DORA

Digital Operational Resilience Act

Harmonisierung mit BAIT

Mit dem Digital Operational Resilience Art (kurz: DORA) legt die EU einen besonderen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Anforderungen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden. 

In einem vernetzen Europa, in dem internationale Kooperationen zwischen Finanzunternehmen weit verbreitet sind und digitalisierungsbezogene Risiken potenziell grenzüberschreitende Auswirkungen haben, soll DORA auf EU-Ebene einen ergänzenden gemeinsamen Rechtsrahmen bieten. Die bisher speziell für Deutschland gültigen Richtlinien wie BAIT, ZAIT, VAIT und MaRisk werden damit um ein Regelwerk auf der Ebene von EU-Recht ergänzt.

Für wen gilt DORA?

DORA befindet sich gerade im Gesetzgebungsverfahren. Am 10. November 2022 wurde die erste Lesung im EU-Parlament abgeschlossen.

Die Anforderungen, sobald final veröffentlicht, gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen:

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Zentralverwahrer
  • zentrale Gegenpartein
  • Ratingagenturen
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen, sowie Vermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung

Die Anforderungen des DORA

DORA untergliedert sich in 6 Kapitel, welche die nachfolgenden Themen umfassen:

  1. Anforderungen an die Governance
  2. Anforderungen an das IKT-Risikomanagement
  3. Meldung IKT-bezogener Vorfälle
  4. Prüfung der digitalen Betriebsstabilität
  5. Risiko durch IKT-Drittanbieter
  6. Informationsaustausch

Harmonisierung mit dem DORA: Wie gehen wir vor?

PCI Zertifizierungsprozess Kick-off

DORA-Anforderungen verstehen (empfohlen)

Präsentation der Anforderungen und Schaffen von Verständnis für den DORA in der Organisation im Rahmen eines ersten Workshops. In der Präsentation werden sowohl die allgemeinen Anforderungen des DORA als auch bekannte Risiken, Herausforderungen und Best Practices aus vergleichbaren regulatorisch getriebenen Projekten vorgestellt.

PCI Zertifizierungsprozess Kick-off

Anforderungen an das Unternehmen bewerten

Identifikation von Maßnahmen zur Harmonisierung mit dem DORA im Rahmen einer Gap-Analyse. Die Anforderungen beeinflussen die Institute ganzheitlich. Daher ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus: 

  • Dokumentenprüfung
  • Befragung von Schlüsselpersonal
  • Prüfung der Umsetzung
PCI Zertifizierungsprozess Kick-off

Maßnahmen zur Harmonisierung planen & umsetzen

Durchführung der Harmonisierung mit dem DORA in einem umfangreichen, auf das Institut ausgerichteten Umsetzungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.

Dabei gehen wir individuell auf die im Rahmen Ihrer Gap-Analyse identifizierten Schwerpunkte ein und begleiten Sie neben der Umsetzung der einzelnen Anforderungen auch beim Changemanagement und der Kommunikation innerhalb des Instituts. Wir unterstützen Finanzinstitute im Rahmen solcher Harmonisierungsprojekte beispielsweise bei:

  • Aufbau bzw. Anpassung der IT-Governance
  • Planung und Implementierung eines geeigneten Risikomanagements
  • Aufbau bzw. Optimierung des Dienstleistermanagement unter Einhaltung der zutreffenden aufsichtsrechtlichen Anforderungen
  • Erforderliche Sicherheitsüberprüfungen, wie beispielsweise Red Team Assessments

Mehr Informationen zum Digital Operational Resilience Act

Digitale Resilienz im Finanzsektor: Der Digital Operational Resilience Act (DORA)

Austausch zu IT-Compliance im Finanzwesen: ISACA Fachgruppentreffen in der CST Academy

Digital Operational Resilience Act: Fachvortrag auf dem itSMF Community Day

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Felix Schmidt
usd Team Lead Sales
Security Consulting