ISMS Copilot
Unterstützte Frameworks

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die umfassende Anforderungen an das IKT-Risikomanagement für den Finanzsektor festlegt. DORA tritt am 17. Januar 2025 in Kraft und harmonisiert die Standards für die digitale Resilienz in den EU-Mitgliedstaaten, um sicherzustellen, dass Finanzunternehmen IKT-bezogenen Störungen standhalten und sich davon erholen können.

ISMS Copilot verfügt über spezielles Fachwissen zu den DORA-Anforderungen. Sie können framework-spezifische Fragen stellen, Richtlinien erstellen, die an den DORA-Säulen ausgerichtet sind, und Compliance-Lücken mithilfe des KI-Assistenten bewerten.

Wer muss DORA-konform sein?

DORA gilt für über 20.000 Finanzunternehmen in der gesamten EU, darunter:

  • Banken und Kreditinstitute

  • Versicherungs- und Rückversicherungsunternehmen

  • Wertpapierfirmen und Handelsplätze

  • Zahlungsinstitute und E-Geld-Institute

  • Anbieter von Krypto-Dienstleistungen

  • Kritische IKT-Drittanbieter (Cloud-Anbieter, Rechenzentren, Softwarehersteller, die Finanzunternehmen bedienen)

Sowohl große Institutionen als auch kleinere Finanzunternehmen müssen die Vorschriften einhalten, wobei Proportionalitätsaspekte je nach Größe, Art des Geschäfts und Risikoprofil berücksichtigt werden.

Die fünf Säulen von DORA

DORA gliedert die Anforderungen in fünf Kernsäulen:

  1. IKT-Risikomanagement: Umfassende Rahmenwerke zur Identifizierung, Verwaltung und Minderung von IKT-Risiken, einschließlich Governance, Risikobewertung und Business Continuity.

  2. Meldung von Vorfällen: Verpflichtende Meldung schwerwiegender IKT-bezogener Vorfälle an die Aufsichtsbehörden innerhalb strenger Fristen (Erstmitteilung, Zwischenberichte, Abschlussanalyse).

  3. Prüfung der digitalen operationalen Resilienz: Regelmäßige Testprogramme, einschließlich Schwachstellenanalysen, Szenarioanalysen und fortgeschrittener bedrohungsorientierter Penetrationstests (TLPT) für kritische Unternehmen.

  4. Risikomanagement durch Drittanbieter: Strenge Überwachung von IKT-Dienstleistern, einschließlich vertraglicher Anforderungen, Due Diligence, Monitoring und Exit-Strategien.

  5. Informationsaustausch: Freiwillige Vereinbarungen zum Austausch von Erkenntnissen über Cyberbedrohungen und Best Practices unter Finanzunternehmen.

Wichtige Anforderungen

Finanzunternehmen müssen verschiedene obligatorische Kapazitäten implementieren:

  • IKT-Risikomanagement-Rahmenwerk: Dokumentierte Richtlinien, Verfahren und Kontrollen, die an den fünf Säulen ausgerichtet sind.

  • Governance und Rechenschaftspflicht: Überwachung auf Vorstandsebene, klare Rollen und Verantwortlichkeiten sowie Einbeziehung des Leitungsorgans.

  • Resilienz-Tests: Jährliche Testprogramme, einschließlich TLPT für bedeutende Unternehmen alle drei Jahre.

  • Klassifizierung und Meldung von Vorfällen: Systeme zur Erkennung, Klassifizierung und Meldung schwerwiegender Vorfälle innerhalb festgelegter Fristen.

  • Register für Drittanbieter: Führung umfassender Verzeichnisse aller IKT-Dienstleister und vertraglichen Vereinbarungen.

  • Business Continuity und Disaster Recovery: Pläne und Kapazitäten zur Aufrechterhaltung des Betriebs bei Störungen.

DORA sieht erhebliche Sanktionen bei Nichteinhaltung vor, einschließlich Geldstrafen von bis zu 2 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen.

Kritische IKT-Drittanbieter

DORA führt einen einzigartigen Überwachungsrahmen für kritische IKT-Drittdienstleister (TPPs) ein. Diese Anbieter unterliegen folgenden Aspekten:

  • Direkte Regulierungsaufsicht: Überwachung durch die Europäischen Aufsichtsbehörden (ESAs).

  • Benennungskriterien: Basierend auf systemischer Bedeutung, Substituierbarkeit und Dienstleistungen für mehrere Finanzunternehmen.

  • Erweiterte Verpflichtungen: Anforderungen an Risikomanagement, Incident Reporting und Resilienz-Tests.

Wenn Sie Cloud-, Rechenzentrums- oder kritische Softwaredienste für EU-Finanzunternehmen bereitstellen, fallen Sie möglicherweise unter das TPP-Regime von DORA.

Wie ISMS Copilot hilft

ISMS Copilot bietet umfassende Unterstützung bei der Einhaltung von DORA:

  • Framework-spezifische Anleitung: Stellen Sie Fragen zu bestimmten DORA-Säulen, Artikeln oder Anforderungen.

  • Erstellung von Richtlinien: Erstellen Sie audit-bereite IKT-Risikomanagement-Richtlinien, Incident-Response-Verfahren und Frameworks für das Management von Drittanbietern.

  • Gap-Analyse: Laden Sie vorhandene Dokumente hoch, um Lücken im Vergleich zu den DORA-Anforderungen zu identifizieren.

  • Risikobewertungen: Erstellen Sie DORA-konforme IKT-Risikobewertungen für Systeme und Drittanbieterbeziehungen.

  • Incident Response Planung: Entwickeln Sie Schemata zur Klassifizierung von Vorfällen und Workflows für die Berichterstattung.

  • Arbeitsbereich-Organisation: Verwalten Sie DORA-Projekte getrennt von anderen Compliance-Initiativen.

Die KI verfügt über direktes Wissen über die Struktur von DORA und die regulatorischen technischen Standards (RTS), sodass Sie in Ihren Prompts auf spezifische Artikel oder Säulen verweisen können.

Probieren Sie Fragen wie: „Erstelle eine Vorlage für eine IKT-Drittanbieter-Risikobewertung gemäß DORA Artikel 28“ oder „Wie sind die Meldefristen für Vorfälle unter DORA?“

Erste Schritte

Um mit der DORA-Compliance in ISMS Copilot zu beginnen:

  1. Erstellen Sie einen dedizierten Workspace für die DORA-Compliance.

  2. Bitten Sie die KI, spezifische Säulen oder Anforderungen zu erläutern, die für Ihren Unternehmenstyp relevant sind.

  3. Erstellen Sie grundlegende Richtlinien für das IKT-Risikomanagement und die Reaktion auf Vorfälle.

  4. Laden Sie bestehende IKT-Richtlinien für eine Gap-Analyse hoch.

  5. Entwickeln Sie ein Drittanbieter-Register und einen Risikobewertungsprozess unter Verwendung der KI-Anleitung.

Zugehörige Ressourcen

  • Offizieller DORA-Verordnungstext: EUR-Lex

  • Leitlinien und regulatorische technische Standards der Europäischen Aufsichtsbehörden (ESAs)

War das hilfreich?