DORA-Verordnung

DORA – Digital Operational Resilience Act

Anforderung meistern mit BACKUP EAGLE®

Nachweispflichten erfüllen
Cybersicherheit stärken
IT-Resilienz erhöhen

DORA-Verordnung

Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden in der DORA-Verordnung einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen festgelegt. Das schließt die Informations- und Kommunikationstechnologie (IKT), Meldung schwerwiegender IKT-bezogener Vorfälle, erheblicher Cyberbedrohungen und zahlungsbezogener Betriebs- oder Sicherheitsvorfälle sowie Tests der digitalen operationalen Resilienz.

Hilfe anfragen

DORA-Verordnung im Überblick

Wozu die DORA-Verordnung?

Der bisherige EU-Rechtsrahmen für IKT-Risiken und Betriebsstabilität im Finanzsektor ist fragmentiert und teils inkonsistent. Mit der neuen EU-Verordnung sollen die Regelungen harmonisiert werden und die Mitgliedstaaten keinen Anlass mehr haben, im Alleingang nationale Vorschriften, Standards und Vorgaben in Bezug auf Betriebsstabilität und Cybersicherheit zu erlassen .Es wird die Klassifizierung und Meldung von IKT-Vorfällen angestrebt. Grenzüberschreitend tätige Finanzunternehmen erhalten zudem Rechtsklarheit zu Vorschriften für digitale Resilienz.

Zudem sollen EU-weite Standards für digital operationelle Belastbarkeitstests definiert werden, um noch unbekannte Anfälligkeiten und Risiken besser zu erkennen.

Wer ist von DORA betroffen?

Die DORA-Verordnung stellt sicher, dass der europäische Finanzsektor in der Lage ist, die Betriebsstabilität im Falle einer schwerwiegenden Störung z.B. durch Cyberangriffe aufrechtzuerhalten.

DORA gilt demnach für alle auf EU-Ebene regulierten Finanzunternehmen. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler und weitere.

Die Kernanforderungen unterscheiden sich zwischen einzelnen Unternehmen je nach Geschäftsmodell, Größe, Risikoprofil oder Systemrelevanz.

DORA: Was kommt auf betroffene Finanzunternehmen zu?

Die Umsetzung der DORA hat für die betroffenen Unternehmen Abstimmungs- , Schulungs- und Implementierungsaufwände zur Folge – abhängig vom IST-Zustand. Wenn für die Umsetzung zusätzlich neue technische Systeme erforderlich sind, sollten diese als IT-Projekte mit einer hohen Komplexität und Kritikalität betrachtet werden.

Unsere Empfehlung: Umfangreiche Gap-Analyse, durch welche die durch DORA vorgegebenen Anforderungen im eigenen Haus verifiziert werden. Aufbauend darauf können konkrete Projekte geplant und umgesetzt werden.

Vermutlich werden zusätzliche Sicherheitsprüfungen auf diese Unternehmen zukommen. Dies sind z.B. Prüfungen ihrer Dienstleister, und ggf. auch technische Analysen in Form von bedrohungsorientierten Penetrationstestes. Datenbereitstellungsdienste müssen angemessene Ressourcen vorhalten und über Sicherungs- und Wiederherstellungseinrichtungen verfügen, um seine Dienste jederzeit anbieten und aufrechterhalten zu können. Bei der Festlegung der Zielvorgaben für die Wiederherstellungszeit und den Wiederherstellungspunkt für jede Funktion ist von den Finanzunternehmen zu berücksichtigen, ob es sich um eine kritische oder wichtige Funktion handelt. Diese Zeitziele müssen sicherstellen, dass in Extremszenarien die vereinbarten Dienstleistungsniveaus eingehalten werden.

Anforderungen an Finanzunternehmen

Meldung IKT-bezogener Vorfälle
Prüfung der digitalen Betriebsstabilität
Überwachung des Risikos durch IKT-Drittanbieter

Maßnahmen für digitale Resilienz

Spezifizierung des Managements digitaler Risiken (als Ergänzung zum bisher geltenden Single „Rulebook“ der Europäischen Bankenunion)
Schaffung einer gründlichen Prüfung von IKT-Systemen
Neue Befugnisse für Finanzaufsichtsbehörden zum Überwachen von Risiken in Zusammenhang mit IKT-Drittanbietern
Meldeverfahren für IKT-bezogene Vorfälle

Wie unterstützt BACKUP EAGLE® Sie bei DORA-Anforderungen?

Die DORA-Verordnung ist bereits am 16.01.2023 formell in Kraft getreten und wurde von den EU-Mitgliedsstaaten in nationales Recht umgesetzt. Ab 17.01.2025 wird die Richtlinie angewandt. Es wird also höchste Zeit für Finanzunternehmen, die Anforderungen der DORA-Verordnung umzusetzen.

BACKUP EAGLE® unterstützt Sie bei der Einhaltung der DORA-Verordnung. Nehmen Sie Kontakt mit uns auf und lassen Sie sich in einem kostenfreien Erstgespräch von uns beraten. Wir sind ihr Partner in allen Belangen rundum Compliance und Nachweis gesetzlicher Vorgaben für Backups und Restores von der Konzeption über die Umsetzung bis zur Analyse, Auswertung und Optimierung.

Kontakt

Compliance durch automatisierte Reports

– Über mehrere Backup-Tools
– On-Prem und Cloud
– Über lange Zeiträume (bis zu 10 Jahre)

Einhaltung von Vorgaben zu Backups und Restores

– Nachweise zu Backups und Restores
– Dokumentation von Incidents, Aktionen und Restore-Tests

Einhaltung des Backupkonzepts

– Automatische Dokumentation der Backupkonfiguration
– Prüfung und Reporting von Backup-Auslagerung und Medienbruch

Detaillierte Prüfung der Backup-Sicherheit

– Prüfung von Aufbewahrungsfristen und Dokumentation von Zugriffen auf Backupsystem sowie Restores

DORA-Support von BACKUP EAGLE®

Entdecken Sie, wie BACKUP EAGLE® Ihr Unternehmen dabei unterstützen kann, die Herausforderungen von DORA erfolgreich zu meistern und gleichzeitig Ihre Backup-Infrastruktur zu optimieren.

Laden Sie sich jetzt kostenlos unser Whitepaper zur DORA-Verordnung herunter oder nehmen Sie Kontakt mit BACKUP EAGLE® auf und lassen sich kostenlos zur Umsetzung der DORA-Verordnung beraten!