/
Cyber-Resilienz

Wird die EU-Bankenbranche auf DORA vorbereitet sein?

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Rahmen. Aber werden Finanzorganisationen bereit sein?

Viele rennen gegen die Uhr. Enge Zeitpläne und sich entwickelnde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: „Banken hätten früher von klareren technischen Standards profitiert. Die Standards wurden in zwei Wellen eingeführt: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate bis zum Ablauf der Frist am 17. Januar.“

DORA auspacken

Was bedeutet DORA fristgerecht benötigen? Es geht nicht nur um den Schutz von Systemen. Der Schwerpunkt liegt darauf, wichtige Dienste am Laufen zu halten — auch bei Störungen.

Um die Standards von DORA zu erfüllen, müssen Finanzinstitute:

  • Testen Sie regelmäßig IKT-Systeme
  • Managen Sie Risiken mit Drittanbietern
  • Stellen Sie sicher, dass wichtige Dienste betriebsbereit bleiben, egal was passiert
„DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird. „— Raghu Nandakumara

Die 6 wichtigsten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

Die Regeln, die die Anforderungen von DORA erläutern, heißen technische Regulierungsstandards (RTS), wurden spät veröffentlicht. Die erste Version kam im Januar 2024 heraus, die zweite folgte im Juli. In weniger als einem Jahr Vorbereitungszeit ist die Erfüllung der Anforderungen zu einem Wettlauf mit der Zeit geworden.

2. Verwaltung von Drittanbietern

Drittanbieter — wie Hyperscaler und Managed Service Provider (MSPs) — sind für Finanzdienstleistungen von entscheidender Bedeutung. Aber hier ist die Herausforderung: Wer entscheidet, ob ein Anbieter in den Zuständigkeitsbereich von DORA fällt? „Hat der Finanzinstitut oder entscheidet die Aufsichtsbehörde das?“ fragt Raghu.

Für kleinere MSPs sind die Hürden noch höher. Die Einhaltung der Vorschriften hängt von ihrer Rolle in Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

  • Klarere Richtlinien
  • Engere Zusammenarbeit mit Anbietern
3. Abstimmung von Unternehmensführung und Führung

DORA stellt die betriebliche Widerstandsfähigkeit an die Spitze der Führungsagenda. Bretter muss:

  • Legen Sie klare IKT-Risikogrenzen fest
  • Überwachen Sie größere Vorfälle
  • Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Testen spielt eine Schlüsselrolle in DORA-Konformität. Organisationen müssen:

  • Führen Sie jährliche Resilienztests an IKT-Systemen durch
  • Führen Sie alle drei Jahre erweiterte Penetrationstests durch
„Tests helfen dabei, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um Fortschritte bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. — Raghu Nandakumara
5. Aufbau einer belastbaren Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Führung muss:

  • Förderung der abteilungsübergreifenden Teamarbeit

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

Das globale Personallücke im Bereich Cybersicherheit — geschätzt auf 4 Millionen — verschärft die Herausforderungen von DORA. Ein starkes Compliance-Programm kann diesen Druck verringern. Es vereinfacht die Arbeit und bietet gleichzeitig umfassendere betriebliche Vorteile.

„Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheitsoperationen, Richtlinien und Auditteams.“ — Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Erwähnt DORA Null Vertrauen? Nicht direkt. Aber die wichtigsten Ideen — wie der Zugriff mit den geringsten Rechten und die kontinuierliche Überwachung — stimmen eng überein.

Die Zero Trust-Philosophie „Niemals vertrauen, immer verifizieren“ reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor sie darauf zugreifen.

Wie hilft es bei den größten Cyberrisiken von heute?

  • Stoppt Ransomware: Reduzieren Sie die Auswirkungen von Ransomware-Angriffe indem begrenzt wird, wie weit es sich im Netzwerk ausbreiten kann.
  • Verwaltet Risiken durch Dritte: Beschränken Lieferant Zugang zu kritischen Systemen. Kontrollieren Sie, wie viel Zugriff Anbieter auf kritische Systeme haben.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Überwachung durch Dritte und Resilienzplanung sind nicht optional. Dies erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.

Raghu erklärte: „Die EU will Fortschritt, keine Perfektion. Sie wollen sehen, wie Unternehmen die Anforderungen interpretieren und was sie erreicht haben.“

Möchten Sie mehr über DORA Compliance erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für die DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.

Verwandte Themen

In Verbindung stehende Artikel

Illumio expandiert in Lateinamerika, um Cyber-Resilienz aufzubauen
Cyber-Resilienz

Illumio expandiert in Lateinamerika, um Cyber-Resilienz aufzubauen

Erfahren Sie mehr darüber, was die lateinamerikanische Region zu einem besonderen Ziel von Bedrohungsakteuren macht und wie Illumio helfen kann.

Was Sie über den Umsetzungsplan für die neue nationale Cybersicherheitsstrategie wissen müssen
Cyber-Resilienz

Was Sie über den Umsetzungsplan für die neue nationale Cybersicherheitsstrategie wissen müssen

Informieren Sie sich über die Erkenntnisse von Gary Barlet, CTO von Illumio Federal, zum neuen Umsetzungsplan der US-Regierung.

Unsere liebsten Zero-Trust-Geschichten vom August 2023
Cyber-Resilienz

Unsere liebsten Zero-Trust-Geschichten vom August 2023

Hier sind einige der Zero-Trust-Geschichten und -Perspektiven, die uns in diesem Monat aufgefallen sind.

So erreichen Sie die DORA-Konformität mit Illumio
Cyber-Resilienz

So erreichen Sie die DORA-Konformität mit Illumio

Lernen Sie die drei auf der Illumio Zero Trust Segmentation (ZTS) Platform verfügbaren Tools kennen, mit denen Sie die DORA-Compliance aufbauen können.

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber-Resilienz

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Erfahren Sie von Tristan Morgan, Geschäftsführer für Cybersicherheit bei BT, und Mark Hendry, Partner für digitale Dienste bei Evelyn Partners, wie Sie die DORA-Compliance steuern können.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?