Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Wird die EU-Bankenbranche auf DORA vorbereitet sein?

Maritza Marie Dubec
,
Senior Content Marketing Manager
Illumio Editorial
November 27, 2024
23 min. Lesedauer

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Rahmen. Aber werden Finanzorganisationen bereit sein?

Viele rennen gegen die Uhr. Enge Zeitpläne und sich entwickelnde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: „Banken hätten früher von klareren technischen Standards profitiert. Die Standards wurden in zwei Wellen eingeführt: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate bis zum Ablauf der Frist am 17. Januar.“

DORA auspacken

Was bedeutet DORA fristgerecht benötigen? Es geht nicht nur um den Schutz von Systemen. Der Schwerpunkt liegt darauf, wichtige Dienste am Laufen zu halten — auch bei Störungen.

Um die Standards von DORA zu erfüllen, müssen Finanzinstitute:

  • Testen Sie regelmäßig IKT-Systeme
  • Managen Sie Risiken mit Drittanbietern
  • Stellen Sie sicher, dass wichtige Dienste betriebsbereit bleiben, egal was passiert
„DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird. „— Raghu Nandakumara

Die 6 wichtigsten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

Die Regeln, die die Anforderungen von DORA erläutern, heißen technische Regulierungsstandards (RTS), wurden spät veröffentlicht. Die erste Version kam im Januar 2024 heraus, die zweite folgte im Juli. In weniger als einem Jahr Vorbereitungszeit ist die Erfüllung der Anforderungen zu einem Wettlauf mit der Zeit geworden.

2. Verwaltung von Drittanbietern

Drittanbieter — wie Hyperscaler und Managed Service Provider (MSPs) — sind für Finanzdienstleistungen von entscheidender Bedeutung. Aber hier ist die Herausforderung: Wer entscheidet, ob ein Anbieter in den Zuständigkeitsbereich von DORA fällt? „Hat der Finanzinstitut oder entscheidet die Aufsichtsbehörde das?“ fragt Raghu.

Für kleinere MSPs sind die Hürden noch höher. Die Einhaltung der Vorschriften hängt von ihrer Rolle in Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

  • Klarere Richtlinien
  • Engere Zusammenarbeit mit Anbietern
3. Abstimmung von Unternehmensführung und Führung

DORA stellt die betriebliche Widerstandsfähigkeit an die Spitze der Führungsagenda. Bretter muss:

  • Legen Sie klare IKT-Risikogrenzen fest
  • Überwachen Sie größere Vorfälle
  • Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Testen spielt eine Schlüsselrolle in DORA-Konformität. Organisationen müssen:

  • Führen Sie jährliche Resilienztests an IKT-Systemen durch
  • Führen Sie alle drei Jahre erweiterte Penetrationstests durch
„Tests helfen dabei, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um Fortschritte bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. — Raghu Nandakumara
5. Aufbau einer belastbaren Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Führung muss:

  • Förderung der abteilungsübergreifenden Teamarbeit

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

Das globale Personallücke im Bereich Cybersicherheit — geschätzt auf 4 Millionen — verschärft die Herausforderungen von DORA. Ein starkes Compliance-Programm kann diesen Druck verringern. Es vereinfacht die Arbeit und bietet gleichzeitig umfassendere betriebliche Vorteile.

„Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheitsoperationen, Richtlinien und Auditteams.“ — Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Erwähnt DORA Null Vertrauen? Nicht direkt. Aber die wichtigsten Ideen — wie der Zugriff mit den geringsten Rechten und die kontinuierliche Überwachung — stimmen eng überein.

Die Zero Trust-Philosophie „Niemals vertrauen, immer verifizieren“ reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor sie darauf zugreifen.

Wie hilft es bei den größten Cyberrisiken von heute?

  • Stoppt Ransomware: Reduzieren Sie die Auswirkungen von Ransomware-Angriffe indem begrenzt wird, wie weit es sich im Netzwerk ausbreiten kann.
  • Verwaltet Risiken durch Dritte: Beschränken Lieferant Zugang zu kritischen Systemen. Kontrollieren Sie, wie viel Zugriff Anbieter auf kritische Systeme haben.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Überwachung durch Dritte und Resilienzplanung sind nicht optional. Dies erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.

Raghu erklärte: „Die EU will Fortschritt, keine Perfektion. Sie wollen sehen, wie Unternehmen die Anforderungen interpretieren und was sie erreicht haben.“

Möchten Sie mehr über DORA Compliance erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für die DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.

Verwandte Themen

Bank- und Finanzdienstleistungen

In Verbindung stehende Artikel

3 Möglichkeiten, Ihren Fertigungsbetrieb gegen Cyberangriffe widerstandsfähig zu halten
Cyber-Resilienz

3 Möglichkeiten, Ihren Fertigungsbetrieb gegen Cyberangriffe widerstandsfähig zu halten

Verschaffen Sie sich einen Einblick in den jüngsten Cyberangriff auf ein globales Fertigungsunternehmen und erfahren Sie, wie dieser die Notwendigkeit von Cyberresistenz in der Fertigung unterstreicht.

Lesen Sie mehr
John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden
Cyber-Resilienz

John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden

Erfahren Sie von John Kindervag einen Einblick in die wichtigsten Zero-Trust-Wahrheiten, die Regierungsbehörden bei der Erfüllung der Zero-Trust-Mandate kennen müssen.

Lesen Sie mehr
Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen
Cyber-Resilienz

Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen

Eine ganzheitliche Zero-Trust-Strategie sollte jede dieser fünf Säulen berücksichtigen und abdecken.

Lesen Sie mehr
So erreichen Sie die DORA-Konformität mit Illumio
Cyber-Resilienz

So erreichen Sie die DORA-Konformität mit Illumio

Lernen Sie die drei auf der Illumio Zero Trust Segmentation (ZTS) Platform verfügbaren Tools kennen, mit denen Sie die DORA-Compliance aufbauen können.

Lesen Sie mehr
Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber-Resilienz

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Erfahren Sie von Tristan Morgan, Geschäftsführer für Cybersicherheit bei BT, und Mark Hendry, Partner für digitale Dienste bei Evelyn Partners, wie Sie die DORA-Compliance steuern können.

Lesen Sie mehr

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr