von Aufbewahrungsfristen
- Prüfung und Dokumentation von Zugriffen auf das Backupsystem
- Dokumentation von Restores
Das könnte Sie auch interessieren
DORA-Whitepaper r-tec
Im Whitepaper der r-tec zum Thema DORA erfahren Sie alle wichtigen Details zu den Voraussetzungen und Anforderungen sowie Lösungen zur Umsetzung der Anforderungen.
EU-Verodnung zur Einsicht
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) informiert in Deutschland über die Umsetzung von DORA. Laden Sie jetzt die Verordnung (ab Seite 80) herunter.