Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Der Digital Operational Resilience Act (DORA) der Europäischen Union soll die Finanzdienstleistungsbranche im Januar 2025 umgestalten. Es setzt einen neuen Standard für Cybersicherheit und betriebliche Widerstandsfähigkeit.
Die Umstellung auf DORA ist zwar mit Herausforderungen verbunden, bietet Unternehmen aber auch die Möglichkeit, ihre Abläufe zu stärken und sich auf die heutige komplexe Bedrohungslandschaft vorzubereiten.
Auf Das Segment: Ein Zero-Trust-Leadership-Podcast, habe ich mit zwei führenden Experten im Bereich Security Compliance gesprochen — Tristan Morgan, Geschäftsführer für Cybersicherheit bei BT, und Mark Hendry, Partner für digitale Services bei Evelyn Partners —, die ihre Erkenntnisse zur Handhabung der DORA-Compliance geteilt haben.
Über Tristan Morgan und Mark Hendry
Tristan führt Cybersicherheit bei BT das globalen multinationalen Unternehmen weltweit Sicherheits-, Cloud- und Netzwerkdienste bietet. Seine Erfahrung im Bereich Cybersicherheit für die britische Regierung und andere Länder hat ihm einen soliden Hintergrund in der Sicherung komplexer digitaler Ökosysteme und der Sicherstellung der Einhaltung von Vorschriften verschafft.
Bei Evelyn Partners führt Mark Kunden durch komplexe Einhaltung der Cybersicherheit Herausforderungen. Er verfügt über umfangreiche Erfahrung in digitalen Regulierungsbereichen, darunter DSGVOund ein Schwerpunkt auf regulatorischen Veränderungsprogrammen. Er bietet Kunden wertvolle Einblicke in die Bewältigung der digitalen Transformation und die Anpassung an neue Vorschriften wie DORA.
DORA: Ein ganzheitlicher Ansatz für Cyber-Resilienz im Bankwesen
DORA ist eine große Veränderung in der Art und Weise, wie Bank- und Finanzindustrie kümmert sich um Resilienz, sowohl in Bezug auf den Betrieb als auch in Bezug auf die Cybersicherheit. Anstatt für jedes Land separate Regeln aufzustellen, behandelt DORA Cyber-Resilienz als koordinierte Maßnahme in der gesamten EU.
„DORA bringt das Thema Resilienz auf eine höhere Ebene“, erklärte Tristan. „Es erkennt die Auswirkungen an, die nicht nur auf der Ebene eines einzelnen Landes, sondern auch auf einer breiteren geografischen Ebene auftreten können.“
Mark merkte an, dass er dies für die „größte Resilienzintervention im Finanzdienstleistungssektor seit dem Crash 2008“ hält. Nach 2008 ging es vor allem um finanzielle Widerstandsfähigkeit und darum, Bargeld im System zu halten, erklärte Mark. Heute ist die Weltwirtschaft zunehmend vernetzt, und die Gesellschaft ist stark von der digitalen Infrastruktur der Bankenbranche abhängig.
Mit der zunehmenden Vernetzung der Finanzinstitute in der EU nimmt das Risiko durch Cyberbedrohungen und die dadurch verursachten Störungen schnell zu. DORA begegnet diesem Problem, indem es eine einheitliche Strategie fördert und Unternehmen dabei unterstützt, ihre kritischen Abläufe zu schützen, egal wo sie sich befinden.
„Wenn Sie Cybersicherheit und Resilienz unterschiedlich interpretieren, haben Sie keine Harmonisierung — Sie bewegen sich nicht alle in dieselbe Richtung“, sagte Tristan. „Sicherheit ist in hohem Maße ein Teamsport, und man muss Informationen zwischen Unternehmen austauschen, um gemeinsam besser zu werden.“
Mit DORA werden Finanzorganisationen in der EU einem Regelwerk folgen. Dies trägt dazu bei, die allgemeine Abwehr der Branche vor Sicherheitsverletzungen und Ransomware-Angriffen zu stärken. Dies erleichtert es Unternehmen auch, die Vorschriften einzuhalten, wenn sich die Branche verändert und wächst.
Bei Cyber-Resilienz geht es ums Überleben, nicht nur um Sicherheit
Resilienz ist das Hauptaugenmerk von DORA. Es geht nicht nur darum, Verstöße zu verhindern, sondern auch sicherzustellen, dass Unternehmen im Falle eines Verstoßes weiterarbeiten können.
Kürzlich Cyberangriffe der Finanzbranche haben gezeigt, wie disruptiv sie sein können und wie sie die gesamte Branche und sogar die Welt beeinflussen können.
„Resilienz ist alles“, sagte Tristan. „Wenn es zu einer Sicherheitsverletzung kommt, geht es nicht darum, ob das Geschäft eingestellt wird. Es geht darum, den Betrieb trotz des Verstoßes aufrechtzuerhalten.“
Angesichts der zunehmenden Cyberbedrohungen ist es wichtig, dass Unternehmen, insbesondere im Bankwesen, weiterhin reibungslos funktionieren. Eine Sicherheitslücke im Bankensektor kann sich auf das Leben und die Arbeitsplätze der Menschen auswirken. Bei Cyber-Resilienz geht es ums Überleben, nicht nur darum, sicher zu sein.
Einsatz einer Zero-Trust-Strategie zur Erreichung der DORA-Konformität
DORA erwähnt es nicht ausdrücklich Null Vertrauen. Die Grundprinzipien von Zero Trust stimmen jedoch eng mit den Zielen der DORA überein.
Um Marks Argument zu sagen: „Wenn Sie auf DORA nach Begriffen wie ‚Segmentierung' oder ‚sofortiges Abtrennen von Elementen des Netzwerks zur Eindämmung von Bedrohung' suchen, ist Zero-Trust absolut drin.“
Tristan erklärte die vier entscheidenden Bereiche, in denen eine Zero-Trust-Strategie Ihnen helfen kann, die DORA-Anforderungen zu erfüllen:
- Identifizieren kritische Vermögenswerte und Bedrohungen: Verschaffen Sie sich einen Überblick über Ihr gesamtes Netzwerk, sodass Sie verstehen, welche Bereiche am anfälligsten sind und zuerst behoben werden müssen.
- Bereite dich proaktiv auf Angriffe vor: Entwickeln Sie Sicherheitskontrollen, die Angriffe eindämmen bevor sie kritische Ressourcen und Daten erreichen können.
- Das geringste Privileg: Ein Kernprinzip von Zero-Trust, Least Privilege stellt sicher, dass Benutzer, Apps und Dienste nur den Mindestzugriff erhalten, den sie zur Erfüllung ihrer Rollen benötigen. Dadurch werden Angreifer bei ihrem Versuch, sich durch das Netzwerk zu bewegen, gebremst.
- Schnell reagieren und erholen von Vorfällen: Wenn ein Verstoß passiert, ist es wichtig, dass Sie ihn so schnell wie möglich erkennen, eindämmen und darauf reagieren können. Zero-Trust-Lösungen wie Illumio lassen sich in Erkennungsplattformen integrieren, um diesen Prozess zu automatisieren.
Die Regeln von DORA entsprechen den Best Practices von Zero-Trust und zeigen ihren zukunftsorientierten Ansatz. Durch die Aufnahme dieser Prinzipien in seine Compliance-Regeln hilft DORA Banken, sich vor Bedrohungen zu schützen und auch während eines Angriffs betriebsbereit zu bleiben.
Sind Sie mit der DORA-Compliance im Rückstand? Hier erfahren Sie, was zu tun ist
Erreichen DORA-Konformität wird von Finanzorganisationen verlangen, dass sie den Prozess sorgfältig und strategisch angehen. Sowohl Tristan als auch Mark betonten, dass eine proaktive Planung unerlässlich ist.
Der Januar wird da sein, bevor du dich versiehst. Wenn Sie befürchten, dass Ihr Unternehmen bereits im Rückstand ist, markieren Sie Empfehlungen, über die Sie nachdenken:
- Was wird am meisten weh tun, wenn es einen Angriff gibt?
- Was Sie jetzt priorisieren müssen
- Was kann in die Planung des nächsten Jahres aufgenommen werden
Unternehmen sollten sich zunächst auf Bereiche mit hohem Einfluss konzentrieren. Landkarte erstellen Sie einen langfristigen Compliance-Plan, der Ihnen nachhaltigen Schutz bietet, nicht nur kurzfristige Lösungen.
Höre zu, abonniere und rezensiere Das Segment: Ein Zero-Trust-Leadership-Podcast
Willst du mehr erfahren? Höre dir die ganze Folge an unsere Website, Apple-Podcasts, Spotify, oder wo auch immer du deine Podcasts bekommst. Sie können auch das vollständige Protokoll der Episode lesen.