Wird die EU-Bankenbranche auf DORA vorbereitet sein?
Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).
DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Rahmen. Aber werden Finanzorganisationen bereit sein?
Viele rennen gegen die Uhr. Enge Zeitpläne und sich entwickelnde Standards erschweren die Vorbereitung.
Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: „Banken hätten früher von klareren technischen Standards profitiert. Die Standards wurden in zwei Wellen eingeführt: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate bis zum Ablauf der Frist am 17. Januar.“
DORA auspacken
Was bedeutet DORA fristgerecht benötigen? Es geht nicht nur um den Schutz von Systemen. Der Schwerpunkt liegt darauf, wichtige Dienste am Laufen zu halten — auch bei Störungen.
Um die Standards von DORA zu erfüllen, müssen Finanzinstitute:
- Testen Sie regelmäßig IKT-Systeme
- Managen Sie Risiken mit Drittanbietern
- Stellen Sie sicher, dass wichtige Dienste betriebsbereit bleiben, egal was passiert
„DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird. „— Raghu Nandakumara
Die 6 wichtigsten Herausforderungen der DORA-Compliance
1. Enge Zeitpläne, sich entwickelnde Standards
Die Regeln, die die Anforderungen von DORA erläutern, heißen technische Regulierungsstandards (RTS), wurden spät veröffentlicht. Die erste Version kam im Januar 2024 heraus, die zweite folgte im Juli. In weniger als einem Jahr Vorbereitungszeit ist die Erfüllung der Anforderungen zu einem Wettlauf mit der Zeit geworden.
2. Verwaltung von Drittanbietern
Drittanbieter — wie Hyperscaler und Managed Service Provider (MSPs) — sind für Finanzdienstleistungen von entscheidender Bedeutung. Aber hier ist die Herausforderung: Wer entscheidet, ob ein Anbieter in den Zuständigkeitsbereich von DORA fällt? „Hat der Finanzinstitut oder entscheidet die Aufsichtsbehörde das?“ fragt Raghu.
Für kleinere MSPs sind die Hürden noch höher. Die Einhaltung der Vorschriften hängt von ihrer Rolle in Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:
- Klarere Richtlinien
- Engere Zusammenarbeit mit Anbietern
3. Abstimmung von Unternehmensführung und Führung
DORA stellt die betriebliche Widerstandsfähigkeit an die Spitze der Führungsagenda. Bretter muss:
- Legen Sie klare IKT-Risikogrenzen fest
- Überwachen Sie größere Vorfälle
- Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind
Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.
4. Testen und stetige Verbesserung
Testen spielt eine Schlüsselrolle in DORA-Konformität. Organisationen müssen:
- Führen Sie jährliche Resilienztests an IKT-Systemen durch
- Führen Sie alle drei Jahre erweiterte Penetrationstests durch
„Tests helfen dabei, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um Fortschritte bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. — Raghu Nandakumara
5. Aufbau einer belastbaren Kultur
Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Führung muss:
- Meister betriebliche Belastbarkeit
- Förderung der abteilungsübergreifenden Teamarbeit
Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.
6. Qualifikationslücke: Wachsender Druck
Das globale Personallücke im Bereich Cybersicherheit — geschätzt auf 4 Millionen — verschärft die Herausforderungen von DORA. Ein starkes Compliance-Programm kann diesen Druck verringern. Es vereinfacht die Arbeit und bietet gleichzeitig umfassendere betriebliche Vorteile.
„Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheitsoperationen, Richtlinien und Auditteams.“ — Raghu Nandakumara
Wie passen DORA und Zero Trust zusammen?
Erwähnt DORA Null Vertrauen? Nicht direkt. Aber die wichtigsten Ideen — wie der Zugriff mit den geringsten Rechten und die kontinuierliche Überwachung — stimmen eng überein.
Die Zero Trust-Philosophie „Niemals vertrauen, immer verifizieren“ reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor sie darauf zugreifen.
Wie hilft es bei den größten Cyberrisiken von heute?
- Stoppt Ransomware: Reduzieren Sie die Auswirkungen von Ransomware-Angriffe indem begrenzt wird, wie weit es sich im Netzwerk ausbreiten kann.
- Schützt die Cloud: Dynamische Richtlinien schützen die hybride Multi-Cloud.
- Verwaltet Risiken durch Dritte: Beschränken Lieferant Zugang zu kritischen Systemen. Kontrollieren Sie, wie viel Zugriff Anbieter auf kritische Systeme haben.
Countdown bis zum 17. Januar
Die Uhr tickt. Tests, Überwachung durch Dritte und Resilienzplanung sind nicht optional. Dies erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.
Raghu erklärte: „Die EU will Fortschritt, keine Perfektion. Sie wollen sehen, wie Unternehmen die Anforderungen interpretieren und was sie erreicht haben.“
Möchten Sie mehr über DORA Compliance erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für die DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.