Europäischer Rat verabschiedet Gesetz zur digitalen Handlungsfähigkeit (1 / 6)

Einführung

Hintergrund

Zeitpläne

Umfang

Anforderungen & Elemente

Schlussfolgerung

Stärkung der Resilienz im Finanzsektor der EU

Der Finanzsektor spielt eine entscheidende Rolle für die Stabilität und Funktionsfähigkeit der Wirtschaft. Jedoch führt die zunehmende Abhängigkeit von digitalen Technologien dazu, dass der Sektor neuen Risiken und Herausforderungen gegenübersteht. Um diese Herausforderungen anzugehen, hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt. In diesem Artikel werden wir untersuchen, was DORA ist, seinen Hintergrund, Zeitpläne, Geltungsbereich und was er umfasst.

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA), auch bekannt als Verordnung (EU) 2022/2554, ist ein regulatorischer Rahmen, der darauf abzielt, die operationelle Resilienz von Finanzunternehmen in der Europäischen Union zu stärken. Vor der Einführung von DORA verwalteten Finanzinstitutionen operationelle Risiken hauptsächlich durch Kapitalallokation, aber sie gingen nicht auf alle Komponenten der operationellen Resilienz ein. DORA schließt diese Lücke, indem Regeln für den Schutz, die Erkennung, Eindämmung, Wiederherstellung und Reparaturfähigkeiten gegenüber ICT-bezogenen Vorfällen festgelegt werden.

Hintergrund

Die Notwendigkeit eines umfassenden Rahmens, der die digitale operationelle Resilienz im Finanzsektor adressiert, wurde aufgrund der zunehmenden Risiken von Cyberangriffen deutlich. Als Reaktion auf diese Risiken führte die EU den Digital Operational Resilience Act ein, um die IT-Sicherheit von Finanzunternehmen, einschließlich Banken, Versicherungsgesellschaften und Investmentfirmen, zu stärken.

Zeitpläne

Der Digital Operational Resilience Act wurde am 28. November 2022 formell vom Europäischen Rat angenommen. Er wurde am 27. Dezember 2022 als Verordnung (EU) 2022/2554 im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt in Kraft und wird ab dem 17. Januar 2025 angewendet.

Geltungsbereich

DORA legt einheitliche Anforderungen hinsichtlich der Sicherheit von Netz- und Informationssystemen fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen. Diese Anforderungen gelten für verschiedene Aspekte, einschließlich:

• Management von Informations- und Kommunikationstechnologie (ICT)-Risiken
• Meldung von großen ICT-bezogenen Vorfällen und bedeutenden Cyberbedrohungen
• Meldung von großen betrieblichen oder sicherheitsbezogenen Zahlungsvorfällen
• Tests zur digitalen operationellen Resilienz
• Austausch von Informationen und Nachrichtendiensten in Bezug auf Cyberbedrohungen und Schwachstellen
• Maßnahmen für das solide Management von ICT-Risiken Dritter
• Vertragsvereinbarungen zwischen ICT-Drittanbieterdiensten und Finanzunternehmen
• Einrichtung und Durchführung des Aufsichtsrahmens für kritische ICT-Drittanbieterdienste
• Zusammenarbeit zwischen zuständigen Behörden, Aufsicht und Durchsetzung

Die Vertragsvereinbarungen zwischen Finanzunternehmen und ICT-Drittanbietern sind ebenfalls unter DORA abgedeckt. Die Verordnung legt Regeln für diese Vereinbarungen fest und zielt darauf ab, sicherzustellen, dass Finanzunternehmen eine effektive Aufsicht und Kontrolle über die von Dritten bereitgestellten ICT-Dienste haben.

Anforderungen und Elemente von DORA

ICT-Risikomanagement: Finanzunternehmen müssen robuste ICT-Risikomanagementfähigkeiten etablieren, um potenzielle Risiken zu identifizieren, zu bewerten und zu mindern. Dies umfasst die Implementierung angemessener Sicherheitsmaßnahmen, die Durchführung regelmäßiger Risikobewertungen und die Entwicklung von Vorfallreaktionsplänen.

Vorfallsmeldung: DORA betont die Bedeutung der Vorfallsmeldung, um die operationelle Resilienz zu verbessern. Finanzunternehmen sind verpflichtet, große ICT-bezogene Vorfälle, bedeutende Cyberbedrohungen und große betriebliche oder sicherheitsbezogene Zahlungsvorfälle den zuständigen Behörden zu melden. Dies stellt sicher, dass relevante Stakeholder über potenzielle Risiken informiert sind und angemessene Maßnahmen zur Minderung ergreifen können.

Digitales Resilienztesting: Um die Wirksamkeit ihrer Maßnahmen zur operationellen Resilienz zu gewährleisten, müssen Finanzunternehmen digitale Resilienztests durchführen. Dies beinhaltet die Simulation verschiedener Szenarien und die Bewertung der Fähigkeit, ICT-bezogenen Störungen standzuhalten und sich von diesen zu erholen. Testing hilft, Schwachstellen und Defizite zu identifizieren, sodass die Unternehmen ihre Systeme und Prozesse stärken können.

Management von Risiken Dritter: Finanzunternehmen verlassen sich oft auf Drittanbieter für verschiedene ICT-bezogene Dienstleistungen. DORA betont die Notwendigkeit eines soliden Managements von ICT-Risiken Dritter. Unternehmen müssen Maßnahmen etablieren, um die mit diesen Dienstleistern verbundenen Risiken zu bewerten und zu überwachen, um sicherzustellen, dass sie den erforderlichen Sicherheits- und Resilienzstandards entsprechen.

Information und Intelligence Sharing: Das Teilen von Informationen spielt eine entscheidende Rolle bei der Bekämpfung von Cyber-Bedrohungen und der Verbesserung der allgemeinen Resilienz. DORA fördert das Teilen von Informationen und Intelligence im Zusammenhang mit Cyber-Bedrohungen und Schwachstellen. Finanzinstitutionen werden ermutigt, zusammenzuarbeiten und relevante Informationen auszutauschen, um aufkommenden Risiken einen Schritt voraus zu sein.

Schlussfolgerung

Das Gesetz über die digitale operationelle Resilienz ist eine entscheidende Vorschrift, die die operationelle Resilienz des Finanzsektors in der EU stärkt. Indem es spezifische Anforderungen und Elemente festlegt, stellt es sicher, dass Finanzinstitutionen robuste Systeme und Prozesse haben, um die Risiken im Zusammenhang mit ICT-Vorfällen zu mindern. DORA betont die Bedeutung des Managements von ICT-Risiken, der Berichterstattung von Vorfällen, der Prüfung der digitalen Resilienz, des Managements von Risiken durch Dritte und des Teilens von Informationen. Diese Maßnahmen erhöhen die allgemeine Resilienz der Finanzinstitutionen und tragen zur Stabilität des Finanzsystems bei.

Während sich Finanzinstitutionen auf die Implementierung von DORA vorbereiten, ist es wichtig für sie, die Anforderungen zu verstehen und die notwendigen Schritte zu unternehmen, um die Vorschriften einzuhalten. Indem sie dies tun, können sie ihre operationelle Resilienz verbessern und sich vor den potenziellen Risiken im Zusammenhang mit ICT-Vorfällen schützen. Denken Sie daran, das Gesetz über die digitale operationelle Resilienz (DORA) ist ein bedeutender Schritt zur Stärkung der digitalen Resilienz des Finanzsektors, indem es dessen Fähigkeit sicherstellt, ICT-bezogenen Störungen standzuhalten und sich von ihnen zu erholen. Indem sie den Anforderungen folgen und Best Practices anwenden, können Finanzinstitutionen digitale Risiken proaktiv managen und ihre gesamte operationelle Resilienz verbessern.

Besuchen sie für weitere Informationen bitte folgende Artikel:

• EUROPÄISCHER RAT VERABSCHIEDET GESETZ ZUR DIGITALEN HANDLUNGSFÄHIGKEIT (1/6)
• BEHERRSCHUNG DES ICT-DRITTANBIETERRISIKOS (2/6)
• VERSTÄRKUNG DER FRONTLINIE (3/6)
• ICT-RISIKO: IDENTIFIZIEREN, BEWERTEN, PRIORISIEREN SIE IHRE CYBERSICHERHEIT (4/6)
• AUFBAU EINER STARKEN VERTEIDIGUNG (5/6)
• BERICHTERSTATTUNG FÜR DIE RESILIENZ (6/6)