Finanzdienstleistungsorganisationen stehen vor der Herausforderung, ihre betriebliche Widerstandsfähigkeit angesichts einer Reihe neuer Vorschriften zu verbessern, deren Auswirkungen weit über den Sektor hinausgehen werden.
Der Digital Operational Resilience Act (DORA) konsolidiert und erweitert bestehende Cybersicherheits- und Betriebsresilienzregeln für in der Europäischen Union tätige Finanzdienstleistungsunternehmen.
Genauer gesagt führt DORA spezifische und präskriptive Anforderungen an das Risikomanagement der Informations- und Kommunikationstechnologie (IKT) und die Meldung von Vorfällen ein. Die Verordnungen wurden im Januar 2023 vom EU-Rat genehmigt und begannen mit einer 24-monatigen Umsetzungsfrist.
Sowohl Unternehmen des Finanzsektors als auch ihre IKT-Technologielieferanten (z. B. Cloud-Plattformen und Datenanalyseanbieter) haben bis zum 17. Januar 2025 Zeit, die neuen Vorschriften einzuhalten.
Will Richmond-Coggan, Partner der britischen Anwaltskanzlei Freeths und Spezialist für Datenschutz gelesen. und Cyber-Rechtsstreitigkeiten, kommentierte: „Die Notwendigkeit dieser Regulierung wurde durch die zunehmende Abhängigkeit von Finanzinstituten von ihren digitalen Systemen und die Vernetzung dieser Systeme im gesamten Finanzsektor vorangetrieben.
Banken sind seit langem verpflichtet, das operationelle Risiko durch Prüfungen, Kontrollen und Zugang zu ausreichend Kapital zu steuern. Maßnahmen zur Gewährleistung der betrieblichen Widerstandsfähigkeit angesichts des wachsenden Problems von Malware-Angriffen und kriminellem Hacking sind weniger ausgereift, ein Mangel, den die DORA-Verordnungen beheben sollen.
„Es ist klar, dass der Hauptgrund für die Gesetzgebung darin besteht, Konsistenz und Sicherheit hinsichtlich der technologischen Widerstandsfähigkeit aller Unternehmen im europäischen Finanzsektor sowie ihrer Vermittler, Tochtergesellschaften und Drittanbieter zu schaffen“, sagte Richmond-Coggan gegenüber ISMS.com . „Die Gesetzgebung zielt darauf ab, die Transparenz von Vorfällen und die Robustheit des Systems zu verbessern, indem die Mindesterwartungen an Finanzdienstleistungsunternehmen erhöht werden.“
Fünf Säulen
Die fünf Hauptpfeiler der Gesetzgebung umfassen Themen wie: Risikomanagement, Vorfallberichterstattung, standardisierte Resilienztests, Informationsaustausch und das Management von Risiken Dritter.
Die Verordnung bietet die Möglichkeit, die Robustheit des Sektors insgesamt zu verbessern, aber nur, wenn „Organisationen die Möglichkeiten nutzen, Informationen zu bündeln und.“ Bedrohungsanalyse „Wir helfen uns gegenseitig dabei, Schwachstellen zu identifizieren und anzugehen“, schloss Richmond-Coggan.
Luke Dash, Geschäftsführer von ISMS.online, kommentierte: „Einer der entscheidenden Grundsätze von DORA ist, dass Organisationen einen proaktiven Ansatz verfolgen müssen, der eine kontinuierliche Risikoerkennung und die Einrichtung robuster Schutz- und Präventionsmaßnahmen umfasst.“
Dash fuhr fort: „Dies wird es Unternehmen ermöglichen, Schwachstellen, Mängel oder Lücken in ihren digitalen Abläufen umgehend zu erkennen und zu beseitigen und so die Integrität und Sicherheit ihrer Systeme zu gewährleisten.“
John Elliott, Sicherheitsberater beim Anbieter von Web-Sicherheitstools Jscrambler, sagte, dass die Einführung von DORA bedeuten werde, dass Unternehmen, anstatt einfach nur präventive Kontrollen einzurichten, gezwungen sein werden, eine „ganzheitlichere Sichtweise einzunehmen, die Erkennung, Reaktion und Wiederherstellung umfasst“.
„Außerdem müssen Unternehmen nicht nur über belastbare Systeme verfügen, sondern auch ihre Belastbarkeit testen und nachweisen“, fügte Elliott hinzu.
Grundsteinlegung
Standards wie ISO 27001 kann eine entscheidende Rolle bei der Unterstützung von Organisationen bei der Einhaltung des Digital Operational Resilience Act (DORA) spielen.
ISO 27001 deckt verschiedene Bereiche ab, die für die DORA-Compliance relevant sind, einschließlich Risikobewertung, Reaktion auf Vorfälle, Geschäftskontinuität und betriebliche Belastbarkeit. „Organisationen, die bereits die ISO 27001-Zertifizierung erhalten oder deren Grundsätze umgesetzt haben, verfügen über eine solide Grundlage, um viele der von DORA geforderten Sicherheits- und Belastbarkeitsaspekte zu bewältigen“, so ISMS. online's Dash erklärt.
„Darüber hinaus steht der Schwerpunkt von ISO 27001 auf einem risikobasierten Ansatz und kontinuierlicher Verbesserung im Einklang mit dem Geist von DORA, da beide Standards ein proaktives Risikomanagement und die kontinuierliche Verbesserung der betrieblichen Widerstandsfähigkeit fördern“, fügte er hinzu.
Dash fuhr fort: „Die Implementierung von ISO 27001 kann Unternehmen dabei helfen, potenzielle Schwachstellen zu identifizieren und zu beheben, ihre Sicherheitslage zu stärken und die notwendigen Prozesse und Kontrollen einzurichten, um die DORA-Anforderungen einzuhalten.“
Andere Experten waren sich einig, dass die Anwendung von ISO 27001 den Grundstein für das ehrgeizigere Ziel der Einhaltung von DORA legt.
Elliott von Jscrambler erklärte: „Da Artikel 5(4) [von DORA] von Organisationen verlangt, ein Informationssicherheits-Managementsystem oder ISMS zu implementieren, wird die Befolgung von Standards wie 27001 für die meisten Organisationen die natürliche Wahl sein, um ihnen sowohl eine Struktur für ihre Informationssicherheit zu geben als auch.“ um einer Aufsichtsbehörde nachweisen zu können, dass sie über ein ISMS verfügen.“
Dash von ISMS.online fügte hinzu, dass durch die Verwendung von 27001 als Sprungbrett „Organisationen ihre Compliance-Bemühungen rationalisieren und ein proaktives Engagement für Informationssicherheit und betriebliche Belastbarkeit demonstrieren können“, ein wesentlicher Aspekt auf dem Weg zur Compliance mit DORA.
„ISO 27001 kann es Unternehmen auch ermöglichen, im Laufe der Zeit andere Standards darüber zu legen, was die Compliance für Unternehmen allgemeiner vereinfacht, wenn sich die Risikolandschaft anpasst“, schloss Dash.
Anglo-Datei
DORA ist eine EU-Verordnung, und da das Vereinigte Königreich nicht zur EU gehört, hat es keine direkten Auswirkungen – zumindest nicht auf das britische Recht. Im Vereinigten Königreich ansässige Unternehmen, die ihre Dienstleistungen Kunden in der EU anbieten, müssen jedoch DORA einhalten.
„Die Regierung hat angekündigt, dass sie Gesetze zur betrieblichen Widerstandsfähigkeit Dritter erlassen wird, und die BOE [Bank of England]/PRA und die FCA [Financial Conduct Authority] haben sich gemeinsam zu diesem Bereich beraten, obwohl noch keine formelle Regelung erschienen ist.“ nach Jscramblers Elliott. „Die Bank verfügt über andere Programme, die mit einigen Aspekten von DORA übereinstimmen, zum Beispiel die Anforderung für Bedrohungs-Lead-Penetrationstests in CBEST.“
ISMS.online forderte das Information Commissioner's Office (ICO) auf, sich dazu zu äußern, wie schnell DORA von britischen Organisationen übernommen werden könnte und ob das ICO eine Rolle bei der Förderung oder Durchsetzung der Verordnung spielen wird. Es lehnte eine Stellungnahme ab.
Hindernisse
Die Einhaltung von DORA dürfte ein großes Projekt sein.
Elliott von Jscrambler kommentierte: „Das größte Problem sehe ich für mittelgroße Finanzinstitute, die zu groß sind, um die Ausnahmen für kleine Firmen und Kleinstunternehmen in Anspruch zu nehmen, die aber bisher keinen so ausgefeilten Ansatz für die Cybersicherheit haben mussten.“ Sie haben nicht viel Zeit, die von der Verordnung geforderten technischen und philosophischen Änderungen vorzunehmen.“
Wie schnell betroffene Organisationen DORA einhalten können, wird von vielen Faktoren beeinflusst, darunter „Unternehmensgröße, Komplexität der Infrastruktur und organisatorische Bereitschaft, neue Arbeitsweisen anzunehmen“ (ISMS). online's Dash erklärt.
„Die DORA-Verordnung enthält viele Anforderungen, darunter die Durchführung von Risikobewertungen, die Stärkung der betrieblichen Widerstandsfähigkeit und die Einrichtung robuster Verfahren zur Reaktion auf Vorfälle“, schloss Dash. „Auf diese Ziele hinzuarbeiten und diese Prozesse ausreichend zu verankern, kann mehrere Monate bis einige Jahre dauern.“
Compliance-Experten und -Plattformen können „dazu beitragen, den Implementierungsprozess zu rationalisieren und eine kontinuierliche Compliance sicherzustellen“, schlussfolgerte Dash.
15-stufige DORA-Checkliste
Laden Sie diese praktische Checkliste mit 15 Schritten herunter, um Ihnen den Einstieg in die Compliance zu erleichtern. Da nur noch 18 Monate bis zum Inkrafttreten des Digital Operational Resilience Act verbleiben, gab es noch nie einen besseren Zeitpunkt, um anzufangen!
