Digital Operational Resilience Act: Was bedeutet DORA fürs Data Management?
Mbruxelle / Bigstock
Die Regulierungsbehörden der Branche haben dies erkannt und machen Resilienz zu einem Kernstück ihrer Aktivitäten. Insbesondere in der EU mit der Digital Operational Resilience (DORA). Es gibt einige wichtige Zusammenhänge, die jedes Finanzdienstleistungsunternehmen kennen sollte. Dazu gehören auch die notwendigen Schlüsselelemente rund um das Datenmanagement und den Datenschutz – mit dem Ziel, auf eine sich verändernde regulatorische Landschaft zu reagieren.
Zentrale Erkenntnisse für Finanzdienstleistungsunternehmen aus der EU-DORA
Der Digital Operational Resilience Act (DORA) der EU ist der umfassendste Ansatz einer supranationalen Regulierungsbehörde in Bezug auf OR und Cybersicherheit. Die vollständige Umsetzung ist für 2025 geplant, daher ist es wichtig, dass Unternehmen jetzt Maßnahmen ergreifen, um vorbereitet zu sein. DORA besteht aus fünf Säulen, genauer gesagt dem Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), der Berichterstattung über Vorfälle, der Prüfung der digitalen operativen Widerstandsfähigkeit sowie dem Risikomanagement für Dritte und dem Informationsaustausch.
Wichtig sind die weitreichenden Auswirkungen auf das gesamte Ökosystem. Denn DORA ist in seiner Breite und Tiefe beispiellos. Das Gesetz gilt für Banken, Versicherungen, Wertpapierfirmen und ähnliche Unternehmen, aber auch für kritische Dritte. Damit soll sichergestellt werden, dass die Risiken, die sich aus der zunehmenden Abhängigkeit von Dienstleistungs- und Supportunternehmen wie Cloud-Anbietern, ISVs und Zahlungsabwicklern ergeben, direkt auf der Ebene der Dienstleister und nicht auf der Ebene der einzelnen Unternehmen behandelt werden.
Das erste und wichtigste Ziel von DORA ist die Harmonisierung der bestehenden Regelungen in der EU. Sie geht aber weit darüber hinaus und erweitert den Regelungsbereich und die Anforderungen drastisch. So führt DORA beispielsweise strengere Meldepflichten für Cybersicherheitsvorfälle ein und schreibt strenge Meldefristen vor.
Im Gegensatz zu früheren Ansätzen im Bereich der Cybersicherheit ist die Einhaltung von DORA jedoch nicht nur eine Frage der IT. Die Unternehmen müssen einen unternehmensweiten Ansatz verfolgen und von Anfang an die Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und die IT-Abteilung einbeziehen.”
Da DORA voraussichtlich 2025 in Kraft treten wird, müssen die Finanzdienstleister auf einen reibungslosen Übergang hinarbeiten. Es ist wichtig, dass die Unternehmen jetzt handeln, um die notwendigen Änderungen rechtzeitig umsetzen zu können.
Die wichtigsten „To-Dos“ für die OR-Bereitschaft
Wie sich die Unternehmen aber genau auf DORA vorbereiten können, darüber herrscht vielfach noch Unklarheit, denn Wissen und Handeln sind zwei sehr unterschiedliche Dinge – und das gilt ganz besonders für die weitreichenden und oft komplizierten Mandate in der EU.
Eine weitreichende Regulierung erfordert eine umfassendere Sichtweise. Ein erweiterter Geltungsbereich bedeutet, dass mehr Unternehmensbereiche in die Formulierung und Umsetzung von Maßnahmen zur Verbesserung der Resilienz einbezogen werden müssen. Es ist ratsam, einen Blick auf die zukünftigen Anforderungen zu werfen und dann eine Reihe von Instrumenten und Verfahren zu entwerfen und zu entwickeln, die alle relevanten Parteien einbeziehen. Alte Maßnahmen müssen möglicherweise entweder verworfen oder grundlegend überarbeitet werden, um die Prozesse und Leistungen an die neuen Anforderungen anzupassen.
Der Schwerpunkt sollte auf der Cybersicherheit liegen, mit besonderem Augenmerk auf der Sensibilisierung und Vorbereitung auf Ransomware-Angriffe sowie auf der rechtzeitigen und gründlichen Meldung von Vorfällen.”
Unternehmen müssen über Pläne zur Aufrechterhaltung und Wiederherstellung kritischer Geschäftsprozesse sowie über Einblicke in ihre Datenpipelines und wichtigen Arbeitsabläufe verfügen, um Anomalien zu erkennen und die Prävention und Eindämmung von Sicherheitsvorfällen zu verbessern.
Daten sind bekanntlich das Herzstück eines jeden Unternehmens. Eine hilfreiche Methode zur Bewältigung einer neuen Herausforderung besteht darin, sie in ihre Bestandteile zu zerlegen, um nicht von ihrer Komplexität überwältigt zu werden. Daten sind das ultimative Ziel der meisten Angreifer und das grundlegende Element für die Gewährleistung der Widerstandsfähigkeit, insbesondere in Bezug auf das IKT-Risikomanagement. Die Verwaltung, die Zugänglichkeit und der Schutz von Daten müssen im Mittelpunkt jedes Plans stehen.
Ein großer Sprung nach vorn für die Regulierung
Der Digital Operational Resilience Act (DORA) der EU stellt einen großen Schritt in der Regulierung des Finanzdienstleistungssektors dar. Die Fristen für die Umsetzung rücken näher, so dass Vorbereitungen und Maßnahmen erforderlich sind. Die Stärkung der OR im Finanzdienstleistungssektor ist ein notwendiges und lobenswertes Ziel, aber es wird nicht ohne einen erheblichen Aufwand an Zeit und Ressourcen zu erreichen sein.
Mit Hilfe von Datenmanagement-Experten können Finanzdienstleister die Komplexität von DORA bewältigen und auf eine sicherere und widerstandsfähigere Zukunft hinarbeiten. Moderne Lösungen unterstützen die betriebliche Ausfallsicherheit von Anfang an. So sorgt beispielsweise eine All-Flash-Konfiguration für maximale Geschwindigkeit, Einfachheit und Flexibilität. Integrierte Datenschutzfunktionen sowie ein Ransomware Recovery SLA und eine Zero Data Loss Garantie sorgen für eine optimierte Wiederherstellung im Störungsfall und garantieren maximale Datensicherheit.
Das englischsprachige Whitepaper kann gegen Angabe der Kontaktdaten kostenlos heruntergeladen werden.tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/199464
Schreiben Sie einen Kommentar