DORA und Finanzdienstleistungen und IKT-Anbieter
Der Finanzdienstleistungssektor wurde als Hauptziel für Cyberbedrohungen identifiziert, was die dringende Notwendigkeit robuster Maßnahmen zur operativen Resilienz unterstreicht. Nach Angaben des Internationalen Währungsfonds (IWF) ergab seine Umfrage, dass der Finanzsektor aufgrund einer schwachen Cyberabwehr besonders anfällig ist.
Diese Einschätzung wird von der Bank of England bestätigt, deren jüngste Umfrage zu systemischen Risiken ergab, dass 74 % der Befragten Cyberangriffe als das größte Risiko für den Finanzsektor ansehen.
Frameworks wie DORA sind von entscheidender Bedeutung, wenn es darum geht, dass Finanzinstitute und ihre angeschlossene Lieferanten, wie z. B. IKT-Anbieter, verstehen, wie sie diese sich entwickelnden Cyberrisiken effektiv bewältigen können. Aktuelle Branchenstudien verdeutlichen die erheblichen Cyberbedrohungen, denen der Finanzsektor ausgesetzt ist:
Der Data Breach Investigations Report (DBIR) von Verizon von 2022 erfasst die häufigsten Bedrohungen, darunter Datenverletzungen, DDoS-Angriffe und Ransomware. Der Bericht betont, dass gestohlene Zugangsdaten ein Schlüsselfaktor für den Erfolg vieler dieser Angriffe sind.
Eine Umfrage der Commodity Futures Trading Commission aus dem Jahr 2022 ergab, dass 74 % der 130 befragten globalen Finanzinstitute im vergangenen Jahr mindestens einen Ransomware-Angriff erlebt hatten.
Diese alarmierenden Statistiken unterstreichen die dringende Notwendigkeit für Finanzinstitute, ihre Cybersicherheitslage und operative Resilienz im Einklang mit Vorschriften wie DORA zu stärken.
Der Digital Operational Resilience Act legt großen Wert auf das Risikomanagement Dritter und erkennt die wichtige Rolle an, die IKT-Anbieter bei der Unterstützung des Finanzdienstleistungssektors spielen.
Branchenstudien verdeutlichen die wachsende Bedrohung durch Lieferkettenangriffe, die auf den Finanzsektor abzielen. Laut dem bereits erwähnten Verizon 2022 Data Breach Investigations Report war die Finanzbranche das zweitbeliebteste Ziel dieser Art von Angriffen. DORA will diese Schwachstelle beheben, indem es umfassende Anforderungen an Finanzunternehmen zur Bewältigung der von Drittanbietern ausgehenden IKT-Risiken festlegt.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat über eine zunehmende Raffinesse und ein zunehmendes Volumen von Angriffen auf die Lieferkette berichtet, wobei Bedrohungsakteure insbesondere die Technologielieferkette ins Visier nehmen, um Daten und finanzielle Assets zu stehlen. Die Bestimmungen von DORA für das Risikomanagement Dritter werden die Anforderungen unter Verwendung bestehender Rahmenwerke wie der Outsourcing-Richtlinien der European Banking Authority (EBA).
Jeder von einer ESA als „kritisch“ eingestufte IKT-Anbieter unterliegt einem strengen Aufsichtsrahmen. Diese verschärfte Kontrolle stellt sicher, dass diese systemrelevanten Technologieanbieter robuste Sicherheitsmaßnahmen implementieren und die Anforderungen von DORA einhalten.
Finanzinstitute greifen zunehmend auf Zero-Trust-Lösungen zurück, um Risiken Dritter effektiv zu verwalten. Diese Technologien sorgen für eine verbesserte Sichtbarkeit im gesamten erweiterten Lieferantennetzwerk, einschließlich IKT-Anbietern. Durch die Durchsetzung von Sicherheitsmaßnahmen wie Least-Privilege-Zugriff und proaktiver Kontrolle sensibler Bereiche und Daten trägt Zero Trust dazu bei, Datenverletzungen zu verhindern und die Auswirkungen von Ransomware und anderen Cyberbedrohungen abzuschwächen.