Digital Operational Resilience Act (DORA) der EU

Pure Storage erläutert, wie sich Finanzdienstleister auf eine verschärfte Aufsicht in einer sich verändernden Regulierungslandschaft in der EU in Sachen Data Protection vorbereiten können

In einem aktuellen Whitepaper „Strengthening Operational Resilience in Financial Services “ untersuchte Pure Storage, wie sich die operative Resilienz (OR), also betriebliche Widerstandsfähigkeit, zu einem der wichtigsten Themen in der Finanzbranche entwickelt hat. Das Wachstum der vernetzten Systeme und die ständig wachsende Bedrohung durch Cyberkriminalität und andere Herausforderungen haben deutlich gemacht, dass viel mehr getan werden muss, um das Thema OR anzugehen.

Die Regulierungsbehörden der Branche haben dies erkannt und machen die Resilienz zu einem Kernstück ihrer Aktivitäten. Dies gilt insbesondere in der EU mit dem Digital Operational Resilience Act (DORA). Im Folgenden sind die wichtigsten Punkte beschrieben, die jedes Finanzdienstleistungsunternehmen kennen sollte, und die erforderlichen Schlüsselelemente rund um Data Management und Data Protection, um auf eine sich verändernde Regulierungslandschaft zu reagieren.

Fünf Erkenntnisse für Finanzdienstleistungsunternehmen aus der EU-DORA

Der Digital Operational Resilience Act (DORA) der EU ist der umfassendste Ansatz für OR und Cybersicherheit, den eine überstaatliche Regulierungsbehörde verfolgt. Die vollständige Umsetzung ist für das Jahr 2025 geplant, so dass es von entscheidender Bedeutung ist, dass Unternehmen jetzt Schritte durchführen, um vorbereitet zu sein.

Pure Storage nennt fünf Dinge, die jedes Unternehmen, das im Finanzdienstleistungssektor tätig ist, über DORA wissen muss:

Fünf Säulen

Dies könnte die weitreichendste Verordnung sein, die jemals erlassen wurde. Zu den fünf Säulen von DORA gehören:

• Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT)
• Berichterstattung über Vorfälle
• Prüfung der digitalen operativen Resilienz
• Risikomanagement für Dritte
• Gemeinsame Nutzung von Informationen

Weitreichende Auswirkungen auf das gesamte Ökosystem

Die Breite und Tiefe von DORA ist beispiellos. Das Gesetz gilt für Banken, Versicherungen, Wertpapierfirmen und dergleichen, aber auch für kritische Drittparteien. Damit soll sichergestellt werden, dass Risiken, die sich aus der zunehmenden Abhängigkeit von Unternehmen ergeben, die Dienstleistungen und Support anbieten, wie z. B. Cloud-Service-Provider, ISVs und Zahlungsabwickler, direkt auf der Ebene des Service-Providers und nicht auf der Ebene der einzelnen Unternehmen behandelt werden.

Harmonisierung und Ausweitung bestehender Vorschriften

Das erste Ziel von DORA ist die Harmonisierung der bestehenden Vorschriften in der EU. Es geht aber noch viel weiter und erweitert den Regelungsbereich und die Anforderungen drastisch. So führt DORA beispielsweise strengere Meldepflichten für Cybersicherheitsvorfälle ein und schreibt strenge Fristen für die Meldung vor.

Unternehmensweite Auswirkungen

Im Gegensatz zu früheren Ansätzen im Bereich der Cybersicherheit ist die Einhaltung von DORA nicht nur eine Frage der IT. Die Unternehmen müssen einen unternehmensweiten Ansatz verfolgen und von Anfang an die Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und die IT-Abteilung einbeziehen.

Vorbereitung auf die Einhaltung von DORA

Die Durchsetzung von DORA ist für 2025 geplant, daher müssen Finanzdienstleister daran arbeiten, einen reibungslosen Übergang zu gewährleisten. Es ist wichtig, dass die Unternehmen jetzt handeln, damit sie die notwendigen Änderungen rechtzeitig umsetzen können.

Die wichtigsten „To-dos“ für die OR-Bereitschaft

Wissen und Handeln sind zwei sehr unterschiedliche Dinge, und das gilt sicherlich für die weitreichenden und oft komplizierten Mandate in der EU.

• Eine weitreichende Regulierung erfordert eine umfassendere Sichtweise. Diese neuen OR-Regelungen erlegen einem Unternehmen eine breite Palette neuer Anforderungen auf. Der erweiterte Geltungsbereich bedeutet, dass mehr Bereiche des Unternehmens in die Formulierung und Durchführung von Maßnahmen zur Verbesserung der Resilienz einbezogen werden müssen. Es ist ratsam, einen Blick auf die künftigen Anforderungen zu werfen und dann ein Instrumentarium und Verfahren zu entwerfen und aufzubauen, die alle relevanten Parteien einbeziehen, wobei der Schwerpunkt auf den neuen Bereichen liegt, die einbezogen werden müssen. Alte Messgrößen müssen unter Umständen entweder verworfen oder grundlegend überarbeitet werden, um Prozesse und Leistung mit den neuen Anforderungen in Einklang zu bringen.
• Fokus auf Cybersicherheit. Im Mittelpunkt der neuen Resilienz-Bemühungen steht die Cybersicherheit, wobei der Schwerpunkt auf der Sensibilisierung und der Vorbereitung auf Ransomware-Angriffe sowie auf der rechtzeitigen und gründlichen Meldung von Vorfällen liegt. Unternehmen müssen über Pläne zur Aufrechterhaltung und Wiederherstellung kritischer Geschäftsprozesse sowie über einen Einblick in ihre Datenpipelines und wichtigen Arbeitsabläufe verfügen, um Anomalien zu erkennen und die Vorbeugung und Eindämmung von Sicherheitsvorfällen zu verbessern.
• Daten sind das Herzstück eines jeden Unternehmens. Eine hilfreiche Methode zur Bewältigung einer neuen Herausforderung besteht darin, sie in ihre Bestandteile zu zerlegen, um nicht von der Komplexität überwältigt zu werden. Im Falle dieser neuen Regelungen sind Daten der gemeinsame Nenner. Daten sind das ultimative Ziel der meisten Angreifer und das grundlegende Element, das für die Gewährleistung der Widerstandsfähigkeit erforderlich ist, insbesondere in Bezug auf das IKT-Risikomanagement. Die Verwaltung, die Zugänglichkeit und der Schutz von Daten müssen im Mittelpunkt eines jeden Plans stehen.

Ein großer Sprung nach vorn für die Regulierung

Der Digital Operational Resilience Act (DORA) der EU stellt einen großen Sprung in der Regulierung der Finanzdienstleistungsbranche dar. Darüber hinaus rücken die Termine für ihre Umsetzung näher, so dass Vorbereitungen und Maßnahmen unerlässlich sind. Die Stärkung der OR innerhalb des Finanzdienstleistungssektors ist ein notwendiges und lobenswertes Ziel, aber es wird nicht ohne große Kosten kommen, sowohl in Bezug auf Zeit als auch auf Ressourcen.

Mit der Hilfe von Data Management-Experten können Finanzdienstleister die Komplexität von DORA bewältigen und auf eine sicherere und widerstandsfähigere Zukunft hinarbeiten. Moderne Lösungen unterstützen die betriebliche Ausfallsicherheit von vornherein. Mit einer All-Flash-Konfiguration lassen sich beispielsweise Geschwindigkeit, Einfachheit und Flexibilität maximieren. Integrierte Datenschutzfunktionen sowie ein Ransomware-Recovery-SLA und ein Zero Data Loss-Garantie stellen sicher, dass die Wiederherstellung im Falle einer Störung optimiert und maximale Datensicherheit gewährleistet ist.