DORA Compliance
Der Digital Operational Resilience Act (DORA) ist eines der neuesten Regelwerke für den Umgang mit IT- und Cyber-Risiken in EU-Finanzdienstleistungsunternehmen. Sein Ziel ist es, die Resilienz der im EU-Finanzsektor tätigen Unternehmen zu stärken, indem bestehende Vorschriften gestrafft und verbessert werden und neue Anforderungen zur Schließung von Cybersicherheitslücken eingeführt werden. Insbesondere wird von den Unternehmen verlangt, dass sie das Risikomanagement, die Verfahren zur Meldung von Zwischenfällen, die Tests und die Einhaltung der Vorschriften in Bezug auf kritische Drittpartner verbessern.
Wie lassen sich DORA und DS-GVO vergleichen?
Zweifellos verfügen Unternehmen bereits über dokumentierte Sicherheitsrichtlinien für die DS-GVO, aber diese müssen für DORA ergänzt und aktualisiert werden. DORA erfordert eine Risikobewertung für jede größere Änderung in der Netzwerk- und Informationssystem-Infrastruktur, in den Prozessen oder Verfahren, die sich auf ihre Funktionen, unterstützenden Prozesse oder Informationswerte auswirken. In bestimmten Fällen entspricht dies den Datenschutzfolgenabschätzungen (Data Protection Impact Assessments, DPIAs) gemäß der Datenschutz-Grundverordnung und kann als erste Risikobewertung dienen, um festzustellen, ob für die Änderung eine DPIA durchgeführt werden muss.
Alternativ können Sie auch unseren Leitfaden zur DORA-Compliance herunterladen.
IBM i-Konformität mit DORA
Es ist wichtig zu wissen, dass DORA keine Richtlinie, sondern eine Verordnung ist. Das bedeutet, dass alle EU-Mitgliedstaaten bis zum 17. Januar 2025 die Einhaltung der Vorschriften nachweisen müssen, die der Europäische Rat durchsetzen wird. DORA erweitert die Richtlinie zur Netz- und Informationssicherheit (NIS2), in der die für den Schutz kritischer Infrastrukturen erforderlichen Cybersicherheitsmaßnahmen festgelegt sind.
- Informations- und Kommunikationstechnologien (IKT)
-
- Konzentration auf interne Führungs- und Kontrollprozesse für ein effektives IKT-Risikomanagement.
- Sicherstellen, dass das Managementteam über das Risikoniveau auf dem Laufenden bleibt.
- Implementierung eines international anerkannten Informationssicherheits-Managementsystems.
- Klassifizierung und Meldung von IKT-bezogenen Vorfällen
-
- Erkennen, verwalten und alarmieren Sie das zuständige Personal bei IKT-bezogenen Vorfällen.
- Klassifizierung von Vorfällen nach Faktoren wie geografische Ausdehnung und Dauer.
- Testen der digitalen operativen Resilienz
-
- Bewertung der Bereitschaft zur Bewältigung von Cybersicherheitsvorfällen; Erkennung von Schwachstellen, Mängeln und Lücken in der digitalen betrieblichen Resilienz; rasche Umsetzung von Korrekturmaßnahmen.
- Jährliche Prüfung kritischer IKT-Systeme und -Anwendungen.
- Austausch von Informationen und Erkenntnissen zwischen Finanzinstituten
-
- Dazu gehören alle Hinweise auf: Kompromittierung, Taktiken, Techniken und Verfahren (TTP), Cybersecurity-Warnungen
- Management von Anbietern
-
- Verabschiedung und Überprüfung einer IKT-Risikostrategie für Dritte.
- Führen eines Informationsregisters, in dem alle vertraglichen Vereinbarungen mit IKT-Drittanbietern aufgeführt sind.
iSecurity Suite für DORA
Kontaktieren Sie uns!
Bitte füllen Sie das Kontaktformular aus - wir melden uns umgehend bei Ihnen!