DORA: Die IT-Anforderungen des Digital Operational Resilience Act
Mit dem Digital Operational Resilience Act verpflichtet die EU Finanzfirmen und ihre IT-Dienstleister ab 2025 zu strengeren IT-Sicherheitsmaßnahmen. Ziel von DORA ist es, den Finanzsektor durch Risikoframeworks und laufende Tests vor wachsenden digitalen Bedrohungen zu schützen. Alle Details zu den Anforderungen von DORA für Finanzunternehmen und Dienstleister.
Was ist der Digital Operational Resilience Act?
Der Digital Operational Resilience Act bzw. DORA ist eine EU-Verordnung über strengere IT-Sicherheitsanforderungen in der Finanzindustrie. Betroffene Unternehmen müssen vier zentrale Punkte erfüllen:
ein umfassendes Framework für Risikomanagement
die Erkennung und Meldung von IT-Vorfällen
regelmäßige Tests der IT-Sicherheit und Resilienz
Management des Drittrisikos durch IT-Dienstleister
DORA soll einheitliche Sicherheitsanforderungen für den Finanzsektor der Europäischen Union schaffen. Die Verordnung ist jedoch nur ein Baustein in der Cybersicherheitsstrategie der EU. Als wesentliche bzw. wichtige Einrichtungen sind Finanzunternehmen je nach ihrer Größe auch von der NIS2 Richtlinie betroffen.
In unserer Branchenübersicht erfahren Sie mehr über die IT-Bedrohungen und Regularien in der Finanzindustrie – und wie tenfold Ihnen dabei hilft, diese zu managen.
Wann tritt DORA in Kraft?
DORA wurde Ende 2022 vom EU Parlament verabschiedet. Finanzunternehmen und IT-Dienstleister müssen die neuen Anforderungen ab dem 17. Januar 2025 erfüllen. Damit bleibt betroffenen Firmen nur wenig Zeit, um ihre Schutzmaßnahmen, Governance-Frameworks, Sicherheitstests und Dienstleistungsverträge an das neue Regelwerk anzupassen.
Wer ist von DORA betroffen?
Es gibt zwei Arten von Firmen, die von den Anforderungen von DORA betroffen sind: Finanzunternehmen und IT-Dienstleister. Der Schutz des Finanzsektors steht im Zentrum von DORA. Für Dienstleister ergeben sich jedoch zum Teil indirekte Anforderungen durch strengere Regeln für den Umgang mit Drittparteienrisiko.
Für diese Finanzunternehmen gilt DORA:
Banken
Zahlungsdienste
Investmentfirmen
Handelsplätze
Versicherungen
Verwaltungsgesellschaften
Crowdfunding-Dienste
Anbieter von Crypto-Dienstleistungen
Für diese IT-Dienstleister gilt DORA:
Software Anbieter
Managed IT Services
Hardware-as-a-Service Anbieter
Cloud-Computing Dienstleister
Rechenzentren
DORA folgt dem Grundsatz der Verhältnismäßigkeit, was bedeutet, dass die Regeln der Verordnung abhängig von der Art, Größe und Komplexität des jeweiligen Unternehmens angewendet werden.
Viele DORA-Anforderungen haben Ausnahmen für Kleinstunternehmen, also Firmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz unter 2 Millionen Euro.
Was sind die Auswirkungen von DORA auf IT-Dienstleister?
Durch seine strengeren Regeln für IT-Sicherheit im Finanzsektor wirkt sich DORA nicht nur auf Finanzunternehmen aus, sondern indirekt auch auf IT-Dienstleister. Bei der Auswahl ihrer Dienstleister müssen Finanzfirmen künftig auf angemessene Sicherheitsstandards achten. Unabhängige Zertifizierungen wie ISO 27001 spielen in Zukunft also eine noch wichtigere Rolle.
Neben dem Fokus auf IT-Security sollten sich Dienstleister auch auf neue Vertragsklauseln vorbereiten, die etwa Performance-Ziele, Exit-Strategien und Kündigungsbedingungen regeln. Je nach Art ihrer Dienstleistung können Anbieter auch in Sicherheitstrainings und Penetrationstests des Finanzunternehmens eingebunden werden.
Wie sich DORA auf IT-Dienstleister auswirkt:
Finanzunternehmen dürfen nur Dienstleister nutzen, die sich an angemessene Standards für Informationssicherheit halten.
Finanzunternehmen sind angehalten, die Konzentration von IT-Risiken durch die Nutzung verschiedener Anbieter zu verringern (Multi-Vendor Strategy).
Regelmäßige Audits und Inspektionen von Dienstleistern, die wichtige Funktionen unterstützen.
Überwachung kritischer IT-Dienstleister durch Europäische Aufsichtsbehörden (ESAs).
Was sind kritische IKT-Drittdienstleister?
DORA stuft bestimmte IT-Dienstleister aufgrund ihrer hohen Bedeutung für den europäischen Finanzsektor als kritische IKT-Drittdienstleister ein. Die europäischen Aufsichtsbehörden (ESAs) veröffentlichen dazu eine jährliche Liste an kritischen Drittdienstleistern.
Die Einstufung als kritischer Dienstleister basiert auf verschiedenen Faktoren, darunter:
Die Anzahl an Finanzunternehmen, die den Anbieter nutzen.
Die Auswirkungen auf den Finanzsektor bei einem Ausfall bzw. Cyberangriff.
Die Verfügbarkeit alternativer Dienstleister, welche die gleichen Leistungen anbieten.
Kritische IT-Dienstleister unterliegen durch DORA strengerer Aufsicht, einschließlich Vorgaben an ihr Risikomanagement und die regelmäßige Überprüfung ihrer Sicherheitsmaßnahmen.Dazu gibt DORA den europäischen Aufsichtsbehörden die Befugnis, Untersuchungen und Inspektionen vor Ort durchzuführen und verbindliche Empfehlungen auszusprechen.
Sollte ein Dienstleister die eigene IT-Sicherheit vernachlässigen und festgestellte Mängel nicht beheben, können Behörden Finanzunternehmen sogar dazu zwingen Verträge zu beenden.
DORA: IT Anforderungen an Unternehmen
IT-Risikomanagement
DORA verpflichtet Finanzunternehmen zum wirksamen und umsichtigen Management von IT-Risiken durch einen Governance- und Kontrollrahmen. Dieses interne Regelwerk dient zwei wichtigen Zielen:
Die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten zu gewährleisten
Klare Rollen und Aufgaben festzulegen, um Verantwortlichkeit für die IT-Sicherheit zu schaffen
In DORA trägt die Geschäftsführung die letztendliche Verantwortung für den Umgang mit IT-Risiken und muss das Thema Cybersicherheit durch ausreichende Ressourcen und angemessene Policies unterstützen. Unterhalb finden Sie eine Zusammenfassung der wichtigsten Anforderungen an das Risikomanagement. Betroffenen Unternehmen empfiehlt sich jedoch die Lektüre der vollständigen DORA Verordnung, die online verfügbar ist.
Finanzunternehmen müssen über ein solides, umfassendes und gut dokumentiertes Framework für das IT-Risikomanagement verfügen.
Das Framework muss mindestens einmal pro Jahr, sowie nach schweren IT-Vorfällen, angepasst werden.
Unternehmen müssen das Framework regelmäßig durch interne Audits prüfen und aufgedeckte Schwachstellen beheben.
Die Unabhängigkeit von Risikomanagement, Kontrollen und Audits muss durch Funktionstrennung gewährleistet werden.
Das Risikomanagement-Framework muss eine Informationssicherheitsleitlinie enthalten, welche Regeln für den Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten festlegt.
Regulierte Unternehmen müssen sämtliche Geschäftsfunktionen und IT-Assets identifizieren und klassifizieren.
Unternehmen müssen einmal pro Jahr, sowie nach wesentlichen Änderungen ihrer IT-Infrastruktur, eine Risikobewertung durchführen.
Unternehmen müssen alle Geschäftsprozesse identifizieren, die von IT-Drittdienstleistern abhängig sind.
Das Register identifizierter Assets, Risiken und von Drittparteien abhängiger Prozesse muss jährlich aktualisiert werden.
Organisationen müssen sicherstellen, dass jede Veränderung ihrer IT angemessen getestet, freigegeben und umgesetzt wird.
Organisationen müssen Richtlinien für das IT-Änderungsmanagement (Change Management) implementieren.
Finanzunternehmen müssen sichere Methoden für die Authentifzierung von Nutzern verwenden.
Finanzunternehmen müssen den unberechtigten Zugriff auf Daten verhindern und Berechtigungen nach dem Least-Privilege-Prinzip vergeben.
Organisationen müssen sicherstellen, dass Mitarbeiter nur auf IT-Ressourcen zugreifen können, die für ihre Rolle zwingend erforderlich sind.
Organisationen müssen Berechtigungen jährlich durch Access Reviews überprüfen und nicht benötigte Rechte umgehend löschen (z.B. bei Verlassen des Unternehmens).
Organisationen müssen durch Funktionstrennung verhindern, dass Mitarbeiter ihre Rechte missbrauchen oder Kontrollen umgehen.
Von DORA betroffene Organisationen müssen die Sicherheit ihrer IT-Systeme forlaufend überwachen.
Dazu brauchen Organisationen Mechanismen, um anomale Aktivitäten zu erkennen, mit klaren Alarmschwellen und -kriterien für die umgehende Reaktion auf IT-Vorfälle.
Finanzunternehmen müssen eine Leitlinie für die Geschäfstfortführung etablieren, einschließlich eines Reaktions- und Wiederherstellungsplans (response & recovery).
Der Wiederherstellungsplan muss eine Backup-Policy umfassen, die festlegt, welche Daten in welchen Intervallen gesichert werden müssen.
Die Pläne zur Fortführung, Reaktion & Wiederherstellung müssen mindestens einmal jährlich getestet werden, sowie nach erheblichen Änderungen der IT-Infrastruktur.
Finanzunternehmen müssen ihr Personal verpflichtend hinsichtlich von IT-Risiken und Sicherheitsmaßnahmen einschulen.
Sicherheitsverantwortliche müssen sich über technische Entwicklungen und neue Bedrohungen auf dem Laufenden halten.
Nach schwerweigenden IT-Vorfällen müssen Unternehmen den Vorfall analysieren um die Ursache der Störung und erforderliche Verbesserungen ihrer Schutzmaßnahmen zu identifizieren.
Das Framework muss mindestens einmal pro Jahr, sowie nach schweren IT-Vorfällen, angepasst werden.
Unternehmen müssen das Framework regelmäßig durch interne Audits prüfen und aufgedeckte Schwachstellen beheben.
Die Unabhängigkeit von Risikomanagement, Kontrollen und Audits muss durch Funktionstrennung gewährleistet werden.
Das Risikomanagement-Framework muss eine Informationssicherheitsleitlinie enthalten, welche Regeln für den Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten festlegt.
Um Finanzunternehmen die Compliance mit DORA zu erleichtern, erstellen die europäischen Finanzbehörden gemeinsam technische Regulierungsstandards mit Details zu allen Anforderungen. Die ersten dieser Standards sind inzwischen als Entwurf verfügbar.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Incident Management, Klassifizierung & Reporting
Der ungestörte Betrieb wichtiger Finanzdienstleistungen ist von entscheidender Bedeutung für den europäischen und globalen Markt. Ein Ausfall infolge einer Störung oder eines Angriffs hätte erhebliche Folgen für die Kunden des jeweiligen Anbieters sowie die Wirtschaft im Allgemeinen.
Um dies zu verhindern, legt die EU mit DORA strenge Regeln für den richtigen Umgang sowie die rasche Meldung von IT-Vorfällen fest. Damit verfolgt die Union drei Ziele:
Die rasche Erkennung und umgehende Reaktion auf IT-Vorfälle sicherzustellen
Die zeitnahe Meldung von Vorfällen an Behörden und Konsumenten zu garantieren
Den Austausch von Informationen bezüglich neuer Bedrohungen zu fördern
Finanzunternehmen müssen einen Prozess zur Behandlung von IT-Vorfällen einrichten, um diese schnell zu erkennen und zu beheben.
Vorfälle müssen erfasst und aufgearbeitet werden, um ihre Ursachen zu ermitteln und ihr erneutes Auftreten zu verhindern.
Finanzunternehmen müssen Krisenkommunikationspläne erstellen, um Mitarbeiter und externe Interessenträger wie Behörden und Medien zu informieren.
Finanzunternehmen müssen schwerwiegende IT-Vorfälle an die zuständige Aufsichtsbehörde melden.
Dazu müssen Unternehmen eine Erstmeldung innerhalb von 24 Stunden, eine Zwischenmeldung innerhalb von 72 Stunden und eine abschließenden Bericht innerhalb eines Monats abgeben.
Finanzunternehmen können Behörden auf freiwilliger Basis über erhebliche Cyberbedrohungen informieren, wenn sie diese als für das Finanzsystem relevant einschätzen.
Falls ein IT-Vorfall sich auf die finanziellen Interessen ihrer Kunden auswirkt, müssen Unternehmen diese über den Vorfall und die dagegen getroffenen Maßnahmen informieren.
Finanzunternehmen müssen potenziell betroffene Kunden zudem über Schutzmaßnahmen informieren, die diese zur eigenen Sicherheit ergreifen können.
Vorfälle müssen erfasst und aufgearbeitet werden, um ihre Ursachen zu ermitteln und ihr erneutes Auftreten zu verhindern.
Finanzunternehmen müssen Krisenkommunikationspläne erstellen, um Mitarbeiter und externe Interessenträger wie Behörden und Medien zu informieren.
Die europäischen Aufsichtsbehörden veröffentlichen bis zum 17 Juli 2024 eine Vorlage für die Meldung von IT-Vorfällen.
Tests der digitalen Resilienz
Um die Effektivität der von DORA geforderten Sicherheitsmaßnahmen zu gewährleisten, verpflichtet die Verordnung Firmen zudem zum Test der IT-Sicherheit auf unterschiedlichen Wegen, darunter Schwachstellenscans und Penetrationstests.
Durch diese Überprüfung möchte DORA zwei Dinge sicherstellen:
Die unabhängige Kontrolle der Wirksamkeit des IT-Risikomanagements von Finanzfirmen.
Die kontinuierliche Verbesserung der Schutzmaßnahmen auf Basis der Ergebnisse.
Es sind grundlegende Tests jährlich sowie erweiterte, bedrohungsorientierte Penetrationstests alle drei Jahre vorgeschrieben. Diese Vorgabe gilt für alle IT-Systeme, die wichtige bis kritische Geschäftsprozesse unterstützen.
Finanzunternehmen müssen als Teil ihres Frameworks für Risikomanagement ein Programm für Tests der digitalen operationalen Resilienz implementieren.
Bei der Auswahl und Ausführung angemessener Tests folgen Finanzunternehmen einem risikobasierten Ansatz. Zu den möglichen Tests zählen Schwachstellenscans, Open-Source-Analysen, Gap-Analysen, Netzwerk-Sicherheitsbewertungen, Kontrollen der physischen Sicherheit, Penetrationstests und weitere.
Die ausgewählten Tests müssen mindestens einmal pro Jahr auf allen IT-Systemen durchgeführt werden, die wichtige Geschäftsprozesse unterstützen. Aufgedeckte Schwachstellen müssen behoben werden.
Für die Durchführung der Tests müssen Unternehmen unabhängige Parteien beauftragen, ob intern oder extern.
Finanzunternehmen müssen alle drei Jahre bedrohungsorientierte Penetrationstests (Threat Led Penetration Tests) an Live-Produktionssystemen durchführen, die wichtige oder kritische Funktionen des Unternehmens unterstützen.
Für diese Penetrationstests müssen Firmen auf qualifizierte und angesehene Tester zurückgreifen, die über das nötige Fachwissen im Bereich Bedrohungsanalyse und Penetrationstests verfügen.
Der Einsatz interner Tester ist nur nach Freigabe durch die jeweilige Aufsichtsbehörde möglich, wenn sichergestellt ist, dass es bei der Konzeption und Durchführung zu keinen Interessenskonflikten kommt.
Bei der Auswahl und Ausführung angemessener Tests folgen Finanzunternehmen einem risikobasierten Ansatz. Zu den möglichen Tests zählen Schwachstellenscans, Open-Source-Analysen, Gap-Analysen, Netzwerk-Sicherheitsbewertungen, Kontrollen der physischen Sicherheit, Penetrationstests und weitere.
Die ausgewählten Tests müssen mindestens einmal pro Jahr auf allen IT-Systemen durchgeführt werden, die wichtige Geschäftsprozesse unterstützen. Aufgedeckte Schwachstellen müssen behoben werden.
Für die Durchführung der Tests müssen Unternehmen unabhängige Parteien beauftragen, ob intern oder extern.
Umgang mit Drittparteien-Risiko
Für die Einhaltung von DORA müssen Finanzunternehmen sich nicht nur um ihre eigene IT-Sicherheit kümmern, sondern auch die Risiken im Umgang mit externen Dienstleistern minimieren. Dazu müssen Firmen ein Register aller Drittanbieter führen, deren Dienste sie nutzen. Bei der Auswahl von Anbietern müssen Firmen ihrer Sorgfaltspflicht nachkommen und Risiken, Alternativen sowie Ausstiegsstrategien evaluieren.
Finanzunternehmen müssen durch DORA bei der Auswahl von Dienstleistern auf eine angemessenes Sicherheitsniveau achten und gleichzeitig die Konzentration von IT-Risiken vermeiden, indem sie wenn möglich mehrere Anbieter verwenden. Damit verfolgt die Verordnung zwei Ziele:
Das Risiko von Supply-Chain-Angriffen auf den Finanzsektor zu verringern
Die möglichen Folgen eines Ausfalls einzelner Dienstleister zu minimieren
Finanzunternehmen müssen eine Strategie für das Drittparteienrisiko ihrer IT entwickeln und regelmäßig überprüfen, einschließlich einer Leitlinie für Dienstleistungen, die wichtige Geschäftsfunktionen unterstützen.
Finanzunternehmen müssen ein Register aller von ihnen genutzten IT-Dienstleister erstellen und darin jene hervorheben, die wichtige bzw. kritische Funktionen unterstützen. Das Register ist auf Anfrage mit den Behörden zu teilen.
Finanzunternehmen müssen Behörden jährlich über neue Vereinbarungen mit IT-Dienstleistern informieren. Sie unterrichten Behörden zeitnah über jede Vereinbarung, die wichtige Funktionen unterstützt.
Bevor sie einen Vertrag mit IT-Dienstleistern abschließen, müssen Finanzunternehmen diese sorgfältig evaluieren, eventuelle Risiken beurteilen und mögliche Interessenskonflikte identifizieren.
Finanzunternehmen dürfen nur Verträge mit IT-Dienstleistern abschließen, die angemessene Standards für Informationssicherheit einhalten.
Finanzunternehmen müssen vorab die Häufigkeit und den Umfang von Audits der Dienstleister festlegen.
Bei der Auswahl von Dienstleistern, die wichtige/kritische Funktionen unterstützen müssen Unternehmen vorab potenzielle Gefahren durch die Konzentration von IT-Risiken oder die Weitergabe an Unterauftragnehmer evaluieren.
Finanzunternehmen müssen sicherstellen, dass Verträge mit Drittdienstleistern unter bestimmten Bedingungen aufgelöst werden können. Dazu zählen Verstöße gegen Gesetze und Vetragsbestimmungen, nachweisliche Schwächen der IT-Sicherheit oder die beeinträchtigte Erfüllung von Aufgaben.
Für Anbieter, die wichtige Geschäftsfunktionen unterstützen, müssen Finanzunternehmen vorab Ausstiegsstrategien entwickeln, die eine Auflösung der Verträge ohne Beeinträchtigung der Geschäftstätigkeit und Compliance erlauben.
Diese Ausstiegsstrategien (Exit Strategy) müssen dokumentiert, ausreichend getestet und regelmäßig überprüft werden.
Finanzunternehmen müssen alternative Anbieter identifizieren und Übergangspläne erstellen, um Services an andere Anbieter bzw. in das eigene Unternehmen zu übertragen.
Finanzunternehmen müssen Notfallpläne zur Fortführung der Geschäfte beim Ausfall eines Drittdienstleisters haben.
Verträge mit IT-Dienstleistern müssen mindestens folgende Punkte enthalten:
– die vollständige Beschreibung der erbrachten Leistung
– die Regionen und Länder, in denen Services erbracht und Daten verarbeitet werden
– Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten
– Bedingungen für die Teilnahme des Dienstleisters an Schulungen zur IT-Sicherheit und Resilienztests
– die Verpflichtung des Dienstleisters, bei IT-Vorfällen im Zusammenhang mit der von ihnen erbrachten Leistung Unterstützung zu leisten und mit den Behörden zu kooperieren
Verträge mit IT-Dienstleistern, die wichtige Funktionen unterstützen, müssen zudem enthalten:
– quantitive und qualitive Leistungsziele, um die Qualität der Dienstleistung wirksam zu überwachen und bei Bedarf mit Korrekturmaßnahmen einzugreifen
– die Verpflichtung des Dienstleisters, das Unternehmen über alle Entwicklungen zu informieren, die die Erbringung des vereinbarten Leistungsniveaus beeinträchtigen könnten
– die Anforderung an den Dienstleister, ein angemessenes Sicherheitsniveau einzuhalten und Notfallpläne für die Geschäftsfortführung zu implementieren
– das Recht, den Dienstleister fortlaufend zu überwachen, einschließlich Zugang für Inspektionen und Audits vor Ort
Finanzunternehmen müssen ein Register aller von ihnen genutzten IT-Dienstleister erstellen und darin jene hervorheben, die wichtige bzw. kritische Funktionen unterstützen. Das Register ist auf Anfrage mit den Behörden zu teilen.
Finanzunternehmen müssen Behörden jährlich über neue Vereinbarungen mit IT-Dienstleistern informieren. Sie unterrichten Behörden zeitnah über jede Vereinbarung, die wichtige Funktionen unterstützt.
Von DORA regulierte Unternehmen, die Teile ihrer IT an Dienstleister auslagern, tragen weiterhin die letztliche Verantwortung für die Einhaltung der Verordnung.
Anforderungen an kritische Dienstleister
Die meisten Anforderungen von DORA richten sich an Unternehmen in der Finanzbranche. Darüber hinaus gibt die Verordnung jedoch auch den europäischen Aufsichtsbehörden die Aufgabe, kritische IT-Dienstleister zu identifizieren, deren Ausfall erhebliche Folgen für den Finanzsektor hätte.
Die Einstufung als kritischer Dienstleister erfolgt anhand mehrerer Faktoren: Der Zahl an Finanzunternehmen, die einen Anbieter nutzen, den möglichen Folgen eines Ausfalls, sowie der Verfügbarkeit von Alternativen. Firmen, die als kritische Dienstleister eingestuft wurden, müssen folgende Anforderungen erfüllen.
Die europäischen Aufsichtsbehörden (ESAs) veröffentlichen eine jährlich aktualisierte Liste an kritischen IT-Dienstleistern in der EU. Anbieter, die neu als kritisch eingestuft werden, werden von den Behörden innerhalb von 6 Wochen über die Entscheidung informiert.
Die ESAs bewerten, ob ein kritischer Dienstleister über wirksame Regeln, Prozesse und Mechanismen für das Management seiner IT-Risiken verfügt.
Diese Bewertung berücksichtigt Prozesse für das Risikomanagement, Governance-Strukturen, die Erfüllung von nationalen und internationalen Standards, physische Sicherheitsmaßnahmen, den Umgang mit Vorfällen sowie Audits und Tests der IT.
Die ESAs erstellen einen individuellen Überwachungsplan für jeden kritischen Dienstleister, welcher Ziele und Kontrollmaßnahmen festlegt. Der Überwachungsplan wird jährlich an den Dienstleister kommuniziert.
Dienstleister können innerhalb von 15 Tagen auf den vorgelegten Plan antworten, falls sich dieser negativ auf Kunden außerhalb der Finanzbranche auswirkt, und Lösungen zur Minderung dieses Risikos vorschlagen.
Um ihrer Aufsichtspflicht nachzukommen, dürfen ESAs Informationen von kritischen Dienstleistern anfordern, Aufzeichnungen und relevantes Material verlangen, Statements einholen, Personen befragen und Inspektionen vor Ort durchführen.
Behörden müssen Anbieter im voraus über vor-Ort Inspektionen informieren, es sei denn dies ist aufgrund einer Krisensituation nicht möglich oder gefährdet die Wirksamkeit des Audits.
Kritische IT-Dienstleister müssen mit den Behörden kooperieren und sie bei der Erfüllung ihrer Aufgaben unterstützen.
Nach Vorfällen, Untersuchungen oder Inspektionen können Behörden Empfehlungen an kritische Dienstleister aussprechen, um festgestellte Risiken und Mängel zu beheben.
Anbieter müssen Behörden innerhalb von 60 Tagen melden, dass sie die Umsetzung der Empfehlung planen, oder eine begründete Erklärung abgeben, warum dies nicht möglich ist.
Setzt ein Dienstleister Empfehlungen nicht um, ohne eine ausreichende Erklärung abgegeben zu haben, können die ESAs Finanzunternehmen vor der Nutzung des Dienstleisters warnen oder im schlimmsten Fall sogar die Auflösung bestehender Vertragsverhältnisse anordnen.
Falls ein kritischer Dienstleister die DORA-Anforderungen nicht erfüllt und nicht mit Behörden kooperiert, können diese für bis zu sechs Monate eine tägliche Strafzahlung verhängen.
Die Höhe des Zwangsgelds beträgt bis zu 1% des durchschnittlichen Tagesumsatzes aus dem vergangenen Geschäftsjahr.
Bei der Festlegung der Strafzahlung berücksichtigen Behörden Dauer und Schweregrad des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde und inwieweit der Dienstleister mit den Behörden kooperiert.
Die ESAs bewerten, ob ein kritischer Dienstleister über wirksame Regeln, Prozesse und Mechanismen für das Management seiner IT-Risiken verfügt.
Diese Bewertung berücksichtigt Prozesse für das Risikomanagement, Governance-Strukturen, die Erfüllung von nationalen und internationalen Standards, physische Sicherheitsmaßnahmen, den Umgang mit Vorfällen sowie Audits und Tests der IT.
DORA Compliance & Zugriffskontrolle
Um ihre IT DORA-konform zu verwalten, müssen Finanzunternehmen sicherstellen, dass die eigenen Mitarbeiter nur Zugriff auf Informationen haben, die für ihre Aufgabe zwingend erforderlich sind. Diese Anforderung ist auch als Least Privilege Prinzip bezeichnet und ist ein Eckpfeiler moderner Sicherheitsstrategien wie Zero Trust.
DORA Compliance erfordert also, den richtigen Personen zur richtigen Zeit Zugriff auf die richtigen Ressourcen zu geben. Doch wie können Firmen dies bewerkstelligen? Der einfachste Weg zu Sicherheit, Effizienz und Compliance liegt in der Nutzung einer Software für Identity und Access Management.
Bei einer IAM Lösung legen Firmen im Vorfeld Berechtigungsrollen fest, welche die Standardrechte für Personen in unterschiedlichen Abteilungen oder Standorten festlegen. Neue Benutzer, die zu einer Rolle hinzugefügt werden, erhalten automatisch alle vorgesehenen Rechte. Ändert sich die Rolle oder verlässt der User das Unternehmen, werden Rechte automatisch wieder entzogen.
Automatische Provisionierung ist die einzige Möglichkeit sicherzustellen, dass jeder User über die richtigen Zugriffsrechte verfügt. Die Verwendung automatischer Lösungen für Identity Governance ist deshalb von DORA in den technischen Regulierungsstandards vorgeschrieben.
DORA Anforderungen an das Access Management:
Automatische Lösungen für das User Lifecycle Management
Vergabe von Zugriffsrechten anhand des Least-Privilege-Prinzips
Strikte Funktionstrennung um den Missbrauch von Rechten zu verhindern
Umgehende Löschung von Zugriffsrechten, wenn diese nicht mehr benötigt werden
Kontrolle von Rechten durch User Access Reviews alle sechs Monate für kritische Systeme
tenfold: Access Management leicht gemacht
Mit DORA wird striktes Zugriffsmanagement mehr noch als bisher zur unvermeidbaren Pflicht für Finanzunternehmen in der EU. Doch Firmen stehen vor einem Problem: typische Governance-Lösungen sind teuer und ineffizient. Langwierige Programmierarbeit macht Produkte aus dem Enterprise-Segment zu komplex und aufwändig für mittelständische Organisationen.
Die gute Nachricht: Mit tenfold haben wir eine No-Code IAM Lösung geschaffen, die es Ihnen erlaubt Zugriffsrechte binnen weniger Wochen unter Kontrolle zu bringen! Mit automatischem On/Offboarding, laufender Rezertifizierung und detailliertem Reporting ist der DORA-konforme Zugriff garantiert – und das ohne aufwändiges Setup oder lange Implementierung!
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!