Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
27November 2024
23 min. lesen

Wird der Bankensektor in der EU auf die DORA-Konformität vorbereitet sein?

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).  

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Framework. Aber werden Finanzorganisationen bereit sein?

Viele kämpfen gegen die Zeit. Enge Zeitpläne und sich ändernde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: "Banken hätten früher von klareren technischen Standards profitiert. Die Standards kamen in zwei Wellen: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate vor Ablauf der Frist am 17. Januar."

DORA auspacken

Welche Anforderungen stellt DORA bis zum Stichtag? Es geht nicht nur um den Schutz von Systemen. Der Fokus liegt darauf, kritische Dienste auch während Störungen aufrechtzuerhalten.

Um die DORA-Standards zu erfüllen, müssen Finanzinstitute:

  • Testen Sie IKT-Systeme regelmäßig
  • Managen Sie Risiken mit Drittanbietern
  • Stellen Sie sicher, dass wichtige Dienste in jedem Fall betriebsbereit bleiben
"DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird." – Raghu Nandakumara

Die 6 größten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

Die Regeln, in denen die Anforderungen von DORA erläutert werden, die sogenannten regulatorischen technischen Standards (RTS), wurden verspätet veröffentlicht. Die erste Version erschien im Januar 2024, die zweite folgte im Juli. Da weniger als ein Jahr Vorbereitungszeit blieb, ist die Erfüllung der Anforderungen zu einem Wettlauf gegen die Zeit geworden.

2. Verwaltung von Drittanbietern

Drittanbieter – wie Hyperscaler und Managed Service Provider (MSPs) – sind für Finanzdienstleistungen von zentraler Bedeutung. Doch hier liegt die Herausforderung: Wer entscheidet, ob ein Anbieter unter den Geltungsbereich von DORA fällt? „Entscheidet das das Finanzinstitut oder die Aufsichtsbehörde?“, fragt Raghu.

Für kleinere MSPs sind die Hürden noch höher. Compliance hängt von ihrer Rolle in den Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

  • Klarere Richtlinien
  • Stärkere Zusammenarbeit mit Anbietern
3. Governance und Führung aufeinander abstimmen

DORA räumt der operativen Resilienz höchste Priorität in der Führungsagenda ein. Boards müssen:

  • Legen Sie klare ICT-Risikogrenzen fest
  • Überwachen Sie größere Vorfälle
  • Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Tests spielen eine Schlüsselrolle bei der Einhaltung der DORA-Vorschriften. Organisationen müssen:

  • Durchführung jährlicher Resilienztests für IKT-Systeme
  • Führen Sie alle drei Jahre erweiterte Penetrationstests durch
"Tests helfen, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um den Fortschritt bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. – Raghu Nandakumara
5. Aufbau einer resilienten Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Die Führung muss:

  • Fördern Sie die Teamarbeit zwischen den Abteilungen

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

Der weltweite Fachkräftemangel im Bereich Cybersicherheit – der auf 4 Millionen geschätzt wird – verschärft die Herausforderungen für DORA. Ein solides Compliance-Programm kann diesen Druck mindern. Es vereinfacht die Abläufe und bietet gleichzeitig umfassendere operative Vorteile.

"Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheits-, Richtlinien- und Audit-Teams." – Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Wird Zero Trust in DORA erwähnt? Nicht direkt. Die Kernideen – wie der Zugriff nach dem Prinzip der minimalen Berechtigung und die kontinuierliche Überwachung – stimmen jedoch weitgehend überein.

Die Zero-Trust-Philosophie "Never Trust, Always Verify" reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor er Zugriff auf .

Wie hilft es bei den größten Cyberrisiken von heute?

  • Stoppt Ransomware: Verringert die Auswirkungen von Ransomware-Angriffen , indem die Ausbreitung im Netzwerk eingeschränkt wird.
  • Management von Drittparteirisiken: Beschränkung des Zugangs von Lieferanten zu kritischen Systemen. Kontrollieren Sie, welchen Zugriff Lieferanten auf kritische Systeme haben.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Aufsicht durch Dritte und Resilienzplanung sind nicht optional. Es erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.  

Raghu erklärte: "Die EU will Fortschritt, nicht Perfektion. Sie wollen sehen, wie Organisationen die Anforderungen interpretieren und was sie erreicht haben."

Sind Sie daran interessiert, mehr über DORA-Compliance zu erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.

Verwandte Themen

Banken & Finanzdienstleistungen

Verwandte Artikel

Wie man das Risiko in einem flachen Netzwerk mindert – ein Paradies für Angreifer
Cyber-Resilienz

Wie man das Risiko in einem flachen Netzwerk mindert – ein Paradies für Angreifer

Flache Netzwerke sind so weit verbreitet, weil sie in der Regel einfach zu bauen, kostengünstig zu bauen und leicht zu betreiben und zu warten sind.

Mehr lesen
Die Top 3 der Cybersicherheitsnachrichten, die Sie ab Oktober 2023 kennen müssen
Cyber-Resilienz

Die Top 3 der Cybersicherheitsnachrichten, die Sie ab Oktober 2023 kennen müssen

Die Cybersicherheitsnachrichten dieses Monats konzentrierten sich auf die Vorteile von Zero Trust und die negativen Auswirkungen traditioneller Sicherheitstaktiken.

Mehr lesen
Malware-Payloads & Beacons: Arten von bösartigen Payloads
Cyber-Resilienz

Malware-Payloads & Beacons: Arten von bösartigen Payloads

Verstehen Sie die verschiedenen Arten von Nutzlasten und überprüfen Sie ein Beispiel für bösartigen Code, den sie möglicherweise verwenden.

Mehr lesen
BT und Illumio: Vereinfachung der DORA-Compliance
Cyber-Resilienz

BT und Illumio: Vereinfachung der DORA-Compliance

Erfahren Sie, wie Sie die Cyber-Resilienz erhöhen, IKT-Risiken managen und Ihr Finanzinstitut auf die DORA-Compliance-Frist im Januar 2025 vorbereiten können.

Mehr lesen
So erreichen Sie DORA-Konformität mit Illumio
Cyber-Resilienz

So erreichen Sie DORA-Konformität mit Illumio

Lernen Sie die drei Tools kennen, die in der Illumio Zero Trust Segmentation (ZTS) Platform verfügbar sind und Ihnen helfen, DORA-Compliance aufzubauen.

Mehr lesen
Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber-Resilienz

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Tristan Morgan, Managing Director of Cybersecurity bei BT, und Mark Hendry, Digital Services Partner bei Evelyn Partners, erhalten Einblicke in die DORA-Compliance.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren