Was sind die 5 Grundprinzipien der DORA-Verordnung?

Was sind die 5 Grundprinzipien der DORA-Verordnung? Blog-Bannerbild

Der Digital Operational Resilience Act (DORA) der Europäischen Union konsolidiert die digitalen Sicherheitsstandards für Finanzunternehmen in den Mitgliedsstaaten. Diese werden in erster Linie durch die Schlüsselinitiativen des Frameworks veranschaulicht, die auch als die 5 Grundprinzipien von DORA bekannt sind:

  1. IKT-Risikomanagement
  2. Berichterstattung über Vorfälle
  3. Prüfung der digitalen betrieblichen Belastbarkeit
  4. Management der von Drittanbietern stammenden Risiken
  5. Austausch von Informationen

DORA ergänzt die bereits implementierte Richtlinie namens Network and Information Security 2 (NIS2). Im Gegensatz zu NIS2 ist DORA jedoch eine durchsetzbare Verordnung, ähnlich wie die Datenschutz-Grundverodnung der EU (DSGVO). Wenn Sie in der IT- und Finanzbranche tätig sind, finden Sie hier alles, was Sie über die DORA-Anforderungen an die Cybersicherheit wissen müssen.

Die 5 Grundprinzipien der DORA-Verordnung

Finanzinstitute sind bekannt für ihre komplexen IT-Infrastrukturen. Diese Technologien ermöglichen es Unternehmen, Leistung und Sicherheitsmaßnahmen auf neue Weise zu optimieren, erfordern aber auch robustere Lösungen für das Risikomanagement.

DORA zielt darauf ab, diese Lücken durch die Einführung einer Reihe von Anforderungen zu schließen, die das Niveau der Informations- und Kommunikationstechnologie (IKT) im gesamten Finanzsektor anheben. Insgesamt sind die Philosophie und die Vision von DORA in den folgenden Grundprinzipien zusammengefasst:

  1. IKT-Risikomanagement

Das IT-Risikomanagement ist der Eckpfeiler des DORA-Frameworks. Sie umfasst die Strategien, Richtlinien und Tools, die zum Schutz von Daten und Assets vor erheblichen IKT-Herausforderungen erforderlich sind.

Dieses Grundprinzip stellt sicher, dass Finanzeinrichtungen und die verschiedenen Stakeholder IKT-bezogene Schwachstellen unverzüglich und genau überwachen, bewerten und minimieren. Es wird auch thematisiert, wie sie solche Vorfälle melden und darauf reagieren sollen. Finanzunternehmen und die mit ihnen verbundenen Drittdienstleister müssen sich auf regelmäßige Sicherheitsprüfungen und -bewertungen einstellen.

IT-Expert:innen müssen ein umfassendes Framework für das IKT-Risikomanagement entwickeln, um die Anforderungen von DORA zu erfüllen. Dies kann bedeuten, dass bestehende Protokolle in Anspruch genommen und bestimmte Ziele und Rollen im Unternehmen neu definiert werden. Ein gründlicher Aktionsplan sollte einen proaktiven und konsequenten Ansatz für das Risikomanagement enthalten.

  1. Berichterstattung über IKT-bezogene Vorfälle

Gemäß DORA müssen Unternehmen mit den zuständigen Behörden zusammenarbeiten, um größere IKT-bezogene Vorfälle zu bewältigen.

Vorfälle müssen auch sofort nach ihren Auswirkungen und ihrem Potenzial, Service-Levels zu stören, klassifiziert werden. Darüber hinaus müssen sie den zuständigen Behörden unter Einhaltung der strengen Meldefristen und Standardvorlagen von DORA gemeldet werden.

Angesichts der zunehmenden Bedeutung der Meldung von IKT-Vorfällen sollten IT-Verantwortliche prüfen, wie sie die internen Überprüfungs- und Dokumentationsverfahren verbessern können. Eine Möglichkeit, dies zu erreichen, ist die Automatisierung.

Durch Automatisierung lässt sich ein umfassenderer und einheitlicherer Risikomanagementplan umsetzen. Zunächst einmal kann fortschrittliche Überwachungssoftware Unternehmen dabei helfen, potenziellen Problemen mit Echtzeitüberwachung, Bedrohungserkennung und Reaktion zuvorzukommen. Gleichzeitig kann dieser moderne Ansatz Ihre Backup- und Wiederherstellungspraktiken verbessern.

  1. Prüfung der digitalen betrieblichen Belastbarkeit

DORA stellt auch die regelmäßige Überprüfung von Maßnahmen zur digitalen Resilienz in den Vordergrund. Anders gesagt, es wird von Unternehmen erwartet, dass sie die Auswirkungen bestimmter Szenarien und erheblicher Störungen auf ihren Betrieb analysieren. Zusätzlich dazu kann von großen Einrichtungen verlangt werden, dass sie umfassendere und häufigere Testprotokolle anwenden.

Zu den proaktiven Maßnahmen, die IT-Mitarbeiter:innen ergreifen können, gehören Tests der Netzwerksicherheit und verschiedene Schwachstellenbewertungen. Darüber hinaus sollten Sie regelmäßige Bedrohungsanalysen durchführen, um Lücken im Prozess zu erkennen und bestehende Sicherheitsmaßnahmen und Fehlerbehebuns-Pläne zu verstärken. Finanzunternehmen müssen auch IKT-Drittanbieter in Schulungsprogramme zur Cybersicherheit einbeziehen, die Teil der Anforderungen sind.

  1. Management der von Drittanbietern stammenden Risiken

Einer der wichtigsten Punkte des DORA-Frameworks betrifft das Management von Risiken, die von Drittanbietern stammen, und die Compliance.

Aus einer breiteren Perspektive betrachtet, wird damit die erweiterte Verantwortung von Finanzunternehmen in den Mitgliedsländern zur Einhaltung der EU-IKT-Bestimmungen und -Gesetze aktualisiert.

Nach dieser Leitlinie müssen Finanzunternehmen sicherstellen, dass in Verträgen mit IKT-Drittanbietern, auch solchen außerhalb der EU, die Pflichten und Rechte beider Parteien klar und genau definiert sind. Sie müssen außerdem die Compliance der Drittanbieter überwachen und regelmäßig bewerten.

Finanzunternehmen können sich bei ihren Kernfunktionen und kritischen IT-Infrastrukturen nicht stark auf einen einzigen Anbieter verlassen. Daher müssen sie die Initiative zur Diversifizierung der IT-Infrastrukturen ergreifen und strenge Protokolle entwickeln, um die Compliance in allen Bereichen zu gewährleisten.

In diesem Sinne werden auch IKT-Drittdienstleister, die zentrale oder entscheidende Operationen durchführen, der direkten Aufsicht durch die zuständigen Europäischen Aufsichtsbehörden (ESAs) unterliegen.

  1. Austausch von Informationen und Erkenntnissen

Einrichtungen werden auch ermutigt, sich an Initiativen zum Informationsaustausch zu beteiligen, um gemeinsam die Standards in der Branche anzuheben. Neben der Verbesserung der Berichterstellung, der Dokumentation und der funktionsübergreifenden Zusammenarbeit innerhalb des Unternehmens sollten IKT-Verantwortliche auch die Zusammenarbeit mit Behörden und Drittanbietern fördern.

Auswirkungen von DORA auf Unternehmen

DORA zielt in erster Linie darauf ab, die IT-Sicherheit und die betriebliche Widerstandsfähigkeit des Finanzsektors zu verbessern.

Die Unternehmen, die bei dieser Initiative im Vordergrund stehen, sind Bank- und Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen und Anbieter von Zahlungsdiensten.

Darüber hinaus können Cloud-Service-Anbieter und Daten-Analytics-Unternehmen, die wesentliche Dienste für Finanzinstitute verwalten, als kritische Drittanbieter eingestuft werden und ähnlichen strengen Bestimmungen und Gesetzen unterliegen.

Um sich auf die Implementierung von DORA vorzubereiten, müssen Unternehmen den Umfang und die Anforderungen von DORA an sich selbst und ihre Geschäftspartner verstehen. Sie werden auch von der Zusammenarbeit mit Drittanbietern profitieren, die bereits die NIS2-, DSGVO- und DORA-Richtlinien einhalten.

Für IKT-Frührungskräfte und -Personal muss die Compliance als Prozess und nicht als Projekt betrachtet werden. Angepasste IKT-Protokolle müssen anpassungsfähig sein, insbesondere wenn neue Informationen verfügbar werden. Die allgemeine Herangehensweise soll dynamisch sein, und alle Beteiligten sollten sich zur Zusammenarbeit und zu regelmäßigen Schulungen bereit zeigen.

Best Practices für DORA-Compliance

Diversifizierung der IT-Infrastrukturen

Eine Möglichkeit, eine widerstandsfähige IT-Infrastruktur zu schaffen, besteht darin, sie zu diversifizieren. Es bestehen viele Möglichkeiten, diese Initiative zu verwirklichen, aber die meisten Unternehmen können sich zunächst mit der Modernisierung einiger Komponenten und der IT-Automatisierung befassen. Fernüberwachung und -wartung können Wunder für Effizienz und Echtzeit-Sicherheit bewirken.

Stärkung interner Kanäle für funktionsübergreifende Schulungen und Zusammenarbeit

Lücken in der IKT sind nicht nur in der IT-Abteilung zu finden. Ihr Unternehmen braucht einen ganzheitlichen Ansatz, um Schwachstellen zu erkennen und Protokolle durchzusetzen. Kommunikationskanäle, die verschiedene Abteilungen und Unternehmensbereiche umfassen, sind wichtig, um ein unternehmensweites Bewusstsein und die Compliance zu fördern.

Zusammenarbeit mit externen Stakeholdern

Die fünf Grundprinzipien von DORA betonten bereits die Bedeutung der Zusammenarbeit, und wir wiederholen sie hier. Ihr Unternehmen sollte mit den Aufsichtsbehörden kollaborieren, um die genaueste und aktuellste Auslegung von DORA zu erhalten. Ebenso sollten Sie an Ihre Anbieter dieselben Anforderungen stellen, insbesondere an diejenigen, die die kritischen Bereiche Ihres Unternehmens bedienen. Beziehen Sie diese gegebenenfalls in IKT- und DORA-Schulungen ein.

Integration von GRC in Ihre Strategie

Governance, Risiko und Compliance (GRC) kann dazu beitragen, die Belegschaft in die Lage zu versetzen, die DORA-Compliance gemeinsam zu erfüllen. Im Wesentlichen beseitigt das GRC-Framework die traditionellen Barrieren zwischen den Unternehmensbereichen, beseitigt uneinheitliche Prozesse und Redundanzen und richtet die IT an den Unternehmenszielen aus.

Das GRC-Framework kann besonders effektiv sein, was die Einhaltung von Branchen- und Regierungsvorschriften und das Risikomanagement betrifft. Für den Erfolg dieser Initiative ist eine starke Unterstützung aus allen Bereichen, insbesondere von Entscheidungsträger:innen, erforderlich. Die Suche nach der richtigen Software zur Konsolidierung der GRC-Maßnahmen kann das Unternehmen auch vor besondere Herausforderungen stellen.

Bereiten Sie Ihr Unternehmen auf die DORA-Compliance vor

DORA ist relativ neu, aber seine Bestimmungen sind größtenteils aus bestehenden IT-Compliance-Standards wie DSGVO und NIS2 konzipiert. Daher sollten Sie diese Ressourcen in Anspruch nehmen, um Ihren Risikomanagement-Plan, Ihre IT-Komponenten und Ihre Schulungsprogramme zu stärken und durchzusetzen. Während die DORA-Initiativen viele neue Herausforderungen mit sich bringen, sollten Compliance-Manager:innen und IT-Expert:innen auch die Chance sehen, ihre ITC-Strategie zu vereinheitlichen. Darüber hinaus können sie die Entscheidungsträger:innen dazu bewegen, die IT-Infrastrukturen aufzurüsten, da sie sowohl unmittelbare als auch langfristige Vorteile und Auswirkungen haben.

Nächste Schritte

Für MSPs ist die Wahl eines RMM entscheidend für ihren Geschäftserfolg. Das Hauptversprechen eines RMM besteht darin, Automatisierung, Effizienz und Skalierbarkeit zu bieten, damit Sie profitabel wachsen können. NinjaOne wurde drei Jahre in Folge als das beste RMM eingestuft, aufgrund unserer Fähigkeit, eine schnelle, benutzerfreundliche und leistungsstarke Plattform für MSPs aller Größen bereitzustellen.
Erfahren Sie mehr über NinjaOne, sehen Sie sich eine Live-Tour an oder starten Sie Ihre kostenlose Testversion der NinjaOne-Plattform.

Das könnte Sie auch interessieren

Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).