Wie sich Unternehmen auf die Umsetzung von DORA vorbereiten können
Inhaltsverzeichnis:
Finanzinstitute und IT-Dienstleister haben nur sechs Monate Zeit, um dieDer Digital Operational Resilience Act (DORA) der Europäischen Union. DORA soll ab dem 17. Januar 2025 für Unternehmen gelten und zielt darauf ab, die Cybersicherheit europäischer Banken, Versicherungen, Investmentfirmen und anderer Finanzinstitute sowie der Drittanbieter, die ihnen IKT-Dienste bereitstellen, zu stärken.
Um sicherzustellen, dass der zunehmend digitalisierte europäische Finanzdienstleistungssektor auch bei einem schweren Cyberangriff oder IT-Ausfall funktionsfähig bleibt, umfassen DORAs strenge Anforderungen IKT- und Drittpartei-Risikomanagement, digitale Betriebsstabilitätstests, Meldung von Cybervorfällen, Austausch von Bedrohungsdaten und viele andere Bereiche. Dies betrifft nicht nur in der EU ansässige Unternehmen, sondern auch britische Unternehmen, die Finanz- oder IKT-Dienstleistungen für europäische Kunden erbringen. Wie können sich Unternehmen also auf die Umsetzung von DORA vorbereiten?
Vorbereitung auf DORA
Während sich Unternehmen auf die Einführung von DORA vorbereiten und die Einhaltung der Vorschriften sicherstellen möchten, sollten sie sich die Zeit nehmen, die wichtigsten Anforderungen zu verstehen und zu verstehen, wie sich diese auf ihre täglichen Betriebsabläufe und Aktivitäten auswirken.
Rayna Stamboliyska, CEO des auf Vorausschau ausgerichteten Strategenunternehmens RS Strategy, sagt, dass es für Unternehmen hier zwei wichtige Aspekte zu berücksichtigen gibt. Der erste besteht darin, durch die Identifizierung und Bewältigung von Risiken mithilfe bedrohungsorientierter Penetrationstests eine operative Belastbarkeit zu erreichen. Zweitens müssen Unternehmen im Rahmen eines gründlichen Prozesses zur Risikobewältigung Dritter sicherstellen, dass alle ihre Verträge und Partnerschaften die Anforderungen von DORA erfüllen.
Sie sagt gegenüber ISMS.online: „Dann können Sie einen vernünftigen und strukturierten Ansatz zur Einhaltung von DORA festlegen und Ihre Kunden und Partner wissen lassen, dass Sie auf dem Weg zur Einhaltung sind.“
Ein weiterer wichtiger Schritt ist die Implementierung von DORA-Compliance-Richtlinien für jedes unternehmensweit eingesetzte Sicherheitstool, sagt Crystal Morin, Cybersecurity-Strategin beim Cloud-Sicherheitsunternehmen Sysdig. Auf diese Weise können Unternehmen ihre Cybersicherheit und IT-Stacks auf Richtlinienprobleme überprüfen, sagt sie.
Sie empfiehlt Unternehmen außerdem die Einführung von Infrastructure-as-Code (IaC) und Policy-as-Code (PaC) zur Kodifizierung ihrer Management- und Compliance-Anforderungen, um den Compliance-Prozess zu optimieren.
Morin erklärt: „As-Code-Artefakte sind vertretbar und können bei behördlichen, Risiko- und Auditprüfungen verwendet werden. Darüber hinaus lassen sich diese Artefakte leicht skalieren und gewährleisten die Konsistenz über verschiedene Umgebungen hinweg.“
IT-Risiken managen
Um ihren DORA-Verpflichtungen nachzukommen, müssen Unternehmen eine robuste Strategie für das IT-Risikomanagement entwickeln und umsetzen. Diese Strategie sollte Richtlinien, Verfahren und Tools für das Management aller Risikobereiche umfassen, einschließlich Governance, Überwachung und Berichterstattung, argumentiert Graham Thomson, Chief Information Security Officer bei der Anwaltskanzlei Irwin Mitchell. „Das Framework sollte mit Ihrer Geschäftsstrategie und Ihren Zielen übereinstimmen und regelmäßig überprüft und aktualisiert werden“, sagt er.
Im Falle eines schwerwiegenden Vorfalls, der die Kontinuität, Integrität, Sicherheit oder Verfügbarkeit von IT-Systemen beeinträchtigt, müssen Unternehmen dies gemäß DORA den zuständigen Behörden melden. Thompson sagt, dies erfordere von ihnen, einen speziellen Meldeprozess in einem „standardisierten Format“ einzurichten, der den „spezifischen Zeitrahmen und Schwellenwerten“ jeder Behörde entspreche.
Um technische Fehler zu identifizieren und zu beheben, empfiehlt Thompson Unternehmen, ihre IT-Systeme regelmäßig mithilfe von Schwachstellenscans, Penetrationstests, kontinuierlichem Cloud-Sicherheitsmanagement und szenariobasierten Red Teams zu testen. Er fügt hinzu: „Dokumentieren Sie die Ergebnisse und ergreifen Sie Maßnahmen, um etwaige Schwachstellen zu beheben.“
Als letzten Schritt der DORA-Vorbereitung empfiehlt Thompson Unternehmen, ihre externen IT-Dienstleister einer gründlichen Due-Diligence-Prüfung zu unterziehen, um externe Risikofaktoren zu identifizieren und zu managen. Er fügt hinzu: „Stellen Sie sicher, dass Ihre Verträge wichtige Rechte wie Zugriff, Einsicht und Datenschutz beinhalten.“
Die Auswirkungen auf britische Unternehmen
Obwohl Großbritannien 2020 aus der Europäischen Union austritt, werden viele britische Unternehmen von der Einführung von DORA betroffen sein und müssen daher Schritte unternehmen, um das neue Gesetz vor der Frist im Januar 2025 einzuhalten.
Stamboliyska von RS Strategy erklärt, dass alle in Großbritannien ansässigen Unternehmen, die Kunden in der EU Finanzdienstleistungen oder wichtige Informations- und Kommunikationstechnologiedienste anbieten, die DORA-Anforderungen einhalten müssen.
Die Missachtung dieser regulatorischen Verpflichtungen könnte für britische Unternehmen, die in der EU tätig sind, erhebliche finanzielle Schäden und einen Reputationsschaden bedeuten. „Die Nichteinhaltung von DORA kostet Sie bis zu sechs Monate lang 1 % Ihres Tagesumsatzes“, fährt Stamboliyska fort. „Und wie bei Sanktionen üblich, würde dies, falls Sie einer solchen unterliegen, auch Ihren Zugang zum EU-Markt und Ihren Geschäftsruf beeinträchtigen.“
Sie sagt, dass britische Unternehmen durch die Einhaltung von DORA ihr Engagement für „robuste Sicherheit und operative Belastbarkeit“ unter Beweis stellen werden. Dies wird ihnen helfen, mehr Kunden und Partner in der EU zu gewinnen und ihre „allgemeine Marktwettbewerbsfähigkeit“ zu steigern.
Neben Geldbußen für das gesamte Unternehmen können auch Einzelpersonen haftbar gemacht werden, die sich nicht an DORA halten. Sean Wright, Anwendungssicherheitsleiter bei Featurespace, erklärt: „Dies ist ein wesentlicher Unterschied zu anderen derartigen Vorschriften, bei denen sowohl Einzelpersonen als auch die Organisation für die Nichteinhaltung haftbar gemacht werden können.“
Morin von Sysdig geht davon aus, dass in den kommenden Monaten viele britische Unternehmen von DORA betroffen sein werden. Daher fordert sie diese auf, dringend mit der Planung zu beginnen. Ein wichtiger Teil davon besteht darin, ihre Kundenbasis, Lieferketten und sonstigen Geschäftsbeziehungen zu bewerten, um Risikobereiche innerhalb der Zuständigkeit von DORA zu finden. Sie fügt hinzu: „Außerdem müssen sie die DORA-Vorschriften im Auge behalten, wenn sich ihre Geschäftstätigkeit und ihr Kundenstamm im Laufe der Zeit weiterentwickeln.“
Die Rolle von Frameworks
Während die Einhaltung des DORA-Gesetzes für viele Unternehmen eine entmutigende Aussicht sein kann, Branchenrahmen wie ISO 27001 bieten eine Grundlage, auf deren Grundlage sie Cyberrisiken verstehen und managen können.
Marc Lueck, CISO EMEA beim IT-Sicherheitsunternehmen Zscaler, erklärt: „Frameworks wie ISO 27001 sind ein guter Anfang, um die Anforderungen der neuen Verordnung zu erfüllen, da sie zeigen, dass einige der grundlegenden Kontrollen bereits vorhanden sind, wie etwa die Bereitstellung der Konnektivität zu Kernsystemen.“
Zusätzlich zur Implementierung eines professionellen Cybersicherheitsrahmens als Teil der DORA-Compliance empfiehlt Lueck, diesen durch einen Zero-Trust-Ansatz zu ergänzen. Er erklärt, dass dies Unternehmen dabei helfen würde, Risiken von Drittanbietern zu bewerten und zu messen.
Martin Greenfield, CEO der Plattform Quod Orbis zur kontinuierlichen Überwachung von Cybersicherheitskontrollen, stimmt zu, dass ISO 27001 und ähnliche Rahmenwerke Unternehmen eine „solide Grundlage“ für die Bewältigung ihrer IT-Risiken und die Einhaltung der DORA-Anforderungen bieten.
Er weist jedoch darauf hin, dass DORA „zusätzliche Elemente“ rund um das Drittparteirisiko einführt, und empfiehlt, dass Unternehmen ISO-Praktiken mit DORA-Anforderungen vergleichen sollten, wenn sie planen, diese gemeinsam zu nutzen. „Bei dieser Analyse sollte den Aspekten des Drittparteirisikomanagements besondere Aufmerksamkeit gewidmet werden, da hier erhebliche Unterschiede bestehen können“, sagt er.
Da die Zeit zur Vorbereitung auf die DORA-Frist im Januar 2025 schnell knapp wird, ist es klar, dass sowohl europäische als auch britische Finanzunternehmen und IKT-Anbieter damit beginnen müssen, die strengen Anforderungen von DORA zu verstehen und umzusetzen, falls sie dies nicht bereits getan haben. Angesichts des Crowdstrike-Ausfalls, der die IT-Systeme von Unternehmen weltweit zerstört hat, scheint es, dass die Verwaltung von IKT-Risiken Dritter im Rahmen von DORA im besten Interesse aller Unternehmen liegt und nicht nur eine reine Abhakübung ist.
