Warum ist der Digital Operational Resilience Act (DORA) wichtig?

von: Joseph Philipose, Leiter des Bereichs Verwaltete Dienste, iGCB, Intellect Design Arena Ltd. 

Der Digital Operational Resilience Act (DORA) für den Finanzsektor ist eine regulatorische Anforderung, die Mindeststandards für Finanzunternehmen festlegt, um die Verfügbarkeit, Integrität und Widerstandsfähigkeit ihrer kritischen Dienste und Systeme zu gewährleisten. Dieses Gesetz würde einen Regulierungsrahmen für Anbieter digitaler Dienstleistungen schaffen, um zu gewährleisten, dass ihre Systeme und Dienstleistungen sicher und zuverlässig sind und auch im Krisenfall funktionieren können. 

Zweck des DORA ist der Schutz der nationalen Sicherheit, der öffentlichen Sicherheit und der Wirtschaft durch die Verbesserung der Widerstandsfähigkeit kritischer digitaler Infrastrukturen gegen Cyberbedrohungen. Mit dem Gesetz würde eine neue Regulierungsbehörde geschaffen, die befugt wäre, die Einhaltung der Vorschriften durchzusetzen und bei Nichteinhaltung Strafen zu verhängen. Außerdem würden die Dienstleister verpflichtet, Cybersicherheitsstandards umzusetzen, robuste Pläne für das Management von Zwischenfällen zu erstellen, Risiken in der Lieferkette zu bewerten und zu verwalten sowie Informationen über Cyberbedrohungen und Zwischenfälle auszutauschen.

Dabei handelt es sich um eine kürzlich eingeführte Gesetzesinitiative zur Cybersicherheit in der Europäischen Union, die speziell auf den Finanzsektor abzielt. Soweit ich die Anforderungen verstanden habe, soll sie die aktuellen horizontalen Cybersicherheitsvorschriften wie die Richtlinie über Netz- und Informationssicherheit (NISD) und die weithin anerkannte Allgemeine Datenschutzverordnung (GDPR) ergänzen.

DORA vs. GDPR 

Die Allgemeine Datenschutzverordnung (GDPR) ist eine Reihe von Vorschriften, die den Schutz und die Vertraulichkeit personenbezogener Daten für Einzelpersonen in der EU und im Vereinigten Königreich regeln. Diese Vorschriften gelten für die Verarbeitung personenbezogener Daten in allen Sektoren.

Obwohl sowohl DORA als auch GDPR darauf abzielen, den Schutz und die Sicherheit von Daten zu gewährleisten, dienen sie unterschiedlichen Zwecken und haben unterschiedliche Geltungsbereiche. DORA konzentriert sich auf die Gewährleistung der Widerstandsfähigkeit von Finanzdienstleistungen, während GDPR auf den Schutz personenbezogener Daten und der Rechte auf Privatsphäre abzielt.

Zielsetzung:

Die Europäische Union reagiert aktiv auf das zunehmende Risiko von Cyberangriffen, indem sie Maßnahmen zur Stärkung der IT-Sicherheit von Finanzinstituten, einschließlich Banken, Versicherungen und Wertpapierfirmen, umsetzt. Eine dieser Maßnahmen ist der Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa seine Widerstandsfähigkeit im Falle einer erheblichen Betriebsstörung aufrechterhalten kann.

DORA umfasst kritische Drittanbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), einschließlich Cloud-Plattformen, Datenanalyse und Audit-Dienstleistungen, die von Finanzunternehmen in Anspruch genommen werden. Diese Dienstleister unterliegen ebenfalls den in dieser neuen Gesetzgebung dargelegten Vorschriften. Es wird ein Regelungsrahmen für die digitale betriebliche Widerstandsfähigkeit geschaffen, der von allen Unternehmen verlangt, dass sie in der Lage sind, allen Formen von IKT-bezogenen Störungen und Bedrohungen standzuhalten, darauf zu reagieren und sich davon zu erholen.

Kernsäulen:

Der Digital Operational Resilience Act (DORA) bietet einen umfassenden Rahmen für die digitale Resilienz, der mehrere Bereiche abdeckt. 

1. IKT-Risikomanagement-Rahmen: Cybersicherheitsstandards, die von den Dienstleistern verlangen, geeignete Cybersicherheitsmaßnahmen zu ergreifen, um ihre Systeme und Dienste vor Cyberbedrohungen zu schützen. Einrichtung und Pflege robuster IKT-Systeme und -Instrumente, die die Auswirkungen von IKT-Risiken abschwächen.

2. IKT-Störungsmanagement, Klassifizierung und Berichterstattung: Die Diensteanbieter müssten über solide Pläne für das Störungsmanagement verfügen, um auf Cybervorfälle reagieren und sich von ihnen erholen zu können.

3. Digital Operational Resilience Testing: Etwaige Mängel oder Lücken müssen identifiziert und je nach Schweregrad umgehend beseitigt oder durch geeignete Gegenmaßnahmen behoben werden.

4. Risikomanagement bei Drittanbietern: Dienstleister müssten die von ihren Lieferanten, einschließlich Drittanbietern, ausgehenden Risiken bewerten und steuern.

5. Informationsaustausch: Die Finanzunternehmen sind aufgefordert, Informationen über Cyber-Bedrohungen und -Vorfälle auszutauschen, um die Sicherheit und Widerstandsfähigkeit der digitalen Infrastruktur insgesamt zu verbessern.

Mit diesen Pfeilern soll sichergestellt werden, dass kritische digitale Infrastrukturen sicher und widerstandsfähig sind und im Krisenfall weiterhin funktionieren.

Zeitleiste:

Am 27. Dezember 2022 wurde im Amtsblatt der Europäischen Union der endgültige Text des Digital Operational Resilience Act (DORA) als Verordnung (EU) 2022/2554 veröffentlicht.

Quelle: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554

Dieser Zeitplan wurde aus einem von Deloitte veröffentlichten Artikel übernommen. 

Diese Zeitleiste wurde aus einem von White & Case LLP veröffentlichten Artikel übernommen.

© 2022 White & Case LLP