Was sind die 5 Anforderungen von DORA?

DORAs umfassender Rahmen zur Stärkung der Cybersicherheit und der operativen Resilienz des EU-Finanzsektors gliedert sich in fünf Kernanforderungen.

Was sind die 5 anforderungen von DORA?

DORAs umfassender Rahmen zur Stärkung der Cybersicherheit und der operativen Resilienz des EU-Finanzsektors gliedert sich in fünf Kernanforderungen:

1. IKT-Risikomanagement
DORA verlangt von Finanzunternehmen, dass sie über ein robustes IKT-Risikomanagement-Framework mit Strategien, Richtlinien und Verfahren zum Schutz von Informationen, Software und physischen Assets verfügen. Darüber hinaus müssen Unternehmen die Auswirkung von Vorfällen auf Geschäftsabläufe analysieren, Reaktions- und Wiederherstellungspläne erstellen und diese regelmäßig testen. Sie müssen außerdem Schulungen zur Steigerung des Sicherheitsbewusstseins implementieren.2. Management, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen
Unternehmen müssen in der Lage sein, IKT-bezogene Vorfälle und Cyberbedrohungen schnell zu klassifizieren, zu beheben und den Aufsichtsbehörden und betroffenen Parteien zu melden. Vorfälle müssen innerhalb von vier Stunden nach Bekanntwerden gemeldet werden; ein ausführlicherer Bericht muss innerhalb einer Woche erfolgen. Dies erfordert, dass Unternehmen über solide Reaktionspläne und -prozesse zur Ursachenanalyse verfügen.3. Digitale Tests zur Betriebsstabilität
DORA verlangt von Unternehmen, ihre IKT-Systeme und -Infrastrukturen regelmäßig zu testen, um Schwachstellen und die Wirksamkeit von Schutzmaßnahmen zu bewerten. Dazu gehören jährliche Basistests und alle drei Jahre umfassendere bedrohungsorientierte Penetrationstests, um Lücken und Schwächen in der Resilienz des Unternehmens zu identifizieren.4. IKT-Risikomanagement für Drittparteien
DORA verpflichtet Unternehmen, IKT-Risiken, die von externen Dienstleistern ausgehen, aktiv zu managen, einschließlich Due-Diligence-Prüfungen und Audits. Verträge mit Drittanbietern müssen Bestimmungen zu Sicherheit, Vorfallsberichterstattung und Ausstiegsstrategien enthalten. Unternehmen sind auch dafür verantwortlich, dass Drittanbieter die Anforderungen von DORA erfüllen.5. Informationsaustausch
Um das kollektive Bewusstsein zu stärken und Best Practices für die Prävention und Reaktion auf Cyberbedrohungen zu entwickeln, werden Unternehmen ermutigt, sich an einem freiwilligen Informationsaustausch über Cyberbedrohungen mit anderen Finanzinstituten zu beteiligen. Die Weitergabe von Informationen muss den Datenschutzbestimmungen entsprechen und die Offenlegung sensibler Kundeninformationen vermeiden.Durch die Umsetzung dieser fünf Anforderungen können Finanzunternehmen in der EU ihre allgemeine digitale Betriebsstabilität stärken und schwerwiegenden IKT-bedingten Störungen besser standhalten bzw. sich davon erholen.