Für die Einhaltung von Vorschriften wie dem Digital Operational Resilience Act (DORA) ist die Wahl der richtigen Cybersicherheitstools entscheidend. Dies erfordert ein umfassendes Verständnis der gesamten Cybersicherheitslandschaft und der besonderen Anforderungen, die in den Rechtsvorschriften festgelegt sind.
In diesem Artikel beleuchten wir ausgewählte DORA-Kriterien und die erforderlichen Cybersicherheitsmaßnahmen für deren Umsetzung.
Was ist DORA?
Die EU-Verordnung “Digital Operational Resilience Act (DORA)” ist ein gesetzlicher Rahmen, der darauf abzielt, die Cybersicherheit und die operative Widerstandsfähigkeit im Finanzsektor zu stärken. Sie erlegt den Finanzinstituten, Marktinfrastrukturen und Anbietern digitaler Dienstleistungen Verpflichtungen auf.
Die DORA-Verordnung ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten. Sie läutet eine neue Ära erhöhter Cybersicherheitsstandards ein, um digitale Risiken zu mindern und die Stabilität der Finanzsysteme zu gewährleisten.
Ziel von DORA ist es, die IT-Sicherheit von Finanzinstituten wie Banken, Versicherungsgesellschaften und Wertpapierfirmen zu stärken. Damit soll sichergestellt werden, dass der europäische Finanzsektor angesichts erheblicher operativer Störungen eine robuste Widerstandsfähigkeit beibehält.
Die betriebliche Widerstandsfähigkeit ist ein fest etablierter strategischer Eckpfeiler im Finanzdienstleistungssektor und erstreckt sich auf alle Informations-, Kommunikations- und Technologieunternehmen, die für Finanzinstitute tätig sind.
Zu den betroffenen Organisationen gehören Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen.
Wer ist betroffen?
Artikel 2 der DORA-EU-Verordnung definiert die folgenden Einrichtungen, die die Anforderungen erfüllen müssen:
- Kreditinstitute,
- Zahlungsinstitute,
- Kontoinformationsdienstleister,
- E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter von Krypto-Dienstleistungen,
- Zentralverwahrer,
- zentrale Gegenparteien,
- Handelsplattformen,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften,
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administratoren kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister,
- Verbriefungsregister, und
- IKT-Drittdienstleister.
Die DORA-Gesetzgebung zielt darauf ab, die Cybersicherheit von Finanzinstituten zu verbessern und ihre Widerstandsfähigkeit gegenüber Cyberangriffen oder anderen IT-bezogenen Störungen zu erhöhen. Folglich umfasst die Gesetzgebung Vorschriften und Mandate in Bezug auf:
- IKT-Risikomanagement
- IKT-bezogenes Störungsmanagement
- Prüfung der digitalen operativen Belastbarkeit
- Verwaltung von Drittanbietern
- Informationsaustausch
Artikel 9 - Schutz und Prävention
DORA schreibt vor, die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden. Der Datentransfer zwischen Finanzinstituten sollte also stets gesichert sein, und die Daten sollten mit hoher Integrität und Vertraulichkeit gepflegt werden.
Empfehlung
- Verwenden Sie eine Verschlüsselungslösung, die sowohl gespeicherte Daten (Data at Rest) als auch Daten in Bewegung (Data in Transit) schützt
- Verwenden Sie ein für die Mitarbeiter leicht zu bedienendes Tool (idealerweise mit transparenter Verschlüsselung für einen nahtlosen Betrieb)
Minimieren Sie das Risiko der Datenbeschädigung oder des Datenverlusts, des unbefugten Zugriffs und technischer Mängel, die den Geschäftsbetrieb behindern könnten
Empfehlung
- Sorgen Sie für ein Zugriffsmanagement nach Benutzerrollen und -gruppen, um sicherzustellen, dass bestimmte sensible Daten nur für autorisierte Benutzer zugänglich sind
- Für den Fall, dass Daten verlorengehen, muss sichergestellt werden, dass sie weiterhin verschlüsselt sind und dass unbefugte Benutzer die Informationen nicht lesen können (sei es intern oder extern)
Die Daten müssen vor Risiken geschützt sein, die sich aus der Datenverwaltung ergeben, einschließlich verarbeitungsbedingter Risiken und menschlicher Fehler.
Empfehlung
- Befolgen Sie eine strikte Rollentrennung von Netzwerkmanagement und Sicherheitsmanagement (Separation of Duties)
Stärken Sie Ihre Widerstandsfähigkeit und erfüllen Sie DORA-Richtlinien mit LAN Crypt File and Folder Encryption von Utimaco
Die zuverlässige Verschlüsselungslösung LAN Crypt File and Folder Encryption von Utimaco bietet einen konsequenten Schutz sensibler Daten. Profitieren Sie von:
- Schutz von Daten im Ruhezustand und von Daten in Bewegung
- Einfache Implementierung ohne Auswirkung auf die Arbeitsabläufe
- Minimierung des Risikos der Datenpreisgabe
- Stetige Gewährleistung der Vertraulichkeit durch persistente Verschlüsselung
- Vermeidung eines allmächtigen Administrators durch Aufgabentrennung
Weitere Einblicke und Details darüber, wie Sie Ihre Cyber-Resilienz und Sicherheit in Übereinstimmung mit DORA verbessern können, erhalten Sie in unserem Webinar zum Thema "Wie Sie die DORA-Richtlinien mit Datenschutz erreichen".