DORA

DORA: Eine Chance für höhere Cybersicherheit in der Finanzbranche

DORA: Eine Chance für höhere Cybersicherheit in der Finanzbranche

Von James Tucker, Head of CISO International bei Zscaler

Verordnungen sind ein wichtiges Instrument zur Erhöhung der Cyber Security in regulierten Branchen angesichts der konstanten Evolution der Bedrohungslage. Das regulatorische Umfeld sollte allerdings ebenfalls Innovationen berücksichtigen, um eben diesen Cybergefahren Herr werden zu können. Der geplante Digital Operational Resilience Act (DORA) der Europäischen Union (EU), der ab dem 17. Januar 2025 in allen 27 Mitgliedstaaten gelten wird, verfolgt genau dieses dringend notwendige Ziel verstärkter Cyberresilienz-Praktiken in der Finanzdienstleistungsbranche. Denn das Finanzwesen ist mitunter dem höchsten Risiko von Cyberbedrohungen sowohl durch private als auch durch staatliche Akteure ausgesetzt.

Einheitlicher Ansatz und transparente Umsetzung

James Tucker, Head of CISO International bei Zscaler

Die Umsetzung von DORA wird von den europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs), den zuständigen nationalen Behörden der Mitgliedsstaaten (National Competent Authorities, NCAs) und der Europäischen Kommission gesteuert. Während erstere die Aufgabe haben, eine Reihe von technischen Regulierungs- (RTS) und Durchführungsstandards (ITS) zu veröffentlichen, um die Anforderungen von DORA detailliert zu definieren, fällt die Durchsetzung der Verordnung in die Zuständigkeit der nationalen Behörden der jeweiligen EU-Mitgliedstaaten. Diese stellen sicher, dass die Finanzunternehmen die strengen Richtlinien von DORA einhalten. Die Verordnung schafft einen einheitlichen Rahmen für das IKT-Risikomanagement über 27 Mitgliedsstaaten hinweg und löst damit das Regiment verschiedenster EU-Finanzaufsichtsbehörden ab. DORA standardisiert, wie Finanzunternehmen Cybersicherheitsvorfälle melden, ihre digitale operative Widerstandsfähigkeit testen und IKT-Risiken gegenüber Dritten verwalten.

Ein einheitlicher Ansatz zur Bewertung und Durchsetzung der Verordnung in allen 27 Mitgliedsstaaten war aus den folgenden Gründen dringend erforderlich:

  1. Viele Finanzunternehmen sind grenzüberschreitend tätig und Cyberbedrohungen operieren ebenfalls grenzenlos. Eine uneinheitliche Durchsetzung von DORA würde bedeuten, dass Finanzunternehmen für das Verständnis und die Einhaltung unterschiedlicher, lokaler Compliance-Maßnahmen Ressourcen einplanen müssten, die sie anderswo zur Erhöhung der Sicherheit und zur Verhinderung von Cyberangriffen einsetzen können.

  2. Uneinheitliche Cybersicherheitsanforderungen führen in den einzelnen Ländern dazu, dass Unternehmen uneinheitliche Sicherheitsmaßnahmen umsetzen, die Cyberangreifern Möglichkeiten bieten. Deshalb ist es begrüßenswert, dass die zweiten RTS-/ITS-Mandate der ESAs im Rahmen von DORA Leitlinien für die Zusammenarbeit zwischen den ESAs und den NCAs bei der Aufsicht enthalten. Die Befolgung dieser Richtlinien für die Zusammenarbeit wird entscheidend sein, damit Organisationen die Konsistenz beim Management der Resilienz-Verpflichtungen im Rahmen von DORA gewährleisten können. Ein Beispiel für die NCA-Konsistenz sind die Anforderungen an das Penetration Testing, das mindestens alle drei Jahre umgesetzt werden muss. Dabei wird Wert auf fortschrittliche Testmethoden gelegt (zum Beispiel TLPT) und vermieden, dass die betroffenen Finanzorganisationen 27 verschiedenen Testmethoden nachkommen müssen, wenn sie in allen Ländern tätig sind.

Schließlich sieht DORA vor, dass die Europäische Kommission bis 2028 eine Überprüfung durchführt und dem Europäischen Parlament und dem Rat einen Bericht über die Wirksamkeit der wichtigsten Abschnitte der Verordnung vorlegt und gegebenenfalls Rechtsvorschriften vorschlägt. Die Kommission sollte dabei alle relevanten Interessengruppen, einschließlich Finanzunternehmen und Cybersicherheitsexperten, in eine offene und transparente Konsultation einbeziehen, um die Umsetzung von DORA zu stärken und sicherzustellen, dass die Verordnung der technologischen Entwicklung Rechnung trägt. Denn durch die künstliche Intelligenz (KI) erhalten Bedrohungsakteure neue Tools und Maßnahmen zur Gestaltung ihrer Angriffe an die Hand, die sie in beängstigender Geschwindigkeit fortentwickeln können. Dementsprechend müssen Regularien und die Sicherheitsspezialisten mit diesen Entwicklungen Schritt halten können.

Vorbereitung auf DORA

Der beste Weg für die Vorbereitung auf die Gesetzgebung besteht in der Vereinfachung der Assets. Die Einhaltung von Vorschriften ist bereits kompliziert genug und wenn Unternehmen zusätzlich ihre aufgeblähte Infrastruktur verwalten müssen, wird es nicht einfacher. Statt Regularien wie DORA als einmalige Pflichtübung zu betrachten, sollten IT-Teams nach der Vereinfachung und Konsolidierung ihrer Infrastruktur streben, um den ganzheitlichen Überblick zurückzuerhalten.

Die Vereinfachung sollte sich auch auf die Reduktion ihrer Infrastrukturanbieter erstrecken. Ein Unternehmensportfolio aus unzähligen verschiedenen Sicherheitsanbietern für Firewalls und VPN kann beispielsweise durch einen Ansatz abgelöst werden, bei dem alle Anwendungen und Lösungen über eine zentrale Plattform laufen. Dies gewährt nicht nur einen besseren Überblick über die Infrastruktur, es ermöglicht auch die Umsetzung eines Zero-Trust-Modells, um mögliche Seitwärtsbewegungen von Eindringlingen im Unternehmensnetz zu verhindern und den potenziellen „Explosionsradius“ eines Cyberangriffs zu kontrollieren.

Bedrohungsakteure sind kontinuierlich mit der Weiterentwicklung ihrer Angriffe auf KRITIS-Betreiber wie Finanzunternehmen beschäftigt. Deshalb ist der Bedarf an Regularien zur Verbesserung der Sicherheitsinfrastruktur und der Widerstandsfähigkeit wichtiger denn je. Bei richtiger Umsetzung und mit technischer Beratung durch Experten kann DORA dazu beitragen, dass IT-Führungskräfte in der Geschäftsleitungsetage mehr Mitspracherecht erhalten und die nötigen Mittel für Investitionen in eine zukunftsorientierte Sicherheitsstruktur bereitgestellt bekommen.