DORA, der Digital Operational Resilience Act (nicht zu verwechseln mit dem Cartoon), tritt am 17. Januar 2025 in Kraft. Wenn Sie im Finanzsektor tätig sind, ist Ihnen die DORA-Verordnung sicherlich bereits bekannt. Doch sollten Sie noch an Ihrer Compliance arbeiten, helfen wir Ihnen gerne dabei, herauszufinden, welche Maßnahmen erforderlich sind. 
 

Als Cybersicherheits-Experte mit Sitz in Europa unterstützt Pointsharp bereits mehrere Organisationen auf ihrem Weg zur DORA-Compliance – und steht auch Ihnen gerne zur Seite. 

 

Atmosphere Meeting

Beginnen wir mit den Grundlagen

Um alle auf denselben Stand zu bringen, wollen wir die Richtlinie in einigen Punkten kurz durchgehen.

  • DORA hat das Ziel, das Risikomanagement und die Cybersicherheit in allen Organisationen des Finanzsektors auf ein höheres Niveau zu heben. Betroffen sind mehr als 20.000 EU-Organisationen aus den Bereichen Banken, Versicherungen, Kreditwesen und verwandten Sektoren.

  • Ein besonderer Schwerpunkt liegt auf dem IKT-Risikomanagement (Informations- und Kommunikationstechnik), insbesondere auf dem Risikomanagement von Drittdienstleistern. Das bedeutet, dass Sie sowohl Ihre eigenen Prozesse als auch alle Drittdienstleisterlösungen in den Bereichen IT, Telekommunikation und Sicherheit verwalten müssen.

  • Die Richtlinie umfasst fünf zentrale Bereiche: IKT-Risikomanagement, Meldung von IKT-bezogenen Vorfällen, IKT-Risikomanagement bei Dritten, kontinuierliche Prüfung der Cybersicherheit und Informationsaustausch.  

  • Die Richtlinie weist viele Ähnlichkeiten mit NIS2 auf, insbesondere im Bereich des Risikomanagements, einer verbesserten allgemeinen Cybersicherheit und der Meldung von Vorfällen. Und ja, wie bei der DSGVO und NIS2 sieht auch DORA Bußgelder bei Nichteinhaltung vor.

Das Hauptziel und der wesentliche Nutzen dieser Verordnung ist natürlich eine insgesamt verbesserte Cybersicherheit, die wiederum zu weniger Vorfällen und Sicherheitsverletzungen führen wird.

Weniger Vorfälle wiederum werden Ihre gesamte Organisation in ein besseres Licht rücken. Sie werden als sicherer und vertrauenswürdiger Akteur in der Finanzbranche wahrgenommen werden.  

Team Work Promo Left

Ist meine Organisation betroffen?

Wenn Ihre Organisation im Finanzsektor tätig ist, ist es sehr wahrscheinlich, dass dies der Fall ist. Das ist Ihnen vermutlich schon bekannt, da DORA bereits seit einigen Jahren diskutiert wird. Die vollständige Liste finden Sie im Amtsblatt der Richtlinie unter Artikel 2. 

Für Drittdienstleister lautet die kurze Antwort: Wenn Sie als IKT-Organisation eingestuft sind und Kunden im Finanzsektor haben, sind auch Sie betroffen und sollten DORA-konform sein. Falls Sie das nicht sind, könnten Sie Aufträge in diesem Sektor verlieren. 

Atmosphere Young Workers

Kann meine Organisation DORA-zertifiziert werden?

Wie die DSGVO verfügt auch DORA nicht über eine offizielle Zertifizierung, sondern setzt auf ein Selbstzertifizierungsverfahren. Befolgen Sie die Vorgaben der Verordnung, melden Sie alle Vorfälle und stellen Sie sicher, dass auch Ihre Drittanbieter diese einhalten. Andernfalls können Bußgelder verhängt werden, wenn Ihre Organisation einem Audit unterzogen wird oder ein Vorfallsbericht zeigt, dass die Vorschriften nicht eingehalten wurden.

Daher ist es entscheidend, mit vertrauenswürdigen Drittdienstleistern zusammenzuarbeiten, die die Vorschriften genauso gut verstehen wie Sie.

Wenn Sie jedoch nach ISO 27001 zertifiziert sind oder die entsprechenden Richtlinien befolgen, sind Sie grundsätzlich gut vorbereitet, müssen sich aber möglicherweise noch an spezifische Anforderungen der DORA-Richtlinie anpassen.

Gleichzeitig wird es für Ihre Organisation, wenn sie auch von der bevorstehenden NIS2-Richtlinie betroffen ist, viel einfacher sein, diese Verordnung einzuhalten, wenn sie bereits alle erforderlichen Schritte für die DORA-Compliance erledigt hat. 

Laptop Promo Left

4 Schritte zur DORA-Compliance

Bei Pointsharp arbeiten wir mit mehreren Organisationen der Finanzbranche zusammen, um diese bei der Einhaltung von Compliance-Anforderungen zu unterstützen. Wir haben eine lange Historie in der Bereitstellung von Lösungen für Hochsicherheitsumgebungen und der Einhaltung komplexer Vorschriften, wie z. B. der DORA-Richtlinie.

Der Weg zur DORA-Compliance ist vielschichtig, doch mit diesen vier Schritten schaffen Sie eine strukturierte und effiziente Umsetzung.

  1. Risikobewertung. Führen Sie eine Risikobewertung durch, um die wichtigsten Vermögenswerte, Systeme und Daten Ihrer Organisation zu identifizieren, die Ihre Aufmerksamkeit und Schutz erfordern. Ermitteln Sie außerdem, welche davon auf Lösungen von Drittanbietern angewiesen sind.

  2. Entwickeln Sie Richtlinien und Verfahren, die den Anforderungen der DORA-Richtlinie und den Best Practices der Branche entsprechen.

  3. Überprüfen Sie Ihre Drittdienstleister und deren Position zur Compliance mit DORA. Wenn einige Lösungen ersetzt werden müssen, wählen Sie gesetzeskonforme Alternativen, die sich schnell bereitstellen lassen und flexibel genug sind, um in Ihre bestehende Infrastruktur zu passen.

  4. Schulen Sie Ihre Mitarbeiter und schaffen Sie ein Bewusstsein für die Bedeutung von Sicherheit und DORA-Compliance. Führen Sie fortlaufende Bewertungen Ihrer Infrastruktur durch, um stets alles in optimalem Zustand zu halten. 

Website Promo Right

Wenn Sie Hilfe bei der Navigation durch die DORA-Verordnung oder bei der Lösung spezifischer Probleme benötigen, um gesetzeskonform zu werden, können Sie sich jederzeit an uns wenden. Wir helfen Ihnen gerne weiter. Selbstverständlich können wir Ihnen auch bei der Einhaltung anderer Vorschriften, wie NIS2, oder bei Ihren individuellen Anforderungen an eine verbesserte Cybersicherheit auf benutzerfreundliche Weise behilflich sein. 

Jetzt Termin vereinbaren