/
Cyber-Resilienz

Wird der Bankensektor in der EU auf die DORA-Konformität vorbereitet sein?

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).  

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Framework. Aber werden Finanzorganisationen bereit sein?

Viele kämpfen gegen die Zeit. Enge Zeitpläne und sich ändernde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: "Banken hätten früher von klareren technischen Standards profitiert. Die Standards kamen in zwei Wellen: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate vor Ablauf der Frist am 17. Januar."

DORA auspacken

Was benötigt DORA bis zum Ablauf der Frist? Es geht nicht nur um den Schutz von Systemen. Der Fokus liegt darauf, kritische Dienste am Laufen zu halten – auch bei Störungen.

Um die DORA-Standards zu erfüllen, müssen Finanzinstitute:

  • Testen Sie IKT-Systeme regelmäßig
  • Managen Sie Risiken mit Drittanbietern
  • Stellen Sie sicher, dass wichtige Dienste in jedem Fall betriebsbereit bleiben
"DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird." – Raghu Nandakumara

Die 6 größten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

Die Regeln, die die Anforderungen von DORA erläutern, die so genannten technischen Regulierungsstandards (RTS), wurden erst spät veröffentlicht. Die erste Version kam im Januar 2024 heraus, die zweite folgte im Juli. Mit weniger als einem Jahr Vorbereitungszeit hat sich die Erfüllung der Anforderungen zu einem Wettlauf gegen die Zeit entwickelt.

2. Verwaltung von Drittanbietern

Drittanbieter – wie Hyperscaler und Managed Service Provider (MSPs) – sind der Schlüssel zu Finanzdienstleistungen. Aber hier ist die Herausforderung: Wer entscheidet, ob ein Anbieter in den Geltungsbereich von DORA fällt? "Entscheidet das Finanzinstitut oder die Aufsichtsbehörde?", fragt Raghu.

Für kleinere MSPs sind die Hürden noch höher. Compliance hängt von ihrer Rolle in den Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

  • Klarere Richtlinien
  • Stärkere Zusammenarbeit mit Anbietern
3. Governance und Führung aufeinander abstimmen

DORA stellt die operative Resilienz ganz oben auf die Führungsagenda. Die Boards müssen:

  • Legen Sie klare ICT-Risikogrenzen fest
  • Überwachen Sie größere Vorfälle
  • Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Das Testen spielt eine Schlüsselrolle für die DORA-Compliance. Organisationen müssen:

  • Durchführung jährlicher Resilienztests für IKT-Systeme
  • Führen Sie alle drei Jahre erweiterte Penetrationstests durch
"Tests helfen, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um den Fortschritt bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. – Raghu Nandakumara
5. Aufbau einer resilienten Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Die Führung muss:

  • Fördern Sie die Teamarbeit zwischen den Abteilungen

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

Die weltweite Lücke zwischen 4 Millionen Arbeitskräften im Bereich Cybersicherheit – schätzungsweise 4 Millionen – verschärft die Herausforderungen von DORA. Ein starkes Compliance-Programm kann diesen Druck verringern. Es vereinfacht den Aufwand und bietet gleichzeitig breitere betriebliche Vorteile.

"Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheits-, Richtlinien- und Audit-Teams." – Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Erwähnt DORA Zero Trust? Nicht direkt. Aber die Schlüsselideen – wie der Zugriff auf die geringsten Rechte und die kontinuierliche Überwachung – stimmen eng überein.

Die Zero-Trust-Philosophie "Never Trust, Always Verify" reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor er Zugriff auf .

Wie hilft es bei den größten Cyberrisiken von heute?

  • Stoppt Ransomware: Reduzieren Sie die Auswirkungen von Ransomware-Angriffen , indem Sie die Ausbreitung im Netzwerk begrenzen.
  • Verwaltet Risiken von Drittanbietern: Beschränken Sie den Zugriff von Anbietern auf kritische Systeme. Kontrollieren Sie, wie viel Zugriff Anbieter auf kritische Systeme haben.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Aufsicht durch Dritte und Resilienzplanung sind nicht optional. Es erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.  

Raghu erklärte: "Die EU will Fortschritt, nicht Perfektion. Sie wollen sehen, wie Organisationen die Anforderungen interpretieren und was sie erreicht haben."

Sind Sie daran interessiert, mehr über DORA-Compliance zu erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.

Verwandte Themen

Verwandte Artikel

Was ist KI-gestützte Cloud-Observability? Ein vollständiger Leitfaden
Cyber-Resilienz

Was ist KI-gestützte Cloud-Observability? Ein vollständiger Leitfaden

Erfahren Sie, wie KI-gestützte Cloud-Observability Rohdaten in umsetzbare Erkenntnisse umwandelt und Teams dabei hilft, Bedrohungen zu erkennen, laterale Bewegungen zu stoppen und Zero Trust zu ermöglichen.

Ein Aufruf für Cyber Resilience und Zero Trust: Illumio Month im Rückblick
Cyber-Resilienz

Ein Aufruf für Cyber Resilience und Zero Trust: Illumio Month im Rückblick

Der Beginn des Jahres 2022 hat die erhöhte Priorität der Zero-Trust-Sicherheit in der heutigen Cyberlandschaft in den Fokus gerückt. Viele Unternehmen sehen sich mit einer weiteren Komplexität ihrer Netzwerke konfrontiert, da sich flexible Arbeitsoptionen weiterentwickeln, und eine volatile geopolitische Landschaft hat zu einem exponentiellen Anstieg internationaler Ransomware-Angriffe und -Verstöße geführt.

Bereiten Sie sich auf Zero-Day-Exploits wie MOVEit vor? Erhalten Sie Anwendungstransparenz
Cyber-Resilienz

Bereiten Sie sich auf Zero-Day-Exploits wie MOVEit vor? Erhalten Sie Anwendungstransparenz

Erfahren Sie, warum eine umfassende Anwendungstransparenz unerlässlich ist, um sich auf Zero-Day-Exploits wie MOVEit vorzubereiten, und wie Illumio helfen kann.

BT und Illumio: Vereinfachung der DORA-Compliance
Cyber-Resilienz

BT und Illumio: Vereinfachung der DORA-Compliance

Erfahren Sie, wie Sie die Cyber-Resilienz erhöhen, IKT-Risiken managen und Ihr Finanzinstitut auf die DORA-Compliance-Frist im Januar 2025 vorbereiten können.

So erreichen Sie DORA-Konformität mit Illumio
Cyber-Resilienz

So erreichen Sie DORA-Konformität mit Illumio

Lernen Sie die drei Tools kennen, die in der Illumio Zero Trust Segmentation (ZTS) Platform verfügbar sind und Ihnen helfen, DORA-Compliance aufzubauen.

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber-Resilienz

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Tristan Morgan, Managing Director of Cybersecurity bei BT, und Mark Hendry, Digital Services Partner bei Evelyn Partners, erhalten Einblicke in die DORA-Compliance.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?