THINK Blog DACH

Der Digital Operational Resilience Act (DORA) hat das Ziel, die Sicherheit und Widerstandsfähigkeit von Finanzorganisationen, wie Banken und Versicherungen, in der digitalen Welt zu stärken. Dadurch entstehen neue Rahmenbedingungen, die zeitnahes Handeln in verschiedenen Bereichen erfordern. Bis zum 17.01.2025 müssen Maßnahmen zur Stärkung der Resilienz gegen Cyber-Attacken umgesetzt werden.

Die DORA-Anforderungen

Zu den Anforderungen gehört die Implementierung eines umfassenden Risikomanagement-Systems, das digitale Risiken identifiziert, bewertet, überwacht und steuert. Zudem müssen Prozesse für die Überwachung und Klassifizierung von IKT-bezogenen Vorfällen sowie Meldeverfahren für Sicherheitslücken etabliert werden. Kritische IKT-Komponenten sind regelmäßig zu überprüfen und Penetrationstests durchzuführen. Beziehungen zu IKT-Drittanbietern müssen kontinuierlich überwacht werden.

Die Umsetzung der DORA-Anforderungen führt zu hohem Anpassungsbedarf in Prozessen und Technologien im Bereich Cyber Security. Organisationen des Finanzsektors müssen eine Reihe von Herausforderungen bewältigen und eine passende Umsetzungsstrategie entwickeln.

So gelingt die DORA-Umsetzung:

1. Stakeholder-Einbindung und Umsetzungsstrategie

Die Einbindung aller relevanten Stakeholder ist unerlässlich für eine effektive Zusammenarbeit und Kommunikation. Es gilt, ein Bewusstsein für die Bedeutung der DORA-Anforderungen auf allen Ebenen der Organisation zu schaffen und die Umsetzung stetig zu überwachen. Die Auswahl und Implementierung geeigneter Lösungen stellen einen grundlegenden Schritt im Rahmen der technischen Umsetzung dar.

2. Risikobasierter Ansatz

Für eine erfolgreiche Umsetzung der DORA-Anforderungen müssen zunächst der aktuelle Reifegrad ermittelt und Transparenz über bestehende Lücken geschaffen werden. Anschließend sollten identifizierte Maßnahmen priorisiert und eine Roadmap konzipiert werden. Ein risikobasierter Ansatz kann dabei ein effektiver Startpunkt sein.

3. Optimierung von Prozessen und Technologien

Die Umsetzung der DORA-Anforderungen sollte als Möglichkeit zur Optimierung von Prozessen und Technologien gesehen werden. Prozesse sollten etabliert werden, um die Überprüfung der Umsetzung sicherzustellen. Dies beinhaltet die Dokumentation der Maßnahmen und die Vorbereitung auf interne und externe Audits.

4. Kontrollen und Compliance

Weitere automatisierte Kontrollen sollten eingerichtet werden, um die Qualität und Einhaltung der DORA-Anforderungen sicherzustellen. Spezifische Kontrollen ermöglichen es, potenzielle Schwachstellen frühzeitig zu identifizieren und darauf zu reagieren. Langfristige Effektivität der Maßnahmen wird durch die Einrichtung von Kontrollen gefördert.

Fazit

Die erfolgreiche Umsetzung von DORA im Finanzsektor erfordert sorgfältige Planung, Reifegrad-Ermittlung, Transparenz über Gaps und eine risikobasierte Priorisierung der Maßnahmen. Dabei bietet sie Chancen zur Prozess- und Technologieoptimierung. Durch bewusste Strategieentwicklung, geeignete Software-Lösungen und Sicherstellung der langfristigen Wirksamkeit, können Organisationen im Finanzsektor ihre Cyber-Resilienz erhöhen und beständige DORA-Compliance sicherstellen.

Sie brauchen Hilfe dabei? Unser Aktionsleitfaden zeigt die konkreten Schritte auf.