Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 gelten wird. Nach einer langen Liste internationaler Vorschriften soll DORA dazu beitragen, die digitale Widerstandsfähigkeit insbesondere des Finanzsektors zu stärken.
Was deckt DORA ab?
Wie aus dem Text der Entschließung hervorgeht, konzentriert sich DORA in erster Linie auf das, was im offiziellen Sprachgebrauch als IKT – Informations- und Kommunikationstechnologie – bezeichnet wird. Die verschiedenen Aspekte des Gesetzes treten nach und nach in Kraft, wobei der letzte – ein Aufsichtsrahmen für kritische IKT-Drittanbieter – im Jahr 2025 in Kraft treten wird. Die meisten Anliegen betreffen das Risikomanagement, die Überwachung und Analyse sowie die Meldung von Vorfällen.
IKT-Risikomanagement
Die Vorschläge enthalten Anforderungen an das Risikomanagement: IKT-Systeme müssen widerstandsfähig sein und über Systeme und Instrumente zur Erkennung und Minderung von Risiken verfügen. Die sofortige Erkennung von Anomalien muss gewährleistet sein, idealerweise durch strenge Überwachung. Schließlich müssen umfassende Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall vorhanden sein, um eine reibungslose und rasche Wiederherstellung nach IKT-bezogenen Vorfällen oder anderen Datenschutzverletzungen zu gewährleisten.
Obligatorische Meldung von Vorfällen
Die DORA fordert die Einrichtung eines Managementprozesses zur Protokollierung von Vorfällen mit IKT-Bezug. Die konkreten Kriterien hierfür werden von den europäischen Aufsichtsbehörden festgelegt, die damit die bestehenden Aufsichtsvorschriften für den Finanzsektor ergänzen und die erste kommunikationsspezifische Regelung schaffen.
Risikobewertung durch Dritte
Mit der DORA soll sichergestellt werden, dass Verträge mit IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, wie z. B. eine vollständige Beschreibung des Leistungsumfangs, Angabe der Standorte, an denen Daten verarbeitet werden, usw.
Wie beginne ich mit der Vorbereitung auf DORA?
Die Finanzinstitute haben ein Jahr Zeit, um die Anforderungen der Verordnung in einer Weise zu erfüllen, die ihrer Größe und ihrem Geschäftsprofil angemessen ist. Für einige werden die Auswirkungen minimal sein. Andere Institute, die als stärker gefährdet eingestuft werden, müssen spezielle Maßnahmen ergreifen, wie z. B. die Durchführung fortgeschrittener Penetrationstests (rote oder violette Teambewertungen), um die Sicherheit ihrer Systeme zu gewährleisten.
Für noch mehr Organisationen werden sich die Auswirkungen auf ihre bestehende IKT-Infrastruktur, einschließlich der derzeit implementierten Systeme, bemerkbar machen; mit den strengeren Anforderungen an Überwachung, Sicherheit und Berichterstattung werden einige bestehende Systeme möglicherweise nicht mehr den Anforderungen entsprechen. Dies betrifft eine Vielzahl von Systemen, vor allem aber Archivierung und Backups; diese sind einerseits jetzt vorgeschrieben (sowohl durch bestehende Gesetze als auch durch die neue DORA-Anforderung für Disaster-Recovery-Pläne, von denen Backups eine Schlüsselkomponente sind). Andererseits bedeuten die strengeren Maßnahmen, dass diese Systeme möglicherweise nicht mehr den Anforderungen genügen und ihre Nutzer gezwungen sind, Ersatz zu suchen.
Sorgen Sie für Sicherheit mit contentACCESS
Das contentACCESS Archiv und Backup von TECH-ARROW bietet in diesem Fall eine bewährte Lösung: Unser Archiv unterstützt alle Aufbewahrungs- und Löschungsrichtlinien und ermöglicht es Ihnen, umfassende Richtlinien für Ihre gesamte Datenspeicherung festzulegen. Wir können Ihnen helfen, die Einhaltung der DSGVO und aller anderen wichtigen Vorschriften, einschließlich DORA, zu gewährleisten. Wir helfen Ihnen bei der Einrichtung von Notfallmaßnahmen und Wiederherstellung und steigern Ihre Produktivität – alles in einem Paket.
Die flexible und umfassende Volltextsuche unseres contentACCESS-Archivs erfüllt nicht nur die Anforderungen an die Aufbewahrung und den Umgang mit Daten, sondern erleichtert auch die Identifizierung und den Abruf der benötigten Informationen. Die gleiche Suche ist über jedes unserer Eingabesysteme zugänglich – unser Online-Webportal, unsere Outlook-Integration und unsere mobile App. Auf diese Weise können wir Ihrem Unternehmen helfen, die Produktivität und Effizienz Ihrer Mitarbeiter zu steigern, ohne dabei Kompromisse bei der Sicherheit einzugehen.
Möchten Sie mehr über contentACCESS und die Möglichkeiten für Ihr Unternehmen erfahren? TECH-ARROW ist für Sie da! Setzen Sie sich mit uns in Verbindung und vereinbaren Sie einen kostenlosen Gesprächstermin mit unserem Expertenteam, um zu besprechen, wie wir Ihr Unternehmen am besten für den Erfolg rüsten können.
Archivieren Sie Ihre Kommunikation mit contentACCESS